γράφει ο Δημήτρης Τζώρτζης Τις τελευταίες ημέρες ένα bug ( προγραμματιστικό σφάλμα ) έχει προκαλέσει φόβο σε σχεδόν όλο το παγκόσμιο δ...
γράφει ο Δημήτρης Τζώρτζης
Τις τελευταίες ημέρες ένα bug ( προγραμματιστικό σφάλμα ) έχει προκαλέσει φόβο σε σχεδόν όλο το παγκόσμιο διαδίκτυο και ταυτόχρονα έχει υποχρεώσει επιχειρήσεις, αναλυτές, υπευθύνους ασφάλειας και πολλούς επαγγελματίες που εργάζονται σε πολλούς τομείς του internet, να προσπαθούν να διαπιστώσουν α) το βάθος του προβλήματος και β) το πόσο “κακό” μπορεί τελικά να κάνει, τι πρόκειται να προκαλέσει και πως μπορεί να διορθωθεί.
Λίγα λόγια για το είδος ασφάλειας που αφορά το Heartbleed
Καθώς καθημερινά εργάζεστε με το internet, παρατηρείτε ότι σε πολλές σελίδες η διεύθυνση είναι http://www.ιστοσελίδα…. ενώ σε κάποιες άλλες είναι https://… Στην πρώτη περίπτωση, όλα τα δεδομένα που στέλνει ο υπολογιστής σας στο δίκτυο και τα οποία λαμβάνονται από τον server ο οποίος είναι υπεύθυνος για την ανάλυση και επεξεργασία τους, αποστέλλονται μη κρυπτογραφημένα. Τα δεδομένα στο internet αποστέλλονται σε κομμάτια που ονομάζονται πακέτα. Όταν μια σελίδα ανήκει στην πρώτη κατηγορία, θα την ονομάζουμε unencrypted, δηλαδή μη κρυπτογραφημένη. Στη 2η περίπτωση, με το https, όλες οι πληροφορίες που ανταλλάσσει ο server και ο υπολογιστής σας, είναι κρυπτογραφημένες, τροποποιημένες δηλαδή με τρόπο που μόνο ο server και ο υπολογιστής σας ξέρουν πως θα επαναφέρουν για να εμφανιστεί σε εσάς η πληροφορία σε μορφή κατανοητή. Οι περιτπώσεις αυτές ονομάζονται encrypted, κρυπτογραφημένες.
Για να υλοποιηθεί μια τέτοια τροποποίηση μεταξύ του υπολογιστή ( συγκεκριμένα του browser σας ή κάποιας εφαρμογής σας ) σας και του server, χρησιμοποιούνται κομμάτια κώδικα που ονομάζονται βιβλιοθήκες, με την πιο γνωστή να είναι το OpenSSL. SSL σημαίνει Secure Socket Layer και ουσιαστικά είναι ένα πρωτόκολλο ( μια σαφώς ορισμένη διαδικασία ) μέσω της οποίας λαμβάνει χώρα η κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων σας. Υπάρχουν πολλές βιβλιοθήκες όπως το OpenSSL και πολλές επιχειρήσεις στο διαδίκτυο έχουν τη δική του υλοποίηση. Το OpenSSL όμως, είναι το πιο διαδεδομένο πακέτο υλοποίησης του SSL παγκοσμίως. Το OpenSSL υλοποιεί το SSL αλλά και την εξέλιξή του που ονομάζεται TLS ( Transport Layer Security ) και είναι Open Source, ανοικτού κώδικα δηλαδή.
Λίγα λόγια για το Open Source
Open source ή αλλιώς λογισμικό ανοικτού κώδικα είναι κομμάτια κώδικα ( προγράμματα βασικά ) που γράφονται και υποστηρίζονται από πολλούς προγραμματιστές παγκοσμίως. Κάθε προγραματιστής ελέγχει και διορθώνει σφάλματα και στη συνέχεια “ανακοινώνει” τις διορθώσεις του σε ένα σημείο όπου άλλοι προγραμματιστές από την κοινότητα μπορούν να ελέγξουν και σε τελικό στάδιο να ενσωματώσουν στην επόμενη έκδοση του λογισμικού που θα δημοσιευθεί και οι ενδιαφερόμενοι θα μπορούν να χρησιμοποιήσουν.
