Mýtus šestý: svobodný software není bezpečný
Není to tak dávno, co vyšla najevo naprosto šokující věc. Do knihovny OpenSSL byla zavlečena chyba, která výrazně ovlivnila bezpečnost mnoha systémů po celém světě. O co šlo? Při generování šifrovacích klíčů se tyto klíče generovaly jen z malého prostoru (z malé části celkového počtu), což znamenalo, že k dešifrování informací zašifrovaných takovým klíčem stačilo vyzkoušet onen malý počet klíčů. Tak malý, že by na to v podstatě stačila kapesní kalkulačka.
Chyba se nedostala do "oficiální" verze knihovny, ale jen do upravené verze (při této úpravě došlo k zavlečení chyby) v linuxové distribuci Debian, odkud se dostala i do odvozených distribucí. Čili ohroženy byly systémy s těmito distribucemi (resp. veškerá komunikace, kde byly použity na nich vygenerované klíče), kterých ovšem není zrovna málo. Nepříjemné je, že jde o chybu, kde nestačí jen vyměnit knihovnu, ale musí se znovu vygenerovat (a často i rozšířit mezi mnoho uživatelů) příslušné klíče. Kromě toho lze případná dříve odposlechnutá data i nadále dešifrovat.
Tento incident samozřejmě leckoho vede k tomu, říkat, jak je svobodný software bezpečný a že u toho proprietárního by se to nestalo. Říkat něco takového je ale nebezpečný omyl. Proč? Protože se taková věc může stát u libovolného softwaru, bez ohledu na licenci a na způsob šíření. Příčinou popisovaného problému bylo selhání "výstupní kontroly", což nijak nesouvisí s licencování softwaru.
Ano, svobodný software má jednu nepříjemnou vlastnost - ke zdrojovým kódům má přístup každý, čili tam může objevit bezpečnostní díru a zneužít ji. Ovšem pozor - současně to znamená, že lze takovou díru objevit brzy a také ji brzy opravit. U proprietárního softwaru díru buď nikdo neodhalí, nebo odhalena je, ale nemusí být včas oprava.
Pak se může stát, že o chybě vědí jen zaměstnanci firmy, která software tvoří. Někdo je pak třeba z nějakých důvodů vyhozen, a protože ví o bezpečnostní díře, může ji snadno zneužít, aniž by mu něco stálo v cestě. A i kdyby uživatelé o díře věděli, do vytvoření opravy dodavatelem nemají šanci (kromě řešení typu "odpojit se od Internetu") se tomu bránit.
To je ale jen jedna skupina bezpečnostních rizik. Pak je tu skupina mnohem záludnější. Do proprietárního softwaru lze zabudovat různé funkce, které mohou uživatele špehovat, odesílat nějaké údaje k dodavateli, dokonce může otevřít cestu další "havěti", která může systém napadnout. Do šifrovacích technologií lze případně také vkládat zadní vrátka, která usnadní přístup k zašifrovaným informacím (např. tajným službám).
Tato skupina bezpečnostních rizik je mnohem závažnější než klasické programátorské bezpečnostní chyby. Je ale doménou právě proprietárních programů, do kterých lze něco takového ukrýt, aniž by se na to dalo snadno přijít. U svobodného softwaru nemají takové věci své místo - každý se totiž může podívat, jak program funguje, takže pokus o vložení nějaké takové nechutnosti by byl dříve či později odhalen.
Kromě toho nelze zanedbávat ještě jednu věc. U proprietárního softwaru se bezpečnost často řeší utajováním, jak něco funguje. Bývá to svůdně jednoduché, proto k tomu nemálo tvůrců sahá. To je ale bezpečné přesně do chvíle, než příslušné informace uniknou - pak se bezpečnost zbortí jako domek z karet. Naopak u svobodného softwaru je vysloveně nutností řešit bezpečnost přímo návrhem programu, volbou vhodných algoritmů a způsobů uložení dat. To proto, že se tam prostě nic neutají.
Svobodný software není dokonalý, tak jako není dokonalý žádný jiný. Ale v oblasti bezpečnosti má významné výhody, které jsou dobrým důvodem, proč tento software používat. Nic na tom nezmění ani případné jednotlivé bezpečnostní problémy. U proprietárního softwaru jsou totiž také, jen se o nich zdaleka tolik nemluví.
