Nedávno se stalo něco závažného, ale vlastně
ani nevíme, kdy, jak a proč. Jakýkoliv významnější software je dnes tak
sofistikovaný, že mu dokáže porozumět stále méně lidí.
Mezi lidmi je dnes asi jen málokdo, kdo by
v poslední době nezaznamenal alespoň něco o chybě zvané Heardbleed, což je
v doslovném překladu: krvácející srdce. V podstatě se jedná o docela
banální záležitost, kterou je chyba v softwaru. Takových chyb je mnoho,
ale proč je tahle považována za jednu z nejzávažnějších bezpečnostních trhlin
v historii internetu?
Zde jde o chybu, která umožní jednomu počítači
zcela nepozorovaně a beze stop nahlédnout do paměti jiného přístroje a dostat
se tak k naprosto všemu, co se v konkrétní paměti přímo nachází.
Nejčastějším cílem jsou jména, hesla, klíče apod. Bylo postiženo půl miliónů
internetových stránek a milióny uživatelů, kteří se nedozvědí, zda jejich data
byla zkompromitována. Tato globální chyba postihla i některé síťové komponenty,
což její dosah dále násobí.
Znepokojující je fakt, že Národní agentura pro
bezpečnost (NSA) o chybě krvácejícího srdce věděla a využívala ji dlouhodobě
pro přístup k citlivým informacím. NSA se tím mohla dostat
k chráněným datům včetně soukromých hesel uživatelů internetu. NSA se
snažila existenci chyby utajit, neboť jejím prostřednictvím hodlala monitorovat
potenciální hrozby pro bezpečnost USA nebo také osoby spjaté s terorismem.
Tajná služba však dlouhodobé využívání chyby oficiálně popírá. Nepříjemné je,
že zneužití této chyby po sobě nenechá jakékoliv stopy a tak nelze
identifikovat. Podle testů společnosti Qualis se chyba týkala například serverů
Yahoo nebo Flicker. Servery Amazonu, Google a eBay však na seznamu zatím
nejsou.
O tom, zda americká NSA věděla nebo nevěděla o
chybě Heardbleed po celou dobu její existence, můžeme jen spekulovat a domnívat
se. A to je právě na celé této chybě to fatální. Nevíme, zda a jak dlouho ji
někdo zneužíval. Jestli se jednalo o subjekty ty NSA, nebo zda to byla nějaká
část kriminálního podsvětí, zaměřena na cokoliv, co má nějakou hodnotu a dá se
odcizit.
Další velké znepokojení spočívá
v bortění dosavadních mýtu a dogmat
o výhodách fungování otevřeného softwaru, o kterých se může kdokoliv sám
přesvědčit. Ale tento problém si silně koresponduje s faktem, že rostoucí
složitost a rozsáhlost jakéhokoliv významnějšího softwaru znamená, že stále
méně a méně lidí mu dokáže porozumět.
Chyba Heartbleed nám všem ukázala významný
fakt a to že na přehnané obezřetnosti koncových uživatelů nemusí vůbec záležet.
Tedy jen pokud se úplně neodpojí od internetu a dalších moderních prostředků
elektronické komunikace a nepřejdou na jiný způsob, např. kouřové signály.
Zdroje:
http://www.novinky.cz/internet-a-pc/333323-usa-o-chybe-krvacejiciho-srdce-vedely-dlouhodobe-ji-zneuzivaly-ke-smirovani.html
http://nazory.aktualne.cz/komentare/ponauceni-z-krvacejiciho-srdce-it/r~f9096592c47411e392710025900fea04/
http://www.denik.cz/ekonomika/odstranovani-chyby-krvacejiciho-srdce-muze-zbrzdit-internet-20140416.html
http://www.ceskatelevize.cz/ct24/ekonomika/269908-krvacejici-srdce-muze-zpomalit-internet/
No comments:
Post a Comment