Ο λόγος που θεωρούμε το open source λογισμικό πιο ποιοτικό και πιο ασφαλές, είναι ακριβώς αυτό το μέγεθος της κοινότητάς του, το πλήθος των ειδικών που συμβάλλουν στην βελτίωση του λογισμικού και μια έννοια διαφάνειας σε όλη αυτή τη διαδικασία. Ένα τέτοιο λογισμικό είναι και το OpenSSL.
Τι πραγματικά συμβαίνει
Το Heartbleed ( κωδική ονομασία ) είναι ένα σφάλμα κατά τον προγραμματισμό ενός κομματιού του SSL. Με απλά λόγια, ο προγραμματιστής που το έγραψε, έκανε κάποιο λογικό ( προγραμαμτιστικός όρος ) σφάλμα κατά τη δόμηση του κώδικα του προγράμματός του, το οποίο στη συνέχεια ανακοινώθηκε για έλεγχο προκειμένου να ενσωματωθεί στην επόμενη έκδοση του κώδικα για δημόσια χρήση. Αυτό συνέβη μια ώρα πριν την Πρωτοχρονιά του 2012.
Η κοινότητα σε αυτή την περίπτωση δεν κατάφερε να βρει αυτό το σφάλμα προτού το πρόγραμμα πάρει το πράσινο φως για να δημοσιευθεί και να να χρησιμοποιηθεί. Έτσι, η νεα έκδοση του OpenSSL ανακοινώθηκε και αντικατέστησε την παλαιότερη σε μεγάλο μέρος του διαδικτύου. Που; Σε servers, σε λειτουργικά συστήματα κινητών συσκευώς, σε routers ( όπως αυτά που έχετε στο σπίτι σας για να συνδέεστε στο internet, προσοχή, όχι σε όλα, σε κάποια ) και σε άλλες εφαρμογές όπως φυλλομετρητές ( browsers ) και λογισμικό το οποίο συνδέεται με servers και ανταλλάσσει κάποια δεδομένα.
Αυτή τη στιγμή, 2/3 του διαδικτύου επηρρεάζονται από το σφάλμα, τόσοι πολοί servers χρησιμοποιούνα αυτή την τεχνολογία. Τι όμως σημαίνει;
Λίγο πιο τεχνικά στοιχεία για το Heartbleed
Περιγράψαμε με πολύ απλά λόγια παραπάνω τι συμβαίνει στην περίπτωση που μια ιστοσελίδα είναι https. Τα δεδομένα σας είναι κρυπτογραφημένα. Αν με κάποιο τρόπο όμως μπορώ να μπω “ανάμεσα” στον υπολογιστή σας και τον server, μπορώ να “κλέψω” ένα αντίγραφο των πακέτων που στέλνετε στον server και σας στέλνει πίσω. “Κλέβοντας” αρκετά πακέτα μπορώ να έχω όλη την πληροφορία αλλά με το SSL ( https ), την έχω κρυπτογραφημένη, δεν μπορώ να την καταλάβω δεν μπορώ να την αποκρυπτογραφήσω. Για να το κάνω αυτό, θα πρέπει να γνωρίζω και κάτι ακόμα, ένα αναγνωριστικό “κλειδί” που αφορά τον κάθε ένα server και είναι μοναδικό για αυτόν.
Τι συμβαίνει όμως αν το έχω αυτό το κλειδί; Τότε πολύ απλά μπορώ να αποκρυπτογραφήσω την πληροφορία που μάζεψα και η οποία προοριζόταν να είναι κωδικοποιημένη. Μια τέτοια πληροφορία μπορεί να είναι και ο συνδυασμός του username και του password σας για κάποια ιστοσελίδα ή για το email σας… και εδώ τα πράγματα αρχίζουν να γίνονται τρομακτικά, καθώς username/password χρησιμοποιείτε παντού.
Τα πράγματα είναι ακόμα πιο επικίνδυνα
Το Hearbleed αφορά δυο ομάδες ανθώπων, α) τους χρήστες και β) τους διαχειριστές των servers. Οι χρήστες κινδυνεύουν από το να κλαπούν οι κωδικοί τους και κάποιος κακόβουλα να έχει πρόσβαση σε υπηρεσίες που χρησιμοποιούν online. Οι διαχειριστές όμως, έχουν πολύ πολύ δυσκολότερο έργο.
