Heartbleed jak katastrofa lotnicza. Nie ma jednej przyczyny

Emocje wokół wykrytej w zeszłym tygodniu luki w zabezpieczeniach biblioteki OpenSSL opadły. To pozwoliło ocenić na chłodno jak powstało tak gigantyczne zagrożenie i kogo za nie winić.

Heartbleed to jedna z największych luk w historii internetu. Świat dowiedział się o niej w zeszłym tygodniu, wtedy okazało się, że serwery zabezpieczone biblioteką szyfrującą OpenSSL mogą zdradzić wiele sekretów: hasła, dokumenty, korespondencję.

Formalnie osobą, która doprowadziła do powstania luki Hearbleed jest Robin Seggelma, niemiecki programista, który pomylił się przy kodowaniu poprawek do OpenSSL. Trudno jednak wskazać go palcem i powiedzieć, że jest winny całemu zamieszaniu.

Jak namierzyć Heartbleed?

Błędy w oprogramowaniu są dość łatwe w wykryciu. Jeśli coś źle działa użytkownicy szybko alarmują programistę. Z kwestiami bezpieczeństwa jest jednak inaczej.

Jedynym sposobem na znalezienie luki takiej jak Heartbleed jest wykonanie odpowiedniej próby. Intencjonalne testowanie kodu pod względem jakiejś hipotetycznej słabości.  To zadanie hakerów. To właśnie dzięki nim internet jest bezpieczny - bez przerwy szukają luk, których mogliby użyć cyberprzestępcy. Dlaczego zatem przez dwa lata nie wykryto luki? Bo... najwyraźniej nikt jej nie szukał.

Heartbleed przypomina katastrofę lotniczą. Winnych jest wielu. Organizacja OpenSSL, bo zatrudnia na etacie tylko jednego programistę, w zespole na stałe są jeszcze tylko trzy inne osoby. Jej budżet na rok 2013 wynosił ok. 850 tys. dol. Winne są różnego typu organizacje monitorujące oprogramowanie Open Source. Nikt, ani niezależni uniwersyteccy badacze, ani specjaliści od zabezpieczeń, ani hakerzy, nie wykryli luki.

Winna może być też NSA, bo według agencji informacyjnej  Bloomberg Amerykanie wiedzieli o luce niemal od samego początku. Nikomu o niej nie powiedzieli, bo uznali ją za świetny sposób do realizacji statutowych celów - obrony USA przed zagrożeniem.

Co możemy zrobić

USA, podobnie jak inne mocarstwa, nie chcą zapewne wypuszczać z rąk broni, jaką jest wiedza o słabościach internetu. Pozostaje nam wierzyć, że NSA faktycznie wiedziała o Heartbleed od samego początku i użyła tej luki by złapać kilku zbirów a nie przeglądać twoje zdjęcia z wakacji.

Hearbleed jest dowodem na to, że internet potrzebuje zmian. Być może zamiast wydawać miliardy dolarów na likwidowanie skutków cyberprzestępczości rządy powinny intensywniej wspierać "białych hakerów", wszelkie organizacje, które będą dbały o nasze bezpieczeństwo. Jak widać darmowego oprogramowania nie da się tworzyć za półdarmo.

Więcej o: