Τεράστιο κενό ασφαλείας σε Open Source λειτουργικά
Μια απίστευτη ιστορία για μια τρύπα σε λειτουργικά συστήματα βασισμένα στο Linux βγήκε στο φως της δημοσιότητας αυτές τις μέρες, τρομοκρατώντας χιλιάδες χρήστες και θέτοντας σε κίνδυνο εκατομμύρια συστήματα βασισμένα σε αυτά τα λειτουργικά.
Μια απίστευτη ιστορία για μια τρύπα σε λειτουργικά συστήματα βασισμένα στο Linux βγήκε στο φως της δημοσιότητας αυτές τις μέρες, τρομοκρατώντας χιλιάδες χρήστες και θέτοντας σε κίνδυνο εκατομμύρια συστήματα βασισμένα σε αυτά τα λειτουργικά.
Όσο απίστευτο κι αν ακούγεται αυτό σε μερικούς, που έχουν συνηθίσει σε τέτοια "λάθη" από πλευράς του γίγαντα που ακούει στο όνομα Microsoft, αυτή τη φορά συνέβη ακριβώς το αντίθετο, σε πολύ ανησυχητικό μάλιστα βαθμό.
Όλοι θυμόμαστε το διαγωνισμό στον οποίο hackers προσπάθησαν να σπάσουν 3 laptop εξοπλισμένα με τα Windows Vista, το Ubuntu Linux και το Leopard της Mac, με τα αποτελέσματα να "ρεζιλεύουν" την Apple, η οποία είδε το λειτουργικό της να σπάει αμέσως, σε μόλις 10 λεπτά, ενώ οι 2 ανταγωνιστές του έμειναν αδιαπέραστοι. Τα Windows Vista, όντας εξαιρετικά πιο ασφαλή από τα ΧΡ, έχασαν τη μάχη μόνο μετά από την εγκατάσταση ενός προγράμματος της Adobe, που δημιούργησε μια "τρύπα" στο λειτουργικό.
Το Ubuntu Linux που πέρασε από το διαγωνισμό χωρίς κανείς να το έχει "σπάσει", θεωρήθηκε το ασφαλέστερο όλων, κάτι που είναι κοινώς αποδεχτό για τα λειτουργικά συστήματα που βασίζονται στο Linux. Αυτό όμως διαψεύδεται μετά από την αποκάλυψη που έκανε το DailyTech για ένα σημαντικό λάθος ασφαλείας που έχει ο πυρήνας κάποιων Open-Source λειτουργικών, κάτι που είναι γνωστό από το Μάιο του 2006 αλλά δεν έχει διορθωθεί έκτοτε.
Ένα απλό λάθος στον προγραμματισμό, όπως λένε οι υπεύθυνοι προγραμματιστές, μείωσε σημαντικά την ασφάλεια των λειτουργικών, ανοίγοντας την πόρτα στους hackers να μπουν "ελεύθερα" μέσα στο σύστημά μας, προκαλώντας του ίσως και ανεπανόρθωτη ζημιά.
Δύο μόλις γραμμές κώδικα ήταν αρκετές να προκαλέσουν τόσο έντονη ζημιά, δημιουργώντας κενά ασφαλείας σε τέσσερα Open Source λειτουργικά, 25 προγράμματα και εκατομμύρια υπολογιστές συνδεδεμένους στο Internet. Αυτή η κατάσταση είναι γνωστή από τις 13 Μαϊου, έχοντας αφήσει την πόρτα ανοιχτή εδώ και 2 χρόνια. Ένα patch βγήκε για να διορθώσει το λάθος, αλλά στην ουσία δεν μπορεί να διορθώσει την -μάλλον- τεράστια ζημιά που ήδη έχει γίνει.
Για να σας δώσουμε να καταλάβετε λίγα πράγματα για το πρόβλημα αυτό, χρειάζονται εξειδικευμένες γνώσεις κρυπτογράφησης. Με απλά λόγια, ένα κλειδί 128 bits είναι 2128 ψηφία, κάτι που για να σπάσει χρειάζεται υπερυπολογιστές και ίσως και χρόνια για να το καταφέρει κάποιος. Αν αυτό το κλειδί όμως δεν είναι 128 bits, ενώ ο χρήστης νομίζει πως είναι, τότε υπάρχει σοβαρό πρόβλημα.