Κάθε server στο internet ο οποίος υλοποιεί το SSL και παρέχει δυνατότητες για SSL μεταξύ αυτού και του χρήστη, κατέχει ένα πιστοποιητικό SSL το οποίο λέγεται SSL Certificate. Αυτό το πιστοποιητικό μπορούν να το δώσουν μόνο τρίτες επιχειρήσεις ασφαλείας και δεν μπορεί κάποιος να το “φτιάξει” από μόνος του. Αυτά τα πιστοποιητικά SSL ουσιαστικά δείχνουν ποια είανι η εταιρεία που αφορά το site και ελέγχουν και τη σελίδα / υπηρεσία για τρύπες ασφάλειας.
Με το Heartbleed κάποιος “hacker” μπορεί να βρει λοιπόν όπως είπαμε παραπάνω το “κλειδί” του server για το SSL. Έτσι, κάθε ένα SSL Certificate παγκοσμίως σε κάθε έναν server που επηρρεάζεται από το Heartbleed ( γιατί δεν επηρρεάζονται όλοι, θα δείτε παρακάτω ), θα πρέπει να ενημερωθεί με αλλαγμένο τέτοιο “κλειδί”, θα πρέπει δηλαδή να γίνει re-issue. Για να γίνει όμως αυτό χρειάζονται κάποιες διαδικασίες, χρόνος και προσπάθεια. Οι εταιρείες που εκδίδουν πιστοποιητικά SSL δεν έχουν όμως συνηθίσει να πρέπει να ακυρώσουν και να ξανα-παράγουν εκατομμύρια πιστοποιητικά γρήγορα.
Έτσι, όσο τα πιστοποιητικά δεν ανανεώνονται στην περίοδο που διανύουμε και εφόσον οι servers και οι εφαμογές έχουν αναβαθμιστεί με την διορθωμένη έκδοση του OpenSSL, τόσο κάποιος κακόβουλα μπορεί να “κρυφακούει” ανάμεσα στον server και στον υπολογιστή σας για να πάρει τα δεδομένα σας.
Και τι μπορεί να γίνει;
Η απάντηση δεν είναι απλή. Το Hearbleed είναι μια πολύ σπάνια περίπτωση που δεν μπορεί κανείς να ξέρει ( τουλάχιστον όχι ακόμα ) ποιός έχει κρυφακούσει και τι έχει πάρει. Αυτό συμβαίνει γιατί σε αυτή την περίπτωση δεν κρατώνται εγγραφές σε ειδικά ημερολόγια στους servers που να δείχνουν τι επηρρεάζεται και πως. Γιατί; Διότι το σφάλμα δεν αφορά “επιθετική” κίνηση αλλά ένα απλό και έξυπνο “trick”.
Αρχικά οι χρήστες θα πρέπει να αλλάξετε τα passwords σας. Θυμηθείτε, δεν επηρεάζονται όλα και παντού, μια λίστα με τις υπηρεσίες που επηρεάστηκαν/επηρεάζονται είναι στο Mashable. Επίσης θυμηθείτε ότι η ασφάλεια είναι τρόπος συμπεριφοράς και αντιμετώπισης και όχι μόνο οι κωδικοί. Γι’αυτό τον λόγο, ΜΗΝ χρησιμοποιείτε το ίδιο password παντού, μην έχετε απλό password, μην βάζετε ημερομηνίες γέννησης ή το όνομα του παιδιού σας ή οτιδήποτε το οποίο κάποιος μπορεί να υποθέσει ή να μάθει. Βεβαιωθείτε ότι ο υπολογιστής σας είναι ασφαλής και δεν είναι μολυσμένος από ιούς.
Στη συνέχεια, οι κάτοχοι ιστοσελίδων που έχετε https ( όπως e-shops ) θα πρέπει άμεσα να κάνετε renew όλα τα πιστοποιητικά SSL σας και να αλλάξετε τα passwords διαχείρισης επίσης.
Τι γίνεται με το web banking μου;
Τo OpenSSL αν και χρησιμοποιείται από ένα ασύλληπτο ποσοστό του διαδικτύου, δεν πρέπει να χρησιμοποιείται σε περιπτώσεις πολύ ευαίσθητων δεδομένων όπως είναι οι online υπηρεσίες των τραπεζών. Υποθέτουμε λοιπόν ότι τα online τραπεζικά συστήματα δεν επηρρεάζονται, αλλά καλό θα είναι να αλλάξετε και τα passwords σας εκεί.
