Mýtus šestý: svobodný software není bezpečný
Není to tak dávno, co vyšla najevo naprosto šokující věc. Do knihovny OpenSSL byla zavlečena chyba, která výrazně ovlivnila bezpečnost mnoha systémů po celém světě. O co šlo? Při generování šifrovacích klíčů se tyto klíče generovaly jen z malého prostoru (z malé části celkového počtu), což znamenalo, že k dešifrování informací zašifrovaných takovým klíčem stačilo vyzkoušet onen malý počet klíčů. Tak malý, že by na to v podstatě stačila kapesní kalkulačka.
Chyba se nedostala do "oficiální" verze knihovny, ale jen do upravené verze (při této úpravě došlo k zavlečení chyby) v linuxové distribuci Debian, odkud se dostala i do odvozených distribucí. Čili ohroženy byly systémy s těmito distribucemi (resp. veškerá komunikace, kde byly použity na nich vygenerované klíče), kterých ovšem není zrovna málo. Nepříjemné je, že jde o chybu, kde nestačí jen vyměnit knihovnu, ale musí se znovu vygenerovat (a často i rozšířit mezi mnoho uživatelů) příslušné klíče. Kromě toho lze případná dříve odposlechnutá data i nadále dešifrovat.
Tento incident samozřejmě leckoho vede k tomu, říkat, jak je svobodný software bezpečný a že u toho proprietárního by se to nestalo. Říkat něco takového je ale nebezpečný omyl. Proč? Protože se taková věc může stát u libovolného softwaru, bez ohledu na licenci a na způsob šíření. Příčinou popisovaného problému bylo selhání "výstupní kontroly", což nijak nesouvisí s licencování softwaru.
Ano, svobodný software má jednu nepříjemnou vlastnost - ke zdrojovým kódům má přístup každý, čili tam může objevit bezpečnostní díru a zneužít ji. Ovšem pozor - současně to znamená, že lze takovou díru objevit brzy a také ji brzy opravit. U proprietárního softwaru díru buď nikdo neodhalí, nebo odhalena je, ale nemusí být včas oprava.
Pak se může stát, že o chybě vědí jen zaměstnanci firmy, která software tvoří. Někdo je pak třeba z nějakých důvodů vyhozen, a protože ví o bezpečnostní díře, může ji snadno zneužít, aniž by mu něco stálo v cestě. A i kdyby uživatelé o díře věděli, do vytvoření opravy dodavatelem nemají šanci (kromě řešení typu "odpojit se od Internetu") se tomu bránit.
To je ale jen jedna skupina bezpečnostních rizik. Pak je tu skupina mnohem záludnější. Do proprietárního softwaru lze zabudovat různé funkce, které mohou uživatele špehovat, odesílat nějaké údaje k dodavateli, dokonce může otevřít cestu další "havěti", která může systém napadnout. Do šifrovacích technologií lze případně také vkládat zadní vrátka, která usnadní přístup k zašifrovaným informacím (např. tajným službám).
Tato skupina bezpečnostních rizik je mnohem závažnější než klasické programátorské bezpečnostní chyby. Je ale doménou právě proprietárních programů, do kterých lze něco takového ukrýt, aniž by se na to dalo snadno přijít. U svobodného softwaru nemají takové věci své místo - každý se totiž může podívat, jak program funguje, takže pokus o vložení nějaké takové nechutnosti by byl dříve či později odhalen.
Kromě toho nelze zanedbávat ještě jednu věc. U proprietárního softwaru se bezpečnost často řeší utajováním, jak něco funguje. Bývá to svůdně jednoduché, proto k tomu nemálo tvůrců sahá. To je ale bezpečné přesně do chvíle, než příslušné informace uniknou - pak se bezpečnost zbortí jako domek z karet. Naopak u svobodného softwaru je vysloveně nutností řešit bezpečnost přímo návrhem programu, volbou vhodných algoritmů a způsobů uložení dat. To proto, že se tam prostě nic neutají.
Svobodný software není dokonalý, tak jako není dokonalý žádný jiný. Ale v oblasti bezpečnosti má významné výhody, které jsou dobrým důvodem, proč tento software používat. Nic na tom nezmění ani případné jednotlivé bezpečnostní problémy. U proprietárního softwaru jsou totiž také, jen se o nich zdaleka tolik nemluví.
