211service.com
Melnā cepure:, iespējams, slēpjas vairāk interneta mēroga kļūdu
Šķita, ka dažas dienas aprīlī visa pasaule ļoti nopietni uztver interneta drošību. Programmatūrā, ko izmanto simtiem tūkstošu vietņu, tika atrasts kritisks defekts, kas nodēvēts par Heartbleed, un šī kļūda kopā ar tās logotipu kļuva par mediju zvaigzni.
Taču jūnija beigās, nedaudz vairāk nekā divus mēnešus vēlāk, centieni lāpīt neaizsargātos interneta serverus pret Heartbleed, šķiet, bija apstājušies, un vairāk nekā 300 000 joprojām bija internetā. OpenSSL , atvērtā pirmkoda projektam, kura programmatūrā kļūda tika atrasta, joprojām trūkst resursu, kas, pēc tā teiktā, ir nepieciešami, lai aizsargātu savu kodu. Turklāt jauni pētījumi liecina, ka apstākļi, kas Heartbleed pārvērta par tik liela mēroga problēmu, ir ierasti.
Apsardzes uzņēmuma Kymberlee Price Synack un bezpeļņas organizācijas izpilddirektors Džeiks Kouns Atvērtais drošības fonds , ceturtdien iepazīstināja ar atklātā pirmkoda bibliotēku lietošanas un drošības aptaujas rezultātiem. Viņi izcēla vairākas atvērtā pirmkoda bibliotēkas, kuras tiek ļoti plaši izmantotas, taču kurām ir neskaidra drošība. Kļūme vienā no šīm bibliotēkām varētu radīt līdzīgu ietekmi kā aprīļa virsrakstu piesaistošā kļūda. Tas noteikti varētu atkārtoties ar jebkuru trešās puses bibliotēku, sacīja Praisa MIT tehnoloģiju apskats pagājušajā nedēļā notikušajā Black Hat konferencē.
Tas, kas patiešām ir atvērts, ir tas, ka noteiktās tirgū piedāvātās programmās vai produktos var būt simtiem šo bibliotēku, sacīja Kouns. Ikviens tagad ir pakļauts šim sistēmiskajam riskam.
Viena no bibliotēkām, ko Price un Kouns identificēja kā potenciālu problēmu, ir Heartbleed avots OpenSSL. Kopš Heartbleed ir atklāti vairāki citi OpenSSL trūkumi, no kuriem daži var būt bīstamāki par Heartbleed kļūdu, sacīja Kouns.
Var sagaidīt vairāk. Neskatoties uz Heartbleed palielināto publicitāti, OpenSSL joprojām nav pietiekami daudz naudas, lai risinātu šādas problēmas. Pēc incidenta projekts veica pārskatīšanu un aplēsa, ka programmatūras pareizai uzturēšanai nepieciešami seši pilna laika izstrādātāji. Naudas, ko ieķīlājuši IBM, HP, Google un citi lielākie tehnoloģiju uzņēmumi pēc kļūdas, pietika, lai samaksātu tikai diviem pilna laika izstrādātājiem. Pat kaut kas, par ko cilvēku mammas viņiem jautāja pie vakariņu galda, nesaņem vajadzīgo atbalstu, sacīja Praisa.
Vēl viena potenciāli problemātiska bibliotēka ir FreeType , ko izmanto fontu attēlošanai, un tas ir iekļauts vairāk nekā miljardā ierīču, ko ražo uzņēmumi, tostarp Apple, Google un Sony. Kouns un Praiss saskaitīja vairāk nekā 50 FreeType ievainojamības pēdējo septiņu gadu laikā. Viens no tiem veidoja pamatu uzbrukumam Jailbreakme, kas ļāva attālināti pārņemt iPhone tālruņus (skatiet sadaļu Vai jums ir iPhone? Ir pieejama programma uzlaušanai).
Citas atklātā pirmkoda bibliotēkas, kuras atzīmējis pāris, ietver LibPNG, ko izmanto simtiem izplatītu ierīču un programmatūras kā attēlu parādīšanas veidu, un FFMpeg, ko Apple, Google, Microsoft un Sony izmanto video atskaņošanai.
Lielākā daļa plaši izmantoto bibliotēku tiek atjauninātas vairākas reizes gadā ar drošības labojumiem, saka Price. Taču programmatūras inženieriem nav viegli izsekot visiem šiem atjauninājumiem vai pat to, kuras bibliotēkas versijas viņu uzņēmums izmanto. Un daži uzņēmumi savlaicīgi piemēro katru katras bibliotēkas atjauninājumu, sacīja Praisa. Biežāk uzņēmumi atjaunina bibliotēkas tikai tad, kad izlaiž jaunu sava produkta versiju. Ja jūs veicat tikai atjaunināšanu ar katru savu laidienu, iespējams, trūkst dažu būtisku ievainojamību, viņa teica.
Daži eksperti uzskata, ka programmatūras uzņēmumiem būtu jāuzņemas juridiska atbildība par to produktu drošības problēmām. Viena no iespējām, ko apsprieda Black Hat vadītāji, bija par to, vai investoriem vajadzētu būt pilnvarām pieprasīt trešās puses uzņēmuma koda auditus, paplašinot procesu, kas jau ir standarta daļa no uzņēmumu apvienošanās un pārņemšanas uzticamības pārbaudes, sacīja Praiss.
Dens Gīrs, CIP investīciju fonda galvenais informācijas drošības speciālists In-Q-Tel , izteica radikālāku ieteikumu trešdien savā Black Hat pamatnostādnē. Viņš aicināja pieņemt tiesību aktus, kas liktu programmatūras uzņēmumiem atbildēt, ja to produktu drošības problēmas rada kaitējumu.
Vienīgie divi produkti, uz kuriem neattiecas atbildība par produktu, ir reliģija un programmatūra, un programmatūrai nevajadzētu izvairīties daudz ilgāk, sacīja Džīrs. Viņš ierosināja, ka programmatūras uzņēmumi ir atbildīgi par jebkādiem zaudējumiem, kas radušies programmatūras nepilnību dēļ, taču uzņēmumiem, kas ir padarījuši visu savu pirmkodu pieejamu pārbaudei, būs jāatlīdzina tikai tad, ja rodas bojājumi.
Šis priekšlikums sastaptu spēcīgu programmatūras nozares pretestību un, visticamāk, neiegūs vilces spēku. Praisa teica, ka vispraktiskākais, ja daļējs, risinājums pašlaik ir palielināt izpratni par riskiem, kas saistīti ar trešo pušu bibliotēkām, un izveidot rīkus, kas atvieglo paziņojumu saņemšanu par jaunākajiem trūkumiem un pakotņu atjaunināšanu. Mēs nevaram novērst šo risku, tāpēc mums tas ir jāpārvalda, viņa teica.