Πώς αντιμετωπίζεται μια τέτοια «βόμβα» στην καρδιά του ψηφιακού πολιτισμού μας;
Στις αρχαιοελληνικές τραγωδίες, ένας μυστήριος χρησμός του μαντείου των Δελφών αρκούσε για να φέρει μύρια κακά στη ζωή των ανθρώπων ώσπου να επέλθει η κάθαρση και τελικά η λύτρωση. Στο σύγχρονο μαντείο της ανθρωπότητας, το Διαδίκτυο, το πρόβλημα που ανέκυψε τον μήνα που πέρασε έχει ολοένα και περισσότερο τα χαρακτηριστικά μιας τέτοιας τραγωδίας: ένα «ανθρώπινο λάθος» άφησε ανοιχτή και χάσκουσα την πρόσβαση κατευθείαν στην καρδιά του Διαδικτύου επί δυόμισι χρόνια.
Αποκαλύψεις για το ότι η πλέον διαβόητη μυστική υπηρεσία και η μεγαλύτερη μηχανή αναζήτησης γνώριζαν την ύπαρξή του άνοιξαν τον ασκό του Αιόλου, σπέρνοντας από εύλογες απορίες για το κατά πόσον το λάθος ήταν… λάθος, έως θεωρίες παγκόσμιας συνωμοσίας. Επειτα, καθώς οι πάντες έσπευδαν να μπαλώσουν την αιμορραγία δεδομένων, εμφανίστηκαν οι πάντα πρόθυμοι χάκερ που αξιοποίησαν το «λάθος» για να κλέψουν και να εκβιάσουν άτομα, επιχειρήσεις και οργανισμούς. Υστερα ήρθαν οι συζητήσεις για το αν μας φταίει το «ελεύθερο λογισμικό» ή το «βαθύ Internet»… Και ενόσω αυτή η σύγχρονη παγκόσμια και ψηφιακή τραγωδία εκτυλίσσεται, κανείς δεν είναι σίγουρος για το πώς θα επέλθει τελικά η κάθαρση και – πολύ περισσότερο – η λύτρωση.
Το πιο πετυχημένο πρωταπριλιάτικο αστείο θα νόμισε ότι άκουσε φέτος ένας Βρετανός, όταν την αποφράδα εκείνη Τρίτη του τηλεφώνησε στέλεχος της Google και του είπε πως η «κρυπτογραφική βιβλιοθήκη και εργαλειοθήκη της εταιρείας σας»… αιμορραγούσε. Κάτι τέτοιο έμοιαζε απίθανο, δεδομένου ότι το OpenSSL – όπως ονομάζεται αυτό το λογισμικό – είχε δοκιμαστεί και χρησιμοποιηθεί από χιλιάδες τράπεζες, εφορίες, νοσοκομεία… και κάθε λογής δημόσιες και ιδιωτικές υπηρεσίες όπου Γης. Και αυτό το καταλαβαίνει οποιοσδήποτε αναγνώστης μας χρησιμοποιεί διαδικτυακή τραπεζική (e-banking): είναι η κλειδαριά που εμφανίζεται στην κάτω δεξιά άκρη της οθόνης, μόλις μπούμε σε ιστοσελίδα ασφαλούς επικοινωνίας. Δηλαδή, το SSL (Secure Sockets Layer στα αγγλικά) είναι ο φύλακας-άγγελος του απορρήτου των επικοινωνιών μας, το πρόγραμμα που πιστοποιεί τους κωδικούς μας και μας επιτρέπει την πρόσβαση σε ό,τι πιο πολύτιμο κυκλοφορεί στο Διαδίκτυο. Το ότι η συγκεκριμένη εκδοχή του προγράμματος ονομαζόταν OpenSSL δεν σήμαινε κάτι το λιγότερο ασφαλές. Απλώς ήταν η δωρεάν εκδοχή του προγράμματος, που είχε γίνει τόσο δημοφιλής ώστε να βρίσκεται πλέον εγκατεστημένη στο 66% των εξυπηρετητών (servers) του Διαδικτύου, παγκοσμίως – κάπου 500.000 υπολογιστές κρυπτογραφημένης επικοινωνίας.
