Mýtus šestý: svobodný software není bezpečný
Není to tak dávno, co vyšla najevo naprosto šokující věc. Do knihovny OpenSSL byla zavlečena chyba, která výrazně ovlivnila bezpečnost mnoha systémů po celém světě. O co šlo? Při generování šifrovacích klíčů se tyto klíče generovaly jen z malého prostoru (z malé části celkového počtu), což znamenalo, že k dešifrování informací zašifrovaných takovým klíčem stačilo vyzkoušet onen malý počet klíčů. Tak malý, že by na to v podstatě stačila kapesní kalkulačka.
Chyba se nedostala do "oficiální" verze knihovny, ale jen do upravené verze (při této úpravě došlo k zavlečení chyby) v linuxové distribuci Debian, odkud se dostala i do odvozených distribucí. Čili ohroženy byly systémy s těmito distribucemi (resp. veškerá komunikace, kde byly použity na nich vygenerované klíče), kterých ovšem není zrovna málo. Nepříjemné je, že jde o chybu, kde nestačí jen vyměnit knihovnu, ale musí se znovu vygenerovat (a často i rozšířit mezi mnoho uživatelů) příslušné klíče. Kromě toho lze případná dříve odposlechnutá data i nadále dešifrovat.
Tento incident samozřejmě leckoho vede k tomu, říkat, jak je svobodný software bezpečný a že u toho proprietárního by se to nestalo. Říkat něco takového je ale nebezpečný omyl. Proč? Protože se taková věc může stát u libovolného softwaru, bez ohledu na licenci a na způsob šíření. Příčinou popisovaného problému bylo selhání "výstupní kontroly", což nijak nesouvisí s licencování softwaru.
Ano, svobodný software má jednu nepříjemnou vlastnost - ke zdrojovým kódům má přístup každý, čili tam může objevit bezpečnostní díru a zneužít ji. Ovšem pozor - současně to znamená, že lze takovou díru objevit brzy a také ji brzy opravit. U proprietárního softwaru díru buď nikdo neodhalí, nebo odhalena je, ale nemusí být včas oprava.
Pak se může stát, že o chybě vědí jen zaměstnanci firmy, která software tvoří. Někdo je pak třeba z nějakých důvodů vyhozen, a protože ví o bezpečnostní díře, může ji snadno zneužít, aniž by mu něco stálo v cestě. A i kdyby uživatelé o díře věděli, do vytvoření opravy dodavatelem nemají šanci (kromě řešení typu "odpojit se od Internetu") se tomu bránit.
To je ale jen jedna skupina bezpečnostních rizik. Pak je tu skupina mnohem záludnější. Do proprietárního softwaru lze zabudovat různé funkce, které mohou uživatele špehovat, odesílat nějaké údaje k dodavateli, dokonce může otevřít cestu další "havěti", která může systém napadnout. Do šifrovacích technologií lze případně také vkládat zadní vrátka, která usnadní přístup k zašifrovaným informacím (např. tajným službám).
Tato skupina bezpečnostních rizik je mnohem závažnější než klasické programátorské bezpečnostní chyby. Je ale doménou právě proprietárních programů, do kterých lze něco takového ukrýt, aniž by se na to dalo snadno přijít. U svobodného softwaru nemají takové věci své místo - každý se totiž může podívat, jak program funguje, takže pokus o vložení nějaké takové nechutnosti by byl dříve či později odhalen.
Kromě toho nelze zanedbávat ještě jednu věc. U proprietárního softwaru se bezpečnost často řeší utajováním, jak něco funguje. Bývá to svůdně jednoduché, proto k tomu nemálo tvůrců sahá. To je ale bezpečné přesně do chvíle, než příslušné informace uniknou - pak se bezpečnost zbortí jako domek z karet. Naopak u svobodného softwaru je vysloveně nutností řešit bezpečnost přímo návrhem programu, volbou vhodných algoritmů a způsobů uložení dat. To proto, že se tam prostě nic neutají.
Svobodný software není dokonalý, tak jako není dokonalý žádný jiný. Ale v oblasti bezpečnosti má významné výhody, které jsou dobrým důvodem, proč tento software používat. Nic na tom nezmění ani případné jednotlivé bezpečnostní problémy. U proprietárního softwaru jsou totiž také, jen se o nich zdaleka tolik nemluví.
