Мрежа/паяжина ( интернет), брой 15 (3029), 18 април 2014" /> Култура :: Наблюдатели :: Кървящо сърце | tech
Български  |  English

Кървящо сърце | tech

 
Нова истерия за края на интернет разтърси мрежата, когато разработчиците от частната фирма Codenomicon откриха особено рафиниран бъг в самото сърце на мрежовата сигурност, застрашаващ комуникацията между сървърите на ниво Transport Layer Security (сигурност на транспортния слой), считано досега за непроницаемо. Този път името на заплахата е Heartbleed. Съставено е от името на TLS приложението „Heartbeat“ и „bleed“ („кървене“ или „изтичане“ на английски). Българските коментари на заплахата са в обичайния си, достъпен само за една тясна аудитория стил, но доколкото Heartbleed засяга и обикновените потребители, струва си всеки опит за обяснение на случващото се.
Всъщност, Heartbleed има потенциала да се превърне в истинска катастрофа. Поне такива са авторитетните мнения на Електронна граница, Арс Техника и на криптографа Брус Шнайер.
Според популярния британско-американския блог за технологични новини Mashable, най-отчайващо в случая е, че този проблем е наистина технически – „много технически“ – и поради това крайно сложен за долавяне от нас, редовите потребители. А ние сме толкова по-засегнати, колкото по-затруднени сме поради техническия характер на заплахата да се предпазим сами. Отговорността и инициативата по решаване на проблема този път е изцяло в ръцете на управляващия уеб услугите, които ползваме.
В какво точно се състои проблемът Heartbleed? В основата му е т. нар. криптиране. Идеята за криптирането се състои в това информацията, която искаме да изпратим от нашия компютър до някой приемник (друг компютър или друг сървър), да не може да бъде прихваната по трасето и разчетена от друг. Криптирането работи като таен език между двама души, който не звучи безсмислено единствено на тези, които имат копие от ключовете за дешифриране - потребителят, т.е. ние, и клиентът (уеб приложението или сървърът).
Протоколът за сигурност в интернет е т.нар. Secure Sockets Layer (SSL), а напоследък - споменатият вече Transport Layer Security (TLS). Най-популярният начин да се достави SSL/TLS функционалност към уеб сайт е инструментът OpenSSL, тъй като най-доброто качество на отворения код е, че е приложим при най- различни уеб сървъри. И това не касае само обикновените уеб страници. Електронната поща, мигновените съобщения, маршрутизаторите и дори принтерите могат да използват OpenSSL и следователно да се окажат засегнати от новото бедствие. Това е повече от половината мрежа! Дори и никога да не сте чували за OpenSSL, вие го ползвате всекидневно и многократно. А какво би станало, ако OpenSSL имаше качеството да предоставя на трети страни тайните ключове на комуникация между вас и сървъра, чрез който си плащате данъците, изпращате снимки, водите бизнес кореспонденция и т. н.? Какво би станало, ако изведнъж те станат достъпни и за някой друг, който може да направи копие за себе си и да подслушва оттук нататък всичко, което съобщавате на този сървър? А какво би станало, ако това е неоткриваем недостатък? Ето това е Heartbleed. И тази опасност дори не е нова. Тя действа от 2011. Дори и да има решение за проблема (а то вече има, макар и не съвсем просто), пораженията, случили се до момента, в който мярката бъде взета, си остават непоправими.
Естествено, имаше питания дали всезнаещата Американска агенция за национална сигурност е знаела за Heartbleed. Даже Агенция Блумбърг взе, че публикува разкрития,че NSA не само е знаела от поне две години, но не е давала гласност на проблема, за да се възползва от него и да събира чувствителна информация. Имала е даже намерение да държи знанията си в тайна колкото се може по-дълго, уж в името на националната сигурност. След като първоначално е отказвала коментар по въпроса, на 11 април NSA внезапно е отрекла, че има нещо общо с Heartbleed. Само дето е отдавна известен факт това, че NSA непрестанно „ловува“ за подобни бъгове с цел да шпионира гражданите. Отдавна се е изтъркало и дежурното им оправдание, че го правят в името на сигурността - от тероризъм, та до битова престъпност - на тези същите граждани. Само дето е близо до ума на всеки, че наличието на дефект в защитата на каквото и да било не може да служи в защита на никого по никакъв начин.
още от автора


  
ПОРТАЛ ЗА КУЛТУРА, ИЗКУСТВО И ОБЩЕСТВО Списание “Християнство и култура” Книжарница “Анджело Ронкали” Фондация “Комунитас”