Η Κρυπτογράφηση Δουλεύει Ακόμα. Το Λογισμικό Ελεύθερου και Ανοικτού Κώδικα είναι Ακόμα η Σωστή Επιλογή

14 Απριλίου 2014

Οι περισσότεροι άνθρωποι που διαβάζετε αυτό το κείμενο έχετε ακούσει για το κενό ασφαλείας που έγινε γνωστό ως Heart Bleed – το οποίο επηρεάζει εκατομμύρια χρήστες του Διαδικτύου, συμπεριλαμβανομένου χρήστες εταιρικών υπηρεσιών όπως Yahoo, Google, και Twitter όπως επίσης και κινηματικούς παρόχους όπως η May First/People Link. Αυτό το κενό ασφαλείας, στο λογισμικό που ονομάζεται “openssl”, επέτρεπε σε έναν επιτιθέμενο να έχει πρόσβαση σε πληροφορίες (όπως ονόματα χρηστών, κωδικοί, ακόμα και αριθμούς πιστωτικών καρτών) από servers που ήταν ευάλωτοι.

Ως αποτέλεσμα, οποιοσδήποτε είχε πρόσβαση στο internet και βασικές προγραμματιστικές ικανότητες θα μπορούσε να επιτεθεί σε οποιονδήποτε server είχε μια ευπαθή έκδοση του openssl, στέλνοντας στον server ένα ειδικό ερώτημα που τον ξεγελούσε ώστε να απαντήσει με ένα κομμάτι δεδομένων από τη μνήμη του. Η μνήμη αυτή, γνωστή ως RAM, χρησιμοποιείται για την προσωρινή αποθήκευση δεδομένων: όπως είναι ο κωδικός του τελευταίου ατόμου που συνδέθηκε ή το τελευταίο κομμάτι δεδομένων που υποβλήθηκε μέσω μιας φόρμας σε ιστοσελίδα (για μια σύντομη εξήγηση των λεπτομερειών της ευπάθειας αυτής δείτε το κόμικ από το XKCD: xkcd.com/1354 )

Θα πρέπει να είναι ξεκάθαρο από την περιγραφή αυτή, ότι η ευπάθεια ήταν τεράστια, θέτοντας τα δεδομένα εκατομμυρίων χρηστών του Διαδικτύου σε κίνδυνο. Αν και το λογισμικό του openssl δεν είναι εγκατεστημένο σε Windows ή Mac OS X από προεπιλογή, μας επηρεαζει όλους επειδή σχεδόν όλοι οι χρήστες στο διαδίκτυο αλληλεπιδρούν με τουλάχιστον έναν server που τρέχει το λογισμικό αυτό.

Στα χνάρια των αποκαλύψεων του Edward Snowden, οι οποίες έδειξαν πώς η NSA κατάφερε να νικήσει διάφορους τύπους κρυπτογράφησης, αξίζει να αναρωτηθούμε : Για ποιό λόγο να χρησιμοποιούμε κρυπτογράφηση ή ακόμα έναν κινηματικό πάροχο διαδικτύου, αν δεν υπάρχει κανένας τρόπος να διατηρούμε τα δεδομένα μας ασφαλή;

Αυτός είναι ο τρόπος σκέψης που οι υπηρεσίες ασφαλείας του πλανήτη θα θέλανε να αποδεχτούμε. Είναι επικίνδυνα λανθασμένος.

Για να ξεκινήσουμε : η κρυπτογραφία εξακολουθεί να δουλεύει και, αν ρυθμιστεί και χρησιμοποιηθεί σωστά, μπορεί ακόμα να διασφαλίσει το απόρρητο των επικοινωνιών. Δεν υπάρχει καμία απόδειξη στις αποκαλύψεις του Snowden που να δείχνει το αντίθετο. Και έχοντας ως δεδομένο ότι οι διαχειριστές των server που χρησιμοποιείτε στο internet είναι πολιτικά και νομικά αφοσιωμένοι στο να αντισταθούν στην κυβερνητική παρακολούθηση και είναι υπεύθυνοι να εφαρμόζουν όλες τις ενημερώσεις ασφαλείας μέσα σε ένα λογικό χρονικό πλαίσιο, μπορείτε να είστε επαρκώς σίγουροι ότι οι επικοινωνίες και τα δεδομένα σας βρίσκονται υπό τον έλεγχό σας. Μπορεί ακόμα να αναρωτηθείτε : Πώς μπορούμε να εμπιστευθούμε το ελεύθερο λογισμικό, εφόσον μια ευπάθεια τέτοιου μεγέθους μπορεί να συμβεί σε ένα λογισμικό ανοικτού κώδικα;

Το openssl χρησιμοποιείται από εκατομμύρια servers ανά το κόσμο, που τρέχουν τόσο ελεύθερο όσο και κλειστό λογισμικό. Έχει μια τόσο μεγάλη βάση χρηστών καθώς είναι δωρεάν, ο κώδικας του μπορεί να ελεγχθεί και επειδή λειτουργεί καλά.

