Oprogramowanie  / Artykuł

Poznajcie Steve’a i Steve’a – we dwóch dbają o bezpieczeństwo światowej Sieci

Jest ich dwóch. Obydwaj mają na imię Steve. Nazwiska mają różne – Marquess oraz Henson. W ostatnich tygodniach stali się niezwykle popularni. Wszystko przez Heartbleed, czyli ogromną lukę w zabezpieczeniach bibliotek OpenSSL. Co dwóch Steve’ów ma z tym wspólnego? To właśnie oni stworzyli standard OpenSSL i tylko oni przez cały czas nad nim pracują. Nikt więcej. Bezpieczeństwo sporej części Internetu zależy od dwóch ludzi, dwóch Steve’ów.

W dużym uproszczeniu OpenSSL to biblioteki, które mają zabezpieczać komunikacje między serwerem a komputerem. Jest to standard powszechnie używany na całym świecie. Kojarzycie charakterystyczną ikonę kłódki na pasku adresu w przeglądarce? Jeśli tak, to właśnie wtedy może być wykorzystywane OpenSSL (chociaż nie musi). Najczęściej spotkacie to w przypadku logowania się na konto pocztowe, serwis społecznościowy, do sklepów internetowych lub konto bankowe. Wszystko po to, aby nikt nie mógł śledzić naszej aktywności i było po prostu bezpiecznie.

Jednak kilka tygodni temu wybuchła bomba – OpenSSL w wersji 1.0.1 zawiera poważną lukę

Pozwala ona na złamanie zabezpieczeń i tym samym przejęcie kluczowych danych, jak chociażby dane logowania do miejsc, gdzie znajdują się nasze pieniądze, np. konta bankowe czy też sklepy z podpiętą kartą płatniczą. Co w całej tej historii jest kluczowe, to fakt, że luka pozostawała niewykryta przez mniej więcej 2 lata. W każdy razie nie została wykryta przez twórców OpenSSL i specjalistów od bezpieczeństwa w Sieci. Mogli o niej wiedzieć ludzie, którzy mieli mniej czyste intencje i na tym skorzystali.

ssl

Pocieszeniem w całej historii jest to, że szybko została wydana aktualizacja do wersji OpenSSL 1.0.1g, która usunęła lukę, dzięki czemu logowanie jest już bezpieczne. Wszystkie najważniejsze serwisy internetowe oraz banki dokonały tego w ciągu kilku godzin od nagłośnienia sprawy.

Tylko jak mogło w ogóle dość do tego, że biblioteki używane przez mniej więcej 60 proc. stron internetowych na świecie przez 2 lata miały tak poważną lukę w zabezpieczeniach i nikt tego nie zauważył, a przynajmniej nie dostrzegły tego osoby, które powinny?

Aby znaleźć odpowiedź na to pytanie, trzeba sięgnąć kilka lat wstecz i poznać historię przywoływanych już Steve’ów. Zanim zaczniecie kamienować ich w swoich wyobrażeniach, przeczytajcie do końca ten artykuł, bo Marquess i Henson są chyba najmniej winnymi tego całego zamieszania osobami.

Cała historia sięga roku 1995 – jak informuje BuzzFeed - kiedy to w Australii zaczęły się prace nad SSLeay. Za projektem stało dwóch mężczyzn – Eric A. Young oraz Tim Hudson. Wszystko musieli zaczynać praktycznie od zera, ponieważ w tamtych czasach licencjonowanie narzędzi kryptograficznych nie było możliwe. Albo trzeba było opierać się na słabych rozwiązaniach, albo napisać całkowicie nowe, od pierwszej do ostatniej linijki kodu. Mężczyźni wybrali tę drugą opcję.

openssl-klodka

Przez trzy lata pracowali, ulepszali i implementowali swoje rozwiązanie aż w 1998 roku dołączyli do firmy RSA Security i praktycznie porzucili projekt. Został on przejęty przez Bena Laurie oraz Steve’a Hensona, którzy w grudniu 1998 roku napisali maila do osób subskrybujących listę Apache-SSL z zapowiedzią nowej wersji bibliotek oraz prośbą o porady, sugestie i pomysł na nową nazwę. W taki sposób zrodziła się nazwa OpenSSL.

