Τετάρτη, 16 Απριλίου 2014

Heartbleed bug: Η ήττα του open source, η ασφάλεια του Android και η 'δικαίωση' της Microsoft


Είναι γνωστή η αγάπη μας για το open source το οποίο εκθειάζουμε και υποστηρίζουμε με κάθε ευκαιρία καθώς πιστεύουμε ότι εκεί βρίσκεται το μέλλον του software. Το μεγαλύτερο προσόν κάθε λογισμικού ανοιχτού κώδικα είναι ότι ο πηγαίος κώδικάς του είναι διαθέσιμος σε όλους και έτσι οποιοσδήποτε μπορεί να βρει ένα κενό ασφαλείας και να το αναφέρει στην εταιρία που το δημιούργησε για να το κλείσει. Απαραίτητη προϋπόθεση, κάποιος να κοιτάξει!

Έτσι ξεκίνησε η ιστορία του Hartbleed ενός bug που υπήρχε για χρόνια στον κώδικα του OpenSSL, το οποίο κανείς δεν είχε βρει ακόμα ή έτσι θέλουμε να πιστεύουμε. Για να το εξηγήσουμε με απλά λόγια το OpenSSL είναι ένα πρωτόκολλο που χρησιμοποιείται από πολλές εταιρίες στις λεγόμενες ασφαλείς σελίδες (https) και το Heartbleed είναι ένα κενό ασφαλείας που επιτρέπει την κλοπή προσωπικών δεδομένων όπως των κωδικών μας. Τη μεγάλη ανακάλυψη έκανε η Google σε συνεργασία με την Codenomicon, οι οποίες ενημέρωσαν τους πάντες για το κρίσιμο αυτό κενό. Ποιες υπηρεσίες επηρεάστηκαν από το Heartbleed; Το Facebook, το Instagram, το Pinterest, το Yahoo!, το GoDaddy, το Dropbox και οι υπηρεσίες της Google φυσικά, ενώ το Twitter και η Apple δεν έχουν ανακοινώσει κάτι ακόμη.

Πώς μας επηρεάζει;

Τι σημαίνει όλο αυτό για εμάς τους χρήστες; Ότι για όσο καιρό αυτό το κενό ήταν ανοιχτό, κάποιος που γνώριζε την ύπαρξή του αλλά δεν το ανέφερε πουθενά μπορούσε να μας παρακολουθεί και να έχει τους κωδικούς μας για όλες αυτές τις υπηρεσίες. Εικάζεται ότι αυτή τη δουλειά την έκανε η Αμερικανική Υπηρεσία Πληροφοριών (NSA) κάτι για το οποίο δε θα πέφταμε από τα σύννεφα αν αποδεικνύονταν. Το κενό έχει κλείσει πλέον από τη μεριά των εταιριών και προληπτικά θα προτείναμε να αλλάξετε κωδικό σε μερικές ή όλες από τις παραπάνω υπηρεσίες.

Όσον αφορά το Android που μας ενδιαφέρει περισσότερο, η Google μας ενημέρωσε και επίσημα ότι η μοναδική έκδοση που χρησιμοποιεί τη συγκεκριμένη έκδοση του OpenSSL (1.0.1c) είναι η 4.1.1 του Android. Με πρωτοβουλία του Lookout Mobile Security δημιουργήθηκε και η εφαρμογή Heartbleed Detector η οποία μας επιτρέπει να ελέγξουμε και μόνοι μας, κατά πόσον το συγκεκριμένο κενό μας επηρεάζει για να μείνουμε ήσυχοι.


Εν κατακλείδι

Το ζουμί της όλης ιστορίας και ο λόγος που γράφουμε αυτό το άρθρο είναι ότι δεν πρέπει να ξεχνάμε ότι στο ίντερνετ είμαστε στην κυριολεξία γυμνοί. Ποιος ξέρει αν υπάρχουν άλλα πέντε κενά τύπου Heartbleed σε διάφορα πρωτόκολλα τα οποία κάποιος εκμεταλλεύεται αυτή τη στιγμή χωρίς να ενημερώνει τους υπόλοιπους; Πρέπει να είμαστε ιδιαίτερα προσεκτικοί στο τι μοιραζόμαστε στα κοινωνικά δίκτυα και τις υπόλοιπες online υπηρεσίες όπως το Facebook γιατί μπορεί να μας γυρίσει μπούμερανγκ και να επηρεάσει την πραγματική μας ζωή.