Lukáš Jelínek
Vy dva, navalte prachy!
Evropský parlament schválil novou směrnici o autorských právech. Velcí evropští vydavatelé se bijí v prsa, že uspěli. Zřejmě i jejich kampaň schválení pomohla. Kampaň, ve které ale zhusta zamlčovali podstatné věci.
Lukáš Jelínek
Andrej Babiš vyzývá úředníky k porušení služebního zákona
Končící ministr financí Andrej Babiš pozval zaměstnance ministerstva k sobě na Čapí hnízdo. Kdo pozvání přijme, poruší služební zákon, protože ten zakazuje přijímat výhody v částce nad 300 Kč.
Lukáš Jelínek
EET odkryje rodná čísla podnikatelů
Jedním z málo známých důsledků zavedení EET bude zveřejnění rodných čísel všech fyzických osob, které budou EET podléhat. Týká se to jak živnostníků, tak i svobodných povolání.
Lukáš Jelínek
Andrej Babiš nezná svůj vlastní návrh zákona. Anebo účelově lže.
Andrej Babiš ukázal, že buď vůbec neví, jaký zákon jeho podřízení na ministerstvu připravili (a nečetl ho), nebo že účelově lže. Těžko říct, co je horší. Račte se podívat, jaké nesmysly ministr financí šíří.
Lukáš Jelínek
On-line evidence tržeb v kostce, aneb týká se to i vás
Co všechno přinese zákon o on-line evidenci tržeb? Koho se týká? Co všechno se bude evidovat? Jaké sankce komu hrozí? Odpovědi na tyto otázky přináší následující odstavce.
Další články autora |
Tři roky vězení. Soud Ferimu potvrdil trest za znásilnění, odvolání zamítl
Městský soud v Praze potvrdil tříletý trest bývalému poslanci Dominiku Ferimu. Za znásilnění a...
Moderní lichváři připravují o bydlení dlužníky i jejich příbuzné. Trik je snadný
Premium Potřebujete rychle peníze, pár set tisíc korun a ta nabídka zní lákavě: do 24 hodin máte peníze na...
Studentky rozrušila přednáška psycholožky, tři dívky skončily v nemocnici
Na kutnohorské střední škole zasahovali záchranáři kvůli skupině rozrušených studentek. Dívky...
Takhle se mě dotýkal jen gynekolog. Fanynky PSG si stěžují na obtěžování
Mnoho žen si po úterním fotbalovém utkání mezi PSG a Barcelonou postěžovalo na obtěžování ze strany...
Školu neznaly, myly se v potoce. Živořící děti v Hluboké vysvobodili až strážníci
Otřesný případ odhalili strážníci z Hluboké nad Vltavou na Českobudějovicku. Při jedné z kontrol...
Dva ruští vojáci se doznali k trojnásobné vraždě na Ukrajině
V okupované části Chersonské oblasti na jihovýchodu Ukrajiny zadrželi dva ruské vojáky, kteří se...
Architektonickou cenu EU získal univerzitní pavilon, blízko byla i ostravská galerie
Studijní pavilon Technické univerzity v německém Braunschweigu se stal vítězem prestižní...
Lidovci navrhli zvýšit slevy na dani na děti, stát to má přes 8 miliard ročně
Zvýšení slev na dani na děti navrhuje KDU-ČSL a hodlá to prosazovat v jednáních s koaličními...
Prezident má absolutní imunitu. Trump zaměstnal Nejvyšší soud, věří v průtahy
Většina členů amerického Nejvyššího soudu se ve čtvrtek zdála být skeptická k argumentu...
RECEPČNÍ
Quality Hotel Brno Exhibition Centre
Jihomoravský kraj
nabízený plat:
30 550 - 30 550 Kč
- Počet článků 45
- Celková karma 0
- Průměrná čtenost 2355x
Seznam rubrik
Oblíbené stránky
- LinuxEXPRES
- DigiNeff
- D-FENS
- Jádro systému Linux - Kompletní průvodce programátora
- AIKEN (moje firemní stránky)
Oblíbené blogy
- Můj společensko-politický blog
- Eva Hrindová
- Štěpán Binko
- Eva Palloto
- Pavel Sikora
- Lenka Rubensteinová