Το πρόβλημα λοιπόν είναι απλό - ενώ ο χρήστης νόμιζε ότι είχε ένα κλειδί 128 bit για την ασφάλεια του συστήματός του, στην ουσία είχε αντί για ένα κλειδί 2128 ψηφίων ένα κλειδί 215 ψηφίων. Έτσι είναι εύκολο να καταλάβουμε ότι ένας ικανός hacker πλέον θα μπορούσε με πολύ μεγαλύτερη ευκολία να εισβάλλει στο σύστημά μας, παρακολουθώντας το ή στη χειρότερη περίπτωση, διαμορφώνοντάς το.
Έτσι, κάτι τέτοιο δεν άργησε να γίνει. Μια ομάδα από Hackers του Metasploit Project έβγαλαν στο διαδίκτυο εργαλεία, μέσω των οποίων κάποιος μπορεί να βλάψει τους χρήστες των λειτουργικών που έχουν το πρόβλημα, οι οποίοι πραγματικά είναι χωρίς καμία άμυνα.
Για να καταλάβουμε μάλιστα πόσο μεγάλο είναι το πρόβλημα, και το Ubuntu που είναι ευρέως διαδεδομένο στο κοινό λόγω της ευκολίας του αλλά και το Debian, που χρησιμοποιείται περισσότερο σε επιχειρήσεις, έχουν το κενό ασφαλείας αυτό.
Η ομάδα που ανακάλυψε το πρόβλημα, κατασκευάστρια του προγράμματος Valgrind, που σκοπό έχει την εύρεση λαθών προγραμματισμού, θεωρεί πως το λάθος δεν είναι των προγραμματιστών του OpenSSL αλλά της ίδιας της ομάδας του Debian.
Το θέμα ήδη έχει πάρει ανησυχητικές διαστάσεις και σενάρια καταστροφολογίας έχουν ήδη κατακλύσει το διαδίκτυο. Συνωμοσιολόγοι ήδη κάνουν λόγο για ακόμα μια προσπάθεια δημιουργίας ενός παγκόσμιου backdoor που θα έθετε σε κίνδυνο εκατομμύρια συστήματα ή ακόμα και έργο των εταιρειών διανομής Firewall και Antivirus.
Το σίγουρο είναι ότι η εικόνα των Open Source λειτουργικών ως τα ασφαλέστερα όλων, κατέρρευσε λόγω αυτού του λάθους σαν ένας πύργος από τραπουλόχαρτα. Ευχόμαστε λύση να βρεθεί γρήγορα, έτσι ώστε να μειωθεί ο κίνδυνος για τους ανυποψίαστους χρήστες οι οποίοι αυτή τη στιγμή όπως όλα δείχνουν, είναι ανοιχτοί για επίθεση.
Όσο απίστευτο κι αν ακούγεται αυτό σε μερικούς, που έχουν συνηθίσει σε τέτοια "λάθη" από πλευράς του γίγαντα που ακούει στο όνομα Microsoft, αυτή τη φορά συνέβη ακριβώς το αντίθετο, σε πολύ ανησυχητικό μάλιστα βαθμό.
Όλοι θυμόμαστε το διαγωνισμό στον οποίο hackers προσπάθησαν να σπάσουν 3 laptop εξοπλισμένα με τα Windows Vista, το Ubuntu Linux και το Leopard της Mac, με τα αποτελέσματα να "ρεζιλεύουν" την Apple, η οποία είδε το λειτουργικό της να σπάει αμέσως, σε μόλις 10 λεπτά, ενώ οι 2 ανταγωνιστές του έμειναν αδιαπέραστοι. Τα Windows Vista, όντας εξαιρετικά πιο ασφαλή από τα ΧΡ, έχασαν τη μάχη μόνο μετά από την εγκατάσταση ενός προγράμματος της Adobe, που δημιούργησε μια "τρύπα" στο λειτουργικό.
Το Ubuntu Linux που πέρασε από το διαγωνισμό χωρίς κανείς να το έχει "σπάσει", θεωρήθηκε το ασφαλέστερο όλων, κάτι που είναι κοινώς αποδεχτό για τα λειτουργικά συστήματα που βασίζονται στο Linux. Αυτό όμως διαψεύδεται μετά από την αποκάλυψη που έκανε το DailyTech για ένα σημαντικό λάθος ασφαλείας που έχει ο πυρήνας κάποιων Open-Source λειτουργικών, κάτι που είναι γνωστό από το Μάιο του 2006 αλλά δεν έχει διορθωθεί έκτοτε.