Στη πραγματικότητα, αυτό το ελάττωμα αποτελεί ένα καλό παράδειγμα που δείχνει γιατί το ελεύθερο λογισμικό είναι σημαντικό : διαθέτουμε ένα δημόσιο αρχείο για το ποιός ακριβώς συνεισέφερε τον κώδικα που οδήγησε στο συγκεκριμένο ελάττωμα, ποιός ενέκρινε τη συνεισφορά αυτή, και πότε ο κώδικας αυτός έγινε μέρος του λογισμικού. Οπότε μπορούμε να ρωτήσουμε τους εμπλεκόμενους ανθρώπους πώς έγινε, και να εκτιμήσουμε τις δημόσιες απαντήσεις τους.

Αντίθετα, στο κλειστό λογισμικό της Apple αποκαλύφθηκε πρόσφατα ένα μείζον κενό ασφαλείας, που έμεινε γνωστό ως “GOTO Fail”. Στην περίπτωση αυτή πρέπει να εμπιστευθούμε την Apple να μας δώσει ειλικρινείς απαντήσεις σχετικά με το πότε εισήχθη η ευπάθεια αυτή και πώς διορθώθηκε και κατά πόσον ήταν σκόπιμη ή όχι. Όμοια, υπάρχουν αποδείξεις ότι η εταιρεία ασφαλείας RSA πληρώθηκε εκατομμύρια δολλάρια από την CIA για να εισάγει μια ευπάθεια στο λογισμικό ασφαλείας τους. Η ευπάθεια αυτή ήταν εκεί για 10 χρόνια.

Λογισμικό ασφαλείας με ευπάθειες υπάρχει και θα συνεχίσει να υπάρχει. Το ερώτημα που αντιμετωπίζει το κίνημα είναι : θέλουμε να εξαρτώμαστε από εταιρείες που θα μας διαβεβαιώνουν ότι το λογισμικό δουλεύει; Ή θέλουμε μια διαδικασία που να είναι ανοιχτή και να μπορούμε να την ελέγξουμε;

Ευτυχώς για μας, το openssl είναι ανοιχτό λογισμικό και το πιο ευρέως διαδεδομένο ελεύθερο λογισμικό που χρησιμοποιείται για κρυπτογράφηση στις επικοινωνίες. Αυτό αποτελεί μια νίκη τόσο για το κίνημα μας όσο και τον κόσμο. Τώρα πρέπει να παλέψουμε για να το διατηρήσουμε ελεύθερο και ασφαλές.

Ο καθένας μπορεί να το κάνει αυτό καταβάλλοντας το καλύτερο των δυνατοτήτων του στο να μάθει και να χρησιμοποιεί έμπιστες δικτυακές υπηρεσίες και κρυπτογραφημένες επικοινωνίες. Ζητήστε από τον πάροχο σας μια εκτίμηση σχετικά με το πόσο ασφαλή είναι τα δεδομένα σας και πώς έχει υλοποιηθεί η διασφάλιση αυτή. Επιμείνετε να λάβετε απάντηση.

Η May First/People Link είναι μια πολιτικά προοδευτική οργάνωση Διαδικτύου με μέλη στις Ηνωμένες Πολιτείες και το Μεξικό.
Επικοινωνία για media : Alfredo López (alfredo@mayfirst.org)
mayfirst.org
info@mayfirst.org

https://mayfirst.org/may-firstpeople-link-statement-heart-bleed-security-flaw

Γίνεται αξιολόγηση των τρίων κύριων παρόχων κινητής τηλεφωνίας στην Ελλάδα (Cosmote, Wind, Vodafone) με βάση ττρία χαρακτηριστικά : την δυνατότητα υποκλοπής δεδομένων (interception), τη δυνατότητα πλαστοπροσωπίας (impersonation) και τη δυνατότητα εντοπισμού (tracking).