Z czasem biblioteki zdobywały coraz większą popularność i zaczęły być wykorzystywane przez wiele organizacji i firm technologicznych i już w 2000 roku należały do jednych z najważniejszych jeśli chodzi o bezpieczeństwo światowego Internetu.

Nad kodem pracowało kilku ludzi, przede wszystkim w ramach wolontariatu, ponieważ nigdy nic na tym nie zarabiali. W 2009 roku z pomocą przyszedł im Steve Marquess, który dopiero co przeszedł na emeryturę, miał spłaconą hipotekę i nie musiał się martwić o pieniądze. To właśnie on powołał do życia OpenSSL Software Fundation, której celem miało być zbieranie pieniędzy na dalszy rozwój zabezpieczeń. Mogłoby się wydawać, że było to zadanie niezwykle łatwe. Przecież z bibliotek korzysta wiele firm na świecie, więc z pewnością są one w stanie przelać trochę pieniędzy, aby OpenSSL było coraz lepsze (tak, jak np. robią to w przypadku prac nad jądrem Linuksa czy też Mozilli). Niestety, prawda okazała się zdecydowanie smutniejsza.

Dokładnie 12 kwietnia tego roku, kilka dni po odkryciu luki Heartbleed, Steve Marquess napisał na swoim blogu, jak dokładnie wygląda sytuacja powołanej przez niego fundacji. A ta nie jest różowa. Bo jak inaczej nazwać to, że rocznie otrzymują dotacje na poziomie około 2 tys. dol. (tak, tylko 2 tysiące dolarów!), a nad rozwojem standardu pracuje zaledwie jedna osoba, bo po prostu nie stać ich na to, żeby płacić większej licznie osób. Tą osobą jest oczywiście Steve Henson.

openssl

Marquess napisał na swoim blogu, że był w wielkim szoku, kiedy okazało się, że jako konsultant zarabia około 5 razy więcej od Hensona, pięć razy więcej od człowieka, który został przez niego opisany jako geniusz programowania, ogromny talent i człowiek, któremu on sam nie byłby godzien nosić klawiatury. Przecież osoba stojąca za tak szeroko wykorzystywanym standardem, jakim jest OpenSSL, powinna zarabiać spore sumy pieniędzy, czyż nie?

- Powinno być co najmniej 6 osób pracujących przez cały czas, w pełnym wymiarze godzin nad kodem OpenSSL, a nie tylko jedna – napisał Steve Marquess.

Czy w takim razie może kogoś dziwić fakt, że przez dwa lata nie zauważono rysy na powierzchni OpenSSL? Nie dziwi to, skoro nad projektem czuwa tylko jeden programista, który praktycznie w ogóle na nim nie zarabia, ma problemy żeby związać koniec z końcem, a jest specjalistą najwyższych lotów. Możecie pomyśleć, że jest po prostu idiotą, że po co to robi, jeśli nic z tego nie ma. Na szczęście są ludzie, dla których pieniądze nie są najważniejsze.

Pocieszające jest to, że wkrótce sytuacja może ulec znaczącej poprawie

Fundacja Linuksa, jak podaje serwis ArsTechnica, ogłosiła program, w ramach którego przez najbliższe trzy lata zostanie przeznaczona suma co najmniej 3,9 mln dol. na projekty typu open source. Nie wszystkie pieniądze trafią do zespołu (o ile można tak ich nazwać) stojącego za OpenSSL, ale są na liście najważniejszych beneficjentów. Takie firmy, jak między innym Amazon, Facebook, Cisco, Dell, Google czy też IBM zadeklarowały, że w ramach tego projektu każdego roku będą przeznaczać kwotę co najmniej 100 tys. dol.

Jest szansa, że kolejna taka „wpadka” więcej się nie przydarzy. I nie można za nią winić dwóch Steve’ów, bo zdaje się, że zrobili dla OpenSSL więcej niż byli w stanie.

Zdjęcia pochodzą z Shutterstock.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst