Így úszta meg a Facebook a webes hibát
További Tech cikkek
- Beperelték a Disney-t, szabadalmi jogokat sérthetett az egeres cég
- Hatalmas bejelentéssorozatra készül az Apple
- Új válság fenyeget: a B-vitamin-hiány már itt van a sarkon, az italpolcok is kiürülhetnek
- Fontos változás jön a Google keresőjében, érdemes résen lenni
- Beperelték a YouTube-ot, súlyos vádakat fogalmaztak meg
Amikor először jelentek meg hírek a Heartbleed bugról, az információ tűzvészként terjedt. De nem egyenletesen. Néhány cég, például a Facebook hamarabb megkapták az infókat a Google-től vagy az OpenSSL-től, és már javították rendszereiket, mire hétfőn robbant a hír. Kimaradt viszont az Amazon és a Yahoo, nekik saját magukat kellett megvédeniük, jó nagy késéssel.
De honnan jön ez a különbség, kit és miért hagynak ki ilyenkor? A szabályozótestület kiadott egy közleményt, miszerint a trösztellenes törvények nem állnak útjába a biztonsági értesítések terjesztésének.
Az információk megosztásának azonban bonyolult etikettje van: az alapja, hogy a bugokat először a szolgáltatókkal osszák meg, aztán csak utána a nyilvánossággal, mert így a cégek megtehetik a megfelelő lépéseket, mielőtt rossz kezekbe kerülne a biztonsági rés. Egy tökéletes világban minden jófiú hozzájutna a megfelelő információhoz, mielőtt egyetlen rosszfiúhoz eljutna.
Viszont, mint minden titoknál, minden beavatottal nő a kiszivárgás veszélye. A legrosszabb esetben a Heartbleed híre eljutott volna egy black-hat fórumra; ez a rosszindulatú hekkerek gyűjtőhelye, tehát először a potenciális támadók tudtak volna arról, hogy újabb lehetőség kínálkozik előttük. Perszer van egy pont, amelynél a kutatóknak már muszáj publikálni a felfedezésüket.
Küldd a kulcsaid!
Ez történt a Heartbleed esetében is. A hét elején a CloudFlare egyik biztonsági szakértője figyelmeztető üzenetet kapott ismerősétől: küldd el a tikosítókulcsaidat, amilyen gyorsan csak tudod. Csak titkosított levélben küldték el neki a bugot, és alá kellett írnia, hogy nem adja tovább az információt. A Facebook ugyanilyen üzenetet kapott, és javította a rendszereit, mielőtt egy szó is kiszivárgott volna.
Hétfőn viszont robbant a bomba. Egy finn biztonsági cég kényszerítette az OpenSSL-t, hogy publikálja a hibát. Senki nem tudja, ők honnan jutottak hozzá. Az OpenSSL-nek nem volt más választása, minthogy kiadjon egy nyilvános biztonsági figyelmeztetést, és közvetlenül értesítse az érintett cégeket. Az első pillanatokban még néhány Google-szolgáltatás is védtelen volt, mivel a mérnökök nem kockáztathattak azzal, hogy a cég minden sarkába eljuttatják az üzenetet.
Lehetett volna jobban?
A legtöbb szakértő szkeptikus azzal kapcsolatban, hogy ezt a hibát jobban lehetett volna kezelni. A CloudFlare igazgatója szerint amikor egy hiba rengeteg különböző szolgáltatást érint, nagyon nehéz biztonságosan terjeszteni a hírét: egyensúlyozni kell a potenciális kár és a kiszivárgás között, csak a megbízható források elérésével.
Az ICSI nevű biztonsági cég szakértője, Nicholas Weaver szerint a Google és az OpenSSL jól tette, hogy prioriztált, és először a tartalomelosztókat (pl. a Cloudflare-t) értesítették, mert az őket érő támadások nehezebben észlelhetők, mint például egy Yahoo-belépés, mégis több kárt okoznak (felfedik a rejteni kívánt szerverek identitását, a Cloudflare erre is jó)
A teljes igazság pedig az, hogy ekkora porblémával még soha senki nem találkozott, ezért nem készült semmilyen terv ilyen esetkre. Az viszont biztos, hogy a web növekedésével szükség lesz rá.