Το χρονικό μιας αδιανόητης αποκάλυψης
Ακουγόταν αδιανόητο αλλά δεν επρόκειτο διόλου για φάρσα. Οπως εξήγησε ο Νιλ Μέτα της Google στον Στίβεν Χένσον της OpenSSL.org, είχε ο ίδιος εντοπίσει το λάθος στο υποπρόγραμμα διαχείρισης επικοινωνίας της OpenSSL – ονόματι Heartbeat (Καρδιακός παλμός) – και ως τις 21 Μαρτίου 2014 δύο συνάδελφοί του είχαν καταφέρει να φτιάξουν ένα «μπάλωμα» που το διόρθωνε. Επειτα στις 31 Μαρτίου μια αμερικανική εταιρεία συμβούλων ασφάλειας – η CloudFlare – είχε βρει και διορθώσει το ίδιο λάθος, στον δικό της εξυπηρετητή… χωρίς να το κάνει θέμα. Και ύστερα, στις 3 Απριλίου 2014, μια φινλανδική εταιρεία ασφάλειας διαδικτυακού λογισμικού – η Codenomicon – έκανε την ίδια ανακάλυψη. Αλλά οι Φινλανδοί δεν το κράτησαν διόλου μυστικό: την ίδια ημέρα βάφτισαν το λάθος Heartbleed (Καρδιορραγία), σχεδίασαν ένα λογότυπο γι’ αυτό, συνέταξαν μια λεπτομερή αναφορά του προβλήματος και την «αφισοκόλλησαν» σε ομώνυμη ιστοσελίδα που ανάρτησαν στο Διαδίκτυο (heartbleed.com). Οπως έγραψαν εκεί, οι προγραμματιστές της διαπίστωσαν ότι μπορούσαν μέσω του Heartbleed να κλέψουν όλα τα κλειδιά κρυπτογράφησης του ιστοτόπου της εταιρείας τους και να διαφύγουν απαρατήρητοι, χωρίς να αφήσουν το παραμικρό ίχνος.
Τέσσερις ημέρες μετά η OpenSSL διόρθωσε το λάθος της παρουσιάζοντας στις 7 Απριλίου 2014 την έκδοση OpenSSL 1.0.1g. Ομως ο συναγερμός παραχώρησε γρήγορα τη θέση του στον πανικό: Στις 8 Απριλίου, η Καναδική Εφορία (CRA) ανακάλυψε ότι μέσω του Heartbleed τής είχαν κλέψει τα στοιχεία ταυτοποίησης 900 πολιτών. Στις 10 Απριλίου η Cisco και η Juniper – δύο από τους μεγαλύτερους κατασκευαστές εξοπλισμού διαδικτύωσης – ανακοίνωσαν ότι τα προϊόντα τους είχαν μολυνθεί από το Heartbleed. Και ύστερα, την επόμενη ακριβώς ημέρα, το πρακτορείο ειδήσεων Bloomberg «έριξε τη βόμβα»: έγραψε ότι δύο στελέχη της Εθνικής Υπηρεσίας Ασφαλείας των ΗΠΑ (NSA) παραδέχτηκαν ανωνύμως ότι η υπηρεσία τους γνώριζε το πρόβλημα από… διετίας, αλλά δεν το αποκάλυψε διότι προτίμησε να το εκμεταλλευτεί προς άγραν μυστικών από το Διαδίκτυο!