Lukáš Jelínek
Vy dva, navalte prachy!
Evropský parlament schválil novou směrnici o autorských právech. Velcí evropští vydavatelé se bijí v prsa, že uspěli. Zřejmě i jejich kampaň schválení pomohla. Kampaň, ve které ale zhusta zamlčovali podstatné věci.
Lukáš Jelínek
Andrej Babiš vyzývá úředníky k porušení služebního zákona
Končící ministr financí Andrej Babiš pozval zaměstnance ministerstva k sobě na Čapí hnízdo. Kdo pozvání přijme, poruší služební zákon, protože ten zakazuje přijímat výhody v částce nad 300 Kč.
Lukáš Jelínek
EET odkryje rodná čísla podnikatelů
Jedním z málo známých důsledků zavedení EET bude zveřejnění rodných čísel všech fyzických osob, které budou EET podléhat. Týká se to jak živnostníků, tak i svobodných povolání.
Lukáš Jelínek
Andrej Babiš nezná svůj vlastní návrh zákona. Anebo účelově lže.
Andrej Babiš ukázal, že buď vůbec neví, jaký zákon jeho podřízení na ministerstvu připravili (a nečetl ho), nebo že účelově lže. Těžko říct, co je horší. Račte se podívat, jaké nesmysly ministr financí šíří.
Lukáš Jelínek
On-line evidence tržeb v kostce, aneb týká se to i vás
Co všechno přinese zákon o on-line evidenci tržeb? Koho se týká? Co všechno se bude evidovat? Jaké sankce komu hrozí? Odpovědi na tyto otázky přináší následující odstavce.
Další články autora |
Drahé a rezavé, řeší Ukrajinci zbraně z Česka. Ani nezaplatili, brání se firma
Premium České zbrojařské firmy patří dlouhou dobu mezi klíčové dodavatele pro ukrajinskou armádu i tamní...
Královna fetiše rozdráždila Ameriku. Její fotografce se klaní i feministky
Seriál „Nejkrásnější fotografka“ či „nejlepší pin-up fotografka na světě“. Taková čestná přízviska si...
Turisté si zajeli do Afghánistánu. Střelci část Evropanů povraždili i s průvodci
Neznámí ozbrojenci v pátek večer v provincii Bámján v centrální části Afghánistánu zabili tři...
Turek: Z Nerudové mi bývá špatně, o hlasy komoušů a progresivistů nestojím
Bývalý automobilový závodník a lídr Přísahy s Motoristy Filip Turek patří mezi černé koně...
Vrtulník íránského prezidenta havaroval v mlze, záchranáři po něm pátrají
Aktualizujeme Na severozápadě Íránu pokračuje rozsáhlá záchranná operace poté, co zde zmizel vrtulník s íránským...
Západem Čech se ženou silné bouřky, meteorologové varují před kroupami
Šumavu a jižní část Plzeňského kraje zasáhly v sobotu kolem poledne silné srážky. Kvůli dešti...
Fico se cítí lépe. Komunikuje s činiteli, informují ho o dění v zemi
Slovenský premiér Robert Fico se cítí lépe. Uvedla to v sobotu odpoledne nemocnice v Banské...
Češi staromilci. Digitální podpis půlka nevyužívá, raději tisknou, ukazuje studie
Starý dobrý papír a propiska, vyplývá z průzkumů společnosti Ipsos ohledně Čechů a elektronického...
„Krok ke třetí světové.“ Ukrajinci zasáhli klíčovou ruskou radarovou stanici
Ukrajinská armáda zřejmě tento týden zasáhla významnou ruskou radarovou stanici, která je součástí...
- Počet článků 45
- Celková karma 0
- Průměrná čtenost 2355x
Seznam rubrik
Oblíbené stránky
- LinuxEXPRES
- DigiNeff
- D-FENS
- Jádro systému Linux - Kompletní průvodce programátora
- AIKEN (moje firemní stránky)
Oblíbené blogy
- Můj společensko-politický blog
- Eva Hrindová
- Štěpán Binko
- Eva Palloto
- Pavel Sikora
- Lenka Rubensteinová