Ένα απλό λάθος στον προγραμματισμό, όπως λένε οι υπεύθυνοι προγραμματιστές, μείωσε σημαντικά την ασφάλεια των λειτουργικών, ανοίγοντας την πόρτα στους hackers να μπουν "ελεύθερα" μέσα στο σύστημά μας, προκαλώντας του ίσως και ανεπανόρθωτη ζημιά.
Δύο μόλις γραμμές κώδικα ήταν αρκετές να προκαλέσουν τόσο έντονη ζημιά, δημιουργώντας κενά ασφαλείας σε τέσσερα Open Source λειτουργικά, 25 προγράμματα και εκατομμύρια υπολογιστές συνδεδεμένους στο Internet. Αυτή η κατάσταση είναι γνωστή από τις 13 Μαϊου, έχοντας αφήσει την πόρτα ανοιχτή εδώ και 2 χρόνια. Ένα patch βγήκε για να διορθώσει το λάθος, αλλά στην ουσία δεν μπορεί να διορθώσει την -μάλλον- τεράστια ζημιά που ήδη έχει γίνει.
Για να σας δώσουμε να καταλάβετε λίγα πράγματα για το πρόβλημα αυτό, χρειάζονται εξειδικευμένες γνώσεις κρυπτογράφησης. Με απλά λόγια, ένα κλειδί 128 bits είναι 2128 ψηφία, κάτι που για να σπάσει χρειάζεται υπερυπολογιστές και ίσως και χρόνια για να το καταφέρει κάποιος. Αν αυτό το κλειδί όμως δεν είναι 128 bits, ενώ ο χρήστης νομίζει πως είναι, τότε υπάρχει σοβαρό πρόβλημα.
Το πρόβλημα λοιπόν είναι απλό - ενώ ο χρήστης νόμιζε ότι είχε ένα κλειδί 128 bit για την ασφάλεια του συστήματός του, στην ουσία είχε αντί για ένα κλειδί 2128 ψηφίων ένα κλειδί 215 ψηφίων. Έτσι είναι εύκολο να καταλάβουμε ότι ένας ικανός hacker πλέον θα μπορούσε με πολύ μεγαλύτερη ευκολία να εισβάλλει στο σύστημά μας, παρακολουθώντας το ή στη χειρότερη περίπτωση, διαμορφώνοντάς το.
Έτσι, κάτι τέτοιο δεν άργησε να γίνει. Μια ομάδα από Hackers του Metasploit Project έβγαλαν στο διαδίκτυο εργαλεία, μέσω των οποίων κάποιος μπορεί να βλάψει τους χρήστες των λειτουργικών που έχουν το πρόβλημα, οι οποίοι πραγματικά είναι χωρίς καμία άμυνα.
Για να καταλάβουμε μάλιστα πόσο μεγάλο είναι το πρόβλημα, και το Ubuntu που είναι ευρέως διαδεδομένο στο κοινό λόγω της ευκολίας του αλλά και το Debian, που χρησιμοποιείται περισσότερο σε επιχειρήσεις, έχουν το κενό ασφαλείας αυτό.
Η ομάδα που ανακάλυψε το πρόβλημα, κατασκευάστρια του προγράμματος Valgrind, που σκοπό έχει την εύρεση λαθών προγραμματισμού, θεωρεί πως το λάθος δεν είναι των προγραμματιστών του OpenSSL αλλά της ίδιας της ομάδας του Debian.
Το θέμα ήδη έχει πάρει ανησυχητικές διαστάσεις και σενάρια καταστροφολογίας έχουν ήδη κατακλύσει το διαδίκτυο. Συνωμοσιολόγοι ήδη κάνουν λόγο για ακόμα μια προσπάθεια δημιουργίας ενός παγκόσμιου backdoor που θα έθετε σε κίνδυνο εκατομμύρια συστήματα ή ακόμα και έργο των εταιρειών διανομής Firewall και Antivirus.
Το σίγουρο είναι ότι η εικόνα των Open Source λειτουργικών ως τα ασφαλέστερα όλων, κατέρρευσε λόγω αυτού του λάθους σαν ένας πύργος από τραπουλόχαρτα. Ευχόμαστε λύση να βρεθεί γρήγορα, έτσι ώστε να μειωθεί ο κίνδυνος για τους ανυποψίαστους χρήστες οι οποίοι αυτή τη στιγμή όπως όλα δείχνουν, είναι ανοιχτοί για επίθεση.