Θέλετε να μάθετε και το αστείο της όλης υπόθεσης; Η Microsoft η οποία ως γνωστόν δε χρησιμοποιεί και πολύ τα ανοιχτά πρότυπα και κατ' επέκταση δεν επηρεάστηκε από το συγκεκριμένο bug, έσπευσε να ενημερώσει τους χρήστες του Office365 (εκεί το είδαμε εμείς τουλάχιστον) ότι οι υπηρεσίες τους είναι ασφαλείς και δεν επηρεάστηκαν από αυτό. Καλά κάνει φυσικά και ενημερώνει τους χρήστες όμως μόνο σαν ανέκδοτο μπορώ να το εκλάβω από την εταιρία που κατασκευάζει το πιο τρύπιο λειτουργικό σύστημα στον κόσμο, το οποίο χρησιμοποιεί άλλα κλειστού κώδικα ανασφαλή πρωτόκολλα που ίσως δεν ανακαλύψουμε ποτέ.

7 στο: "Heartbleed bug: Η ήττα του open source, η ασφάλεια του Android και η 'δικαίωση' της Microsoft"
  1. Τα περί NSA (γενικά) πρέπει να τα θεωρούμε δεδομένα πλέον; Δεν λέω ότι δεν μπορούν... λέω αν όντως πρέπει να θεωρούμε δεδομένο ότι το κάνουν (τι να παρακολουθήσεις ρε NSA από τον μέσο χρήστη; το αν πήγε για καφέ σήμερα; - άλλο τα πχ περί προτιμήσεων ώστε να γίνουν ανάλογες διαφημίσεις ή κάτι τέτοιο, μιλάμε για ολόκληρη NSA τώρα)

    Στο κάτω κάτω είναι και λίγο τρομολαγνεία, "η NSA/ Google/ Apple σε παρακολουθεί με αυτά τα smartphones, έχει τις επαφές σου" λες και αν θέλει να σε παρακολουθήσει διαφορετικά δεν μπορεί να το κάνει. Ή αν έχω το τηλ της Σούλας της κομμώτριας παίζει ρόλο. :)

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Καλά και εγώ δε δίνω σημασία. Όχι επειδή δεν έχω κάτι να κρύψω αλλά επειδή ξέρω τι κάνουν, πως και γιατί.

      Διαγραφή
    2. έλα ρε συ έχεις το τηλ της Σούλας;;;; Δώστο μου ρε συ την ψάχνω εδώ και μήνες και το χω χάσει!!!
      :P:P:P:P:P

      Διαγραφή
  2. Εντάξει το Android μου είναι καθαρό από το συγκεκριμένο bug σύμφωνα με το app. Να ρωτήσω, τίποτα για το PayPal ξέρουμε; Επηρεάστηκε; Αν νοιαζομουν για κάτι θα ήταν αυτό πρώτα απ όλα και μετά τα ψωρο-social media... Σοβαρό πρόβλημα είναι ότι επηρεάστηκαν οι υπηρεσίες της Google, αλλά ΟΚ με αλλαγή κωδικού το σωνουμε έστω και καθυστερημένα. :/
    Συμφωνώ ότι όντως είναι σοβαρότατο πλήγμα για το κύρος του open source, αλλά από την άλλη ταυτόχρονα αυτό που έγινε μας δείχνει γιατί το εμπιστευόμαστε όταν εταιρίες σαν την Google ελέγχουν κάποια ανοιχτά πρότυπα που χρησιμοποιούν για τυχόν bugs σαν αυτό. Για το δεύτερο σκέλος του τίτλου, όμως, διαφωνώ κι ας έχει μπει σε εισαγωγικά η δικαίωση. Τι "δικαίωση"; Όπως λες κι εσύ Χρήστο τι να πει και η Microsoft... Υποφέρουν σχεδόν όλοι οι Η/Υ του κόσμου από τα σουρωτήρια Windows. Και που ξέρουμε εμείς πόσες ίδιες ή και χειρότερες τρύπες έχουν τα δικά τους κλειστά πρότυπα που χρησιμοποιούν;

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Κάπου πήρε το μάτι μου ότι PayPal, eBay και Amazon δεν έχουν πρόβλημα.

      Διαγραφή
  3. εχω android 4.1.1 και κατεβασα το Heartbleed Detector κα μου εδιξε την μεσαι εικονα, περα απο αυτο μπορουμε να διορθωσουμε εμεις το bug ,με καποιο προγραμμα , καθως δεν βλεπω να υπαρχει update , ή το αφηνουμε ως εχει;

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Η μεσαία εικόνα λέει ότι είσαι ΟΚ. Δε χρειάζεται να κάνεις κάτι.

      Διαγραφή