211service.com
Kde číhá další Heartbleed Bug?
Poté, co způsobila rozšířenou paniku a změnu hesel, chyba Heartbleed ze zpráv do značné míry zmizela. Přesto se o důsledcích objevu stále diskutuje napříč počítačovým průmyslem. Největší starostí pro bezpečnostní experty je, jak předejít dalším chybám číhajícím v základech internetu.
Chyba Heartbleed byla objevena počátkem tohoto měsíce v softwaru s názvem OpenSSL který se široce používá k navázání zabezpečeného spojení mezi webovými prohlížeči a servery správou příslušných kryptografických klíčů. OpenSSL je projekt s otevřeným zdrojovým kódem, což znamená, že základní kód je publikován spolu se softwarem. Stejně jako mnoho jiných open-source snah je také udržován malou skupinou dobrovolných programátorů (viz The Underfunded Project Keeping the Web Secure ).
Problém si uvědomují velké softwarové společnosti, které spoléhají na úsilí, jako je OpenSSL. Minulý týden, Linux Foundation , která poskytuje podporu pro populární operační systém Linux, zahájila úsilí nazvané Iniciativa pro základní infrastrukturu na podporu malých open-source projektů. Společnosti, jako je Google, Amazon, Facebook, IBM, Intel, Cisco a Dell, se zatím zavázaly k tomuto úsilí více než 3 miliony dolarů. Řídící výbor se pokusí identifikovat projekty s otevřeným zdrojovým kódem, které nejvíce potřebují finanční podporu.
Problém s open source spočívá v tom, že máte problém „free rider“, říká Chris Wysopal, známý odborník na počítačovou bezpečnost a hlavní technologický ředitel a spoluzakladatel společnosti Vera kód , společnost zabývající se hodnocením bezpečnosti aplikací. Lidé a společnosti, kteří jej používají a získávají z něj obrovskou hodnotu, nedávají mnoho peněz na jeho udržení.
Dokonce i tři týdny poté, co byla chyba objevena, některé zaostávající podniky stále aktualizují servery, instalují nové kryptografické certifikáty a nasměrují uživatele, aby resetovali svá hesla. Pro odborníky, jako je Wysopal, je více znepokojující, že další základní součásti internetu jsou, jako OpenSSL, malé open-source projekty. A může být obtížné určit, které mohou postrádat zdroje potřebné k pečlivé kontrole bezpečnostních zranitelností jejich kódu.
Než byla chyba Heartbleed objevena, jen málokdo slyšel o OpenSSL nebo o 11 vývojářích, kteří projektu věnovali většinu svého času. The OpenSSL Software Foundation , která se zabývá komerčními kontrakty pro organizaci, zaměstnává pouze jednoho vývojáře na plný úvazek. V loňském roce obdržela celkovou částku 2 000 USD v darech a nikdy nezískala více než 1 milion USD v příjmech za své konzultační a podpůrné služby.
Mělo by existovat alespoň půl tuctu členů týmu OpenSSL na plný úvazek, nikoli pouze jeden, kteří by se mohli soustředit na péči a zásobování OpenSSL, aniž by museli shánět komerční práci, napsal Steve Marquess, oficiální fundraiser a obchodní kontakt pro OpenSSL Software. Nadace, v příspěvku na blogu krátce poté, co byl odhalen Heartbleed. Pokud jste korporátní nebo vládní činitel s rozhodovací pravomocí v pozici, kdy s tím můžete něco udělat, zamyslete se nad tím. Prosím.
Marc Maiffret, technický ředitel ve společnosti Beyond Trust , firma zabývající se bezpečnostním softwarem, říká, že podobnému problému čelí další open source projekty. Lidé předpokládají, že právě proto, že je něco open source, existuje magické úsilí, které pokračuje k nalezení chyb a zabezpečení. Ale obvykle to začíná u pár lidí, možná se to stane populární a pak to končí... u pár lidí.
Wysopal z Veracode říká, že klíčovým problémem je, že neexistuje způsob, jak změřit důležitost různých částí internetové infrastruktury: Pokud by někdo chtěl provést rozsáhlé útoky na mnoho stránek, které komponenty jsou široce používané a na přední straně útočné plochy?
Výzva předvídat, kde se mohou objevit velké zranitelnosti, je umocněna skutečností, že internetoví programátoři stále častěji vytvářejí svůj kód pomocí řady různých nástrojů. v zpráva Společnost s názvem Aspect Security, která byla vydána v loňském roce, zjistila, že 26 procent knihoven stažených pro použití v aplikacích mělo známá zranitelnost. Problém je v tom, že existuje tolik komponent, na kterých závisí softwarový balík, říká Jeff Williams, spoluzakladatel a technický ředitel společnosti Aspect. Internet je kupka sena plná jehel.