Нет ничего, чего бы Интернет не любил больше, чем жирные, сочные истории, в которые он может погрузить свои желтые острые клыки. А уж для сообщества безопасников уязвимость Heartbleed в OpenSSL стала эквивалентом 72-унциевого стейка. Но нет ничего хорошего в ломающей Интернет уязвимости вроде этой, если мы не научимся чему-либо из этой истории (или, по крайней мере, не дадим ей умный хэштег).

Так давайте посмотрим на то, что произошло за последние несколько дней и какие уроки мы можем извлечь из этого.

Интернет хрупок. На самом деле это не новость. Те люди, которые размышляют над этим, говорят так уже на протяжении лет или даже десятилетий. Но они, возможно, слишком оптимистичны. Интернет — это лачуга рыболова из Флорида-Кис, стоящая на сваях, а постоянные удары волн и эрозия морского дна постепенно берут свое. Она слегка накренилась набок, а сваи облеплены моллюсками, но пока что стоит. Пока что. Инфраструктура, поддерживающая Интернет, хрупка и зависит от маленькой горстки старых протоколов. А добыче этого вида редко удается долго избегать внимания хищников.

Долговременные эффекты могут быть незаметными, но смертельно опасными. OpenSSL везде. Везде. По некоторым подсчетам, он внедрен примерно на двух третях веб-сайтов — больших, малых и средних. Немалое число владельцев сайтов, использующих OpenSSL, понятия не имеют, что их сайты уязвимы, так как они полагаются на своих хостеров. И давайте не забывать о неизвестном числе устройств, у которых в прошивке может иметься OpenSSL. Обнаружить, протестировать и пропатчить эти устройства гораздо сложнее, чем обычные веб-серверы. Но действительно плохая новость состоит в том, что какое-то время мы не будем знать окончательного эффекта от этой уязвимости, так как сложно определить, использовали ли злоумышленники эксплойт этой уязвимости на какой-либо цели. Вероятно, мы будем еще много месяцев наблюдать взломы с помощью этой уязвимости в OpenSSL. Кроме того, без масштабного сканирования сложно определить, сколько сайтов пропатчили свои системы.

Нет нужды ломать криптографию. Не было недостатка в спекуляциях касательно возможности АНБ взламывать системы шифрования, такие как SSL. Но то, что мы увидели в слитых документах, показало, что агентство, как и большинство злоумышленников, полагается на изъяны реализации и уязвимости кода. Им не нужно строить суперкомпьютер в пещере в Северной Дакоте для взлома криптосистемы, когда они могут положиться на то, что кто-то сделает ошибку, и получить тот же результат. Человеческие ошибки встречаются значительно чаще, чем возможность взлома алгоритма шифрования.

Дебаты по раскрытию все еще хорошая вещь. Новости об уязвимости OpenSSL впервые появились в понедельник, когда OpenSSL Project выпустил оповещение с коротким описанием проблемы. Вскоре исследователи начали понимать, как много сайтов, систем и устройств могут быть уязвимы. Тогда люди начали спрашивать, почему некоторые компании выпустили ранние предупреждения об уязвимости, а другие не оказали клиентам такой любезности. Эта дискуссия завершилась относительно быстро. Такие крупномасштабные уязвимости, как баг в OpenSSL, по своей природе делают оповещение каждой компании и владельца каждого сайта, которые могут быть затронуты, практически невозможным. Это вам не изъян в продукте для четырех клиентов. Это весь Интернет. Нил Мехта, исследователь, обнаруживший уязвимость, рассказал об этом OpenSSL, которые выпустили патч и оповестили пользователей. Так это и должно работать.

Ошибки в масштабе всего Интернета все-таки случаются. Уязвимости вроде этой, к счастью, относительно редки. Серьезные баги в распространенном программном обеспечении встречаются регулярно (см. веб-браузеры). Ранее мы видели серьезные проблемы в Apache, в системе DNS, Microsoft IIS и других программах, на которых основывается большая часть Интернета, и в некоторых случаях они вызывают серьезные проблемы. Уязвимость в OpenSSL имеет все признаки уязвимости этого уровня, сочетая в себе повсеместную распространенность и потенциальные последствия ее эксплуатации. Мы думаем о системах коммунального хозяйства, SCADA и другой критической инфраструктуре, но, как Дэн Камински указал в своем эссе по Heartbleed, есть совершенно другой класс программного обеспечения, попадающий под это описание. И вот там до сих пор прячется большая рыба. «Ответ в том, что мы должны последовать совету Мэтью Грина, начав беспокоиться о том, что программное обеспечение превращается в критическую инфраструктуру глобальной экономики, и выделить ресурсы для поддержки этого кода. Для обнаружения Heartbleed понадобилось три года. Нам нужно двигаться в сторону модели «Никаких случайных открытий», — написал Камински.

Изображение любезно предоставлено Dorothy Finley.

Категории: Аналитика, Уязвимости