Lukáš Jelínek
Vy dva, navalte prachy!
Evropský parlament schválil novou směrnici o autorských právech. Velcí evropští vydavatelé se bijí v prsa, že uspěli. Zřejmě i jejich kampaň schválení pomohla. Kampaň, ve které ale zhusta zamlčovali podstatné věci.
Lukáš Jelínek
Andrej Babiš vyzývá úředníky k porušení služebního zákona
Končící ministr financí Andrej Babiš pozval zaměstnance ministerstva k sobě na Čapí hnízdo. Kdo pozvání přijme, poruší služební zákon, protože ten zakazuje přijímat výhody v částce nad 300 Kč.
Lukáš Jelínek
EET odkryje rodná čísla podnikatelů
Jedním z málo známých důsledků zavedení EET bude zveřejnění rodných čísel všech fyzických osob, které budou EET podléhat. Týká se to jak živnostníků, tak i svobodných povolání.
Lukáš Jelínek
Andrej Babiš nezná svůj vlastní návrh zákona. Anebo účelově lže.
Andrej Babiš ukázal, že buď vůbec neví, jaký zákon jeho podřízení na ministerstvu připravili (a nečetl ho), nebo že účelově lže. Těžko říct, co je horší. Račte se podívat, jaké nesmysly ministr financí šíří.
Lukáš Jelínek
On-line evidence tržeb v kostce, aneb týká se to i vás
Co všechno přinese zákon o on-line evidenci tržeb? Koho se týká? Co všechno se bude evidovat? Jaké sankce komu hrozí? Odpovědi na tyto otázky přináší následující odstavce.
Další články autora |
Stovky amerických obrněnců se v řádu dnů nepozorovaně přemístily do Česka
Několik set vozidel americké armády včetně obrněnců Bradley nebo transportérů M113 se objevilo ve...
Nahá umělkyně za zvuků techna házela před dětmi hlínou. Už to řeší policie
Policie prošetřuje vystoupení, ke kterému došlo na Akademii výtvarných umění (AVU). Umělkyně a...
Auto vyjelo z vozovky a srazilo tři lidi. Žena zemřela, dvě vnučky jsou zraněné
Osobní auto srazilo dnes odpoledne v Čáslavicích na Třebíčsku ženu a dvě děti. Žena srážku...
Podvod století za 2,4 miliardy. Ortinskému hrozí osm let a peněžitý trest 25 milionů
Luxusní auta, zlaté cihly, diamanty a drahé nemovitosti. To vše si kupoval osmadvacetiletý Jakub...
Vyváděla strašné věci. Zahradil označil Jourovou za nejhorší z eurokomisařů
Premium Když Česko vstoupilo 1. května do Evropské unie, byl tam matador ODS Jan Zahradil kooptován...
Estonsku roste sebevědomí. Hovoří o blokádě proti Rusku v Baltském moři
Sledujeme online Velitel estonské armády Martin Herem navrhuje spojencům se připravit na možnou blokádu ruských...
Po Kallasové přišla řada na Zelenského, Rusko na něj vydalo zatykač
Ruské úřady zahájily trestní řízení proti ukrajinskému prezidentovi Volodymyru Zelenskému a...
Sadiq Khan: první muslim jako starosta Londýna a první, kdo jím je už potřetí
Starostou Londýna byl znovuzvolen labourista Sadiq Khan. Mandát obhájil potřetí v řadě, což se...
Německo je otřeseno. Přišel brutální útok na politika, pak následoval další
Na lídra kandidátky německé sociální demokracie (SPD) v Sasku do evropských voleb Matthiase Eckeho...
- Počet článků 45
- Celková karma 0
- Průměrná čtenost 2355x
Seznam rubrik
Oblíbené stránky
- LinuxEXPRES
- DigiNeff
- D-FENS
- Jádro systému Linux - Kompletní průvodce programátora
- AIKEN (moje firemní stránky)
Oblíbené blogy
- Můj společensko-politický blog
- Eva Hrindová
- Štěpán Binko
- Eva Palloto
- Pavel Sikora
- Lenka Rubensteinová