Πότε θα ξέρουμε ότι η “φουρτούνα” τελείωσε;
Μπορεί και ποτέ. Αν ιδανικά όλοι έκαναν σε μια στιγμή όλα τα βήματα που χρειάζονται τότε ακόμα ενδεχομένως να υπήρχαν κλεμμένα passwords και κλειδιά. Μιας και δεν γνωρίζει κανείς αν έχουν κλαπεί κωδικοί ( ή και στοιχεία πιστωτικών καρτώ κτλ ) και πότε και απο πού, τότε το μόνο που μπορούμε να κάνουμε ( ως χρήστες ) είναι να αλλάξουμε όλα αυτά με καινούρια, κάτι που δεν θα ξέρουν “εκείνοι” που ενδεχομένως να ξέρουν τα προηγούμενα.
Έχει συμβεί; Συμβαίνει σε όλους και παντού;
Μάλλον όχι, για να εκμεταλλευτεί κάποιος το Heartbleed, θα πρέπει να έχει συγκεκριμένο στόχο και να μπει ανάμεσα στην κίνηση του υπολογιστή σας με τον server. Αυτό θεωρούμε ότι είναι σπάνιο. Βέβαια, υπάρχει και η εκδοχή όπου όσοι το ήξεραν ή έμαθαν μόλις ανακοινώθηκε, παρακολούθησαν μεγάλα κομμάτια του internet για να πάρουν τέτοιου είδους πληροφορίες, οπότε για ακόμα μια φορά, δεν μπορεί κανείς αν είναι σίγουρος.
“Επίλογος”
Προσπαθήσαμε να περιγράψουμε το σφάμα με απλά λόγια και χωρίς πολλές τεχνικές λεπτομέρεις. Το ζήτημα όμως είναι πολύπλοκο και πολύ επικύνδυνο, είναι η πιο σημαντική “απειλή” για το μοντέρνο internet από τη γέννησή του. Όλοι εργάζονται για να το “διορθώσουν” αλλά το σφάλμα ήταν “εκεί έξω” εδώ και δυο χρόνια, όπως το αντίστοιχο πριν λίγο καιρό στα συστήματα Apple ( iPhone, iPad, Mac ) το οποίο ήταν και αυτό εκεί έξω για … 2 χρόνια και πριν λίγο καιρό διορθώθηκε.
Περιμένουμε και “βλέπουμε” αλλά μέχρι τότε, σαν χρήστες, αλλάζουμε τα paswords μας με ισχυρά, καινούρια και διαφορετικά!
Προσωπική άποψη : μην βάλετε άμεσα ενάντια στην κοινότητα του Open Source, η οποία μας έχει δώσει ΔΩΡΕΑΝ ποιοτικό λογισμικό, όπως αυτό στο οποίο “τρέχουν” τα 2/3 των servers παγκοσμίως, μας έχουν δώσει διαφάνεια και τη δυνατότητα το λογισμικό να είναι ένα αγαθό δωρεάν για όλους. Όπως διάβασα σε ένα άρθρο, είναι σαν να είσαι χειρούργος και να σώζεις δεκάδες ανρθώπους, με ένα σφάλμα με πεθαίνει κάποιος και εκεί όλος ο κόσμος να πέφτει επάνω σου. Ναι είναι τραγικό σφάλμα και στις δυο περιπτώσεις, ναι μπορεί να “καταστρέψει” αλλά συνέβαλαν πολλές συμπτώσεις για να συμβεί, τις οποίες ποτέ ίσως να μην μάθουμε όλες.
Πηγές
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
http://www.cnet.com/news/heartbleed-bug-what-you-need-to-know-faq/
http://en.wikipedia.org/wiki/Heartbleed
http://www.bbc.com/news/technology-26969629
Δημήτρης Τζώρτζης
Ο Δημήτρης Τζώρτζης είναι επαγγελματίας στο χώρο του internet και του λογισμικού από το 2002, παρουσιάζει σεμινάρια για επιχειρήσεις σχετικά με το marketing μέσα από τα κοινωνικά δίκτυα και παρέχει συμβουλευτικές υπηρεσίες για λογισμικό, υποδομές πληροφοριακών συστημάτων και τεχνολογίας. Κατάγεται από το Προφήτη Ηλία Καλαβρύτων (Γκέρμπεσι). http://endoflinemag.gr/
Τα τεχνολογικά θέματα είναι μια προσφορά στο ΚΑΛΑΒΡΥΤΑ-NEWS του :
Δεν υπάρχουν σχόλια
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.