Στις 29 Μαρτίου ένας
μοναχικός ερευνητής
ασφαλείας ανακοίνωσε ότι
είχε ανακαλύψει, εντελώς
τυχαία, μια μυστική
κερκόπορτα στο XZ Utils.
Αυτό το σκοτεινό αλλά
ζωτικής σημασίας κομμάτι
λογισμικού ενσωματώνεται
στα λειτουργικά
συστήματα Linux που
ελέγχουν τους
διακομιστές διαδικτύου
στον κόσμο. Αν η
κερκόπορτα δεν είχε
εντοπιστεί εγκαίρως, τα
πάντα, από κρίσιμες
εθνικές υποδομές μέχρι
τον ιστότοπο που
φιλοξενεί τις
φωτογραφίες της γάτας
σας, θα ήταν ευάλωτα.
Η κερκόπορτα εμφυτεύτηκε
από έναν ανώνυμο
συνεργάτη που είχε
κερδίσει την εμπιστοσύνη
των άλλων
προγραμματιστών,
κάνοντας χρήσιμες
συνεισφορές για πάνω από
δύο χρόνια. Η τόση
υπομονή και επιμέλεια
φέρει το αποτύπωμα μιας
κρατικής υπηρεσίας
πληροφοριών. Τέτοιου
είδους επιθέσεις
«εφοδιαστικής αλυσίδας»
μεγάλης κλίμακας -οι
οποίες δεν στοχεύουν
μεμονωμένες συσκευές ή
δίκτυα, αλλά το
υποκείμενο λογισμικό και
υλισμικό στο οποίο
βασίζονται- γίνονται όλο
και συχνότερες. Το
2019-20 η SVR, η ρωσική
υπηρεσία εξωτερικής
κατασκοπείας, διείσδυσε
σε δίκτυα της
αμερικανικής κυβέρνησης
παραβιάζοντας μια
πλατφόρμα διαχείρισης
δικτύων που ονομάζεται
SolarWinds Orion.
Πρόσφατα Κινέζοι
κρατικοί χάκερ
τροποποίησαν το
υλικολογισμικό
δρομολογητών της Cisco
για να αποκτήσουν
πρόσβαση σε
οικονομικούς, εμπορικούς
και στρατιωτικούς
στόχους στην Αμερική και
την Ιαπωνία.
Το διαδίκτυο είναι
εγγενώς ευάλωτο σε
συστήματα όπως η
κερκόπορτα XZ Utils.
Όπως και τόσα άλλα στα
οποία βασίζεται, αυτό το
πρόγραμμα είναι ανοιχτού
κώδικα -πράγμα που
σημαίνει ότι ο κώδικάς
του είναι δημόσια
διαθέσιμος. Όπως και στη
Wikipedia, αλλαγές σε
αυτό μπορούν να
προταθούν από
οποιονδήποτε. Οι
άνθρωποι που συντηρούν
τους κώδικες ανοιχτού
λογισμικού το κάνουν
συχνά στον ελεύθερο
χρόνο τους. Ένας τίτλος
από το 2014, μετά την
αποκάλυψη μιας
καταστροφικής ευπάθειας
στο OpenSSL, ένα
εργαλείο που
χρησιμοποιείται ευρέως
για την ασφαλή
επικοινωνία, και το
οποίο είχε προϋπολογισμό
μόλις 2.000 δολάρια,
αποτύπωσε τον
παραλογισμό της
κατάστασης: «Το
διαδίκτυο προστατεύεται
από δύο τύπους που
ονομάζονται Steve».
Είναι δελεαστικό να
υποθέσουμε ότι η λύση
βρίσκεται στην εδραίωση
ενός κεντρικού ελέγχου,
είτε από κράτη είτε από
εταιρείες. Στην
πραγματικότητα, η
ιστορία δείχνει ότι το
λογισμικό κλειστού
κώδικα δεν είναι καθόλου
πιο ασφαλές από το
λογισμικό ανοικτού
κώδικα. Μόλις αυτήν την
εβδομάδα το Αμερικανικό
Συμβούλιο Ελέγχου
Ασφάλειας στον
Κυβερνοχώρο, ένα
ομοσπονδιακό όργανο,
επέπληξε τη Microsoft
για τα άθλια πρότυπα
ασφαλείας που επέτρεψαν
στη Ρωσία να κλέψει ένα
κλειδί υπογραφής -«το
κρυπτογραφικό ισοδύναμο
των κοσμημάτων του
στέμματος για κάθε
πάροχο υπηρεσιών cloud».
