Elza
-4 °C
4 °C

Így úszta meg a Facebook a webes hibát

2014.04.11. 16:46

Amikor először jelentek meg hírek a Heartbleed bugról, az információ tűzvészként terjedt. De nem egyenletesen. Néhány cég, például a Facebook hamarabb megkapták az infókat a Google-től vagy az OpenSSL-től, és már javították rendszereiket, mire hétfőn robbant a hír. Kimaradt viszont az Amazon és a Yahoo, nekik saját magukat kellett megvédeniük, jó nagy késéssel.

De honnan jön ez a különbség, kit és miért hagynak ki ilyenkor? A szabályozótestület kiadott egy közleményt, miszerint a trösztellenes törvények nem állnak útjába a biztonsági értesítések terjesztésének.

Az információk megosztásának azonban bonyolult etikettje van: az alapja, hogy a bugokat először a szolgáltatókkal osszák meg, aztán csak utána a nyilvánossággal, mert így a cégek megtehetik a megfelelő lépéseket, mielőtt rossz kezekbe kerülne a biztonsági rés. Egy tökéletes világban minden jófiú hozzájutna a megfelelő információhoz, mielőtt egyetlen rosszfiúhoz eljutna. 

Viszont, mint minden titoknál, minden beavatottal nő a kiszivárgás veszélye. A legrosszabb esetben a Heartbleed híre eljutott volna egy black-hat fórumra; ez a rosszindulatú hekkerek gyűjtőhelye, tehát először a potenciális támadók tudtak volna arról, hogy újabb lehetőség kínálkozik előttük. Perszer van egy pont, amelynél a kutatóknak már muszáj publikálni a felfedezésüket.

Küldd a kulcsaid!

Ez történt a Heartbleed esetében is. A hét elején a CloudFlare egyik biztonsági szakértője figyelmeztető üzenetet kapott ismerősétől: küldd el a tikosítókulcsaidat, amilyen gyorsan csak tudod. Csak titkosított levélben küldték el neki a bugot, és alá kellett írnia, hogy nem adja tovább az információt. A Facebook ugyanilyen üzenetet kapott, és javította a rendszereit, mielőtt egy szó is kiszivárgott volna.

Hétfőn viszont robbant a bomba. Egy finn biztonsági cég kényszerítette az OpenSSL-t, hogy publikálja a hibát. Senki nem tudja, ők honnan jutottak hozzá. Az OpenSSL-nek nem volt más választása, minthogy kiadjon egy nyilvános biztonsági figyelmeztetést, és közvetlenül értesítse az érintett cégeket. Az első pillanatokban még néhány Google-szolgáltatás is védtelen volt, mivel a mérnökök nem kockáztathattak azzal, hogy a cég minden sarkába eljuttatják az üzenetet.

Lehetett volna jobban?

A legtöbb szakértő szkeptikus azzal kapcsolatban, hogy ezt a hibát jobban lehetett volna kezelni. A CloudFlare igazgatója szerint amikor egy hiba rengeteg különböző szolgáltatást érint, nagyon nehéz biztonságosan terjeszteni a hírét: egyensúlyozni kell a potenciális kár és a kiszivárgás között, csak a megbízható források elérésével.

Az ICSI nevű biztonsági cég szakértője, Nicholas Weaver szerint a Google és az OpenSSL jól tette, hogy prioriztált, és először a tartalomelosztókat (pl. a Cloudflare-t) értesítették, mert az őket érő támadások nehezebben észlelhetők, mint például egy Yahoo-belépés, mégis több kárt okoznak (felfedik a rejteni kívánt szerverek identitását, a Cloudflare erre is jó)

A teljes igazság pedig az, hogy ekkora porblémával még soha senki nem találkozott, ezért nem készült semmilyen terv ilyen esetkre. Az viszont biztos, hogy a web növekedésével szükség lesz rá.