Αυτό της έδωσε σαρωτική
πρόσβαση σε δεδομένα.
Συγκριτικά, το λογισμικό
ανοικτού κώδικα έχει
πολλά πλεονεκτήματα,
επειδή επιτρέπει τον
συλλογικό έλεγχο και τη
λογοδοσία.
Ο δρόμος προς τα εμπρός
είναι, επομένως, να
αξιοποιήσουμε στο έπακρο
τον ανοικτό κώδικα,
κατανοώντας ταυτόχρονα
το τεράστιο βάρος που
επωμίζεται ένας μικρός
αριθμός άμισθων, συχνά
βιαστικών
προγραμματιστών. Σε αυτό
το σημείο η τεχνολογία
μπορεί να βοηθήσει. Το
Let’s Encrypt, ένα μη
κερδοσκοπικό ίδρυμα,
έχει κάνει το διαδίκτυο
ασφαλέστερο την
τελευταία δεκαετία,
χρησιμοποιώντας έξυπνο
λογισμικό για να
καταστήσει απλή την
κρυπτογράφηση των
συνδέσεων των χρηστών σε
ιστότοπους. Η πιο
εξελιγμένη τεχνητή
νοημοσύνη μπορεί τελικά
να είναι σε θέση να
εντοπίζει ανωμαλίες σε
εκατομμύρια γραμμές
κώδικα με ένα χτύπημα.
Άλλες διορθώσεις είναι
ρυθμιστικές. Η
αμερικανική στρατηγική
για τον κυβερνοχώρο, που
δημοσιεύθηκε πέρυσι,
καθιστά σαφές ότι η
ευθύνη για τις αποτυχίες
δεν πρέπει να ανήκει
στους προγραμματιστές
ανοικτού κώδικα, αλλά
«στους ενδιαφερόμενους
φορείς, που είναι
ικανότεροι να αναλάβουν
δράση για την αποτροπή
κακών αποτελεσμάτων».
Πρακτικά, οι φορείς
αυτοί είναι οι
κυβερνήσεις και
τεχνολογικοί γίγαντες,
που επωφελούνται
σημαντικά από τις
βιβλιοθήκες ελεύθερου
λογισμικού. Και οι δύο
θα πρέπει να επεκτείνουν
τη χρηματοδότηση και τη
συνεργασία με μη
κερδοσκοπικά ιδρύματα,
όπως η Πρωτοβουλία
Ανοικτού Κώδικα και το
Ίδρυμα Linux, τα οποία
υποστηρίζουν το
οικοσύστημα ανοικτού
κώδικα. Το New
Responsibility
Foundation, ένα
γερμανικό κέντρο
ερευνών, προτείνει οι
κυβερνήσεις, για
παράδειγμα, να
επιτρέπουν στους
υπαλλήλους να
συνεισφέρουν στο
λογισμικό ανοικτού
κώδικα στον ελεύθερο
χρόνο τους και να
χαλαρώσουν τους νόμους
που ποινικοποιούν τα
«λευκά καπέλα» ή ηθικούς
χάκερς.[1]
Θα πρέπει να δράσουν
γρήγορα. Η κερκόπορτα ΖΧ
Utils θεωρείται ότι
είναι η πρώτη επίθεση
που δημοσιοποιήθηκε στην
αλυσίδα εφοδιασμού
εναντίον ενός κρίσιμου
λογισμικού ανοικτού
κώδικα. Αυτό όμως δεν
σημαίνει ότι ήταν και
πρακτικά η πρώτη ή ότι
θα είναι η τελευταία.
[1] άτομα που
εισβάλλουν σε δίκτυα
υπολογιστών προκειμένου
να δοκιμάσουν ή να
αξιολογήσουν τα
συστήματα ασφαλείας
τους.
Πηγή: The Economist
|