Ποιος γνώριζε και σιωπούσε
Η NSA αντέδρασε άμεσα, με ανακοίνωσή της όπου δήλωνε πως τα σχετικά δημοσιεύματα ήταν ψευδή και ότι αν γνώριζε κάτι τέτοιο θα είχε φροντίσει να ενημερώσει την αρμόδια διαδικτυακή κοινότητα. Ομως το ότι ο πρόεδρος των ΗΠΑ έχει εξουσιοδοτήσει την NSA να «αξιοποιεί ελαττώματα ασφαλείας του Διαδικτύου», σε συνδυασμό με τις πολύκροτες αποκαλύψεις του πρώην πράκτορα Εντουαρντ Σνόουντεν για τις παρακολουθήσεις της, αφήνει τη φαντασία όλων να καλπάζει ασυγκράτητη. Πόσω μάλλον όταν, όπως αποκάλυψε τον Αύγουστο του 2013 η «Washington Post», η NSA είχε ξοδέψει εκείνη τη χρονιά 25 εκατομμύρια δολάρια για… αξιοποιήσεις ρωγμών ασφαλείας.
Αρχικά οι υπέρμαχοι της ελευθερίας του Διαδικτύου αναζήτησαν τη ρίζα του κακού στον προγραμματιστή που έκανε το τρομακτικό «λάθος». Ποιος ήταν, γιατί το έκανε, πώς διέφυγε κάθε ελέγχου; Η απάντηση που δόθηκε από τον ίδιο τον νυν υπάλληλο της Deutsche Telekom, Ρόμπιν Ζέγκελμαν, ήταν αφοπλιστικά απλή: τον Δεκέμβριο του 2011, όταν ήταν ακόμη διδακτορικός φοιτητής στο γερμανικό Πανεπιστήμιο του Μίνστερ, είχε συμβάλει εθελοντικά στη σύνταξη της τότε νέας έκδοσης του «ελεύθερου κρυπτογραφικού συστήματος» OpenSSL. Παρέδωσε το υποπρόγραμμα που είχε γράψει, χωρίς να προσέξει ότι δεν είχε διασφαλίσει τον έλεγχο του μήκους των λέξεων που έστελνε ο διαδικτυακός εξυπηρετητής (server). To υποπρόγραμμα του Ζέγκελμαν έφθασε προς έλεγχο στα χέρια του βρετανού συμβούλου κρυπτογράφησης, Στίβεν Χένσον. Η πίεση του χρονοδιαγράμματος παράδοσης, αλλά ίσως και το ίδιο το κλίμα των εορταστικών ημερών, έκαναν τον Χένσον να ελέγξει βιαστικά και να εγκρίνει την εργασία του Ζέγκελμαν χωρίς να δει και εκείνος ότι η συγκεκριμένη μεταβλητή του προγράμματος «έχασκε». Ετσι, μία μόλις ώρα προτού το ρολόι χτυπήσει Πρωτοχρονιά του 2012, ενσωμάτωσε το υποπρόγραμμα στην έκδοση 1.0.1 του OpenSSL. Τώρα οι πάντες αναρωτιούνται αν ο προγραμματιστής και ο ελεγκτής έκαναν το «δις εξαμαρτείν» άδολα ή δολίως. Πάντως, αποδείξεις δεν υπάρχουν.
Στα πυρά της καχυποψίας βρέθηκε έπειτα και η Google, καθώς ήταν η πρώτη που ανακάλυψε το προγραμματιστικό λάθος αλλά δεν το αποκάλυψε αμέσως στην προγραμματιστική κοινότητα του OpenSSL. H απάντηση των στελεχών της ήταν πως είχαν κρίνει πρωτεύον να βρουν τρόπο να σταματήσουν την «αιμορραγία» προτού την αντιληφθούν οι όποιοι χάκερ. Ομως η δημοσιοποίηση των ευρημάτων από την Codenomicon ανέτρεψε την προσπάθεια αντιμετώπισης του προβλήματος εκ των έσω.
Ο κίνδυνος της «ανοιχτής καρδιάς»
Η μία των πρώτων επιχειρήσεων που ανακάλυψαν το Heartbleed, η αμερικανική Cloudflare, έβαλε τους προγραμματιστές της να διαπιστώσουν κατά πόσον μέσω του «λάθους» μπορούσε ένας χάκερ να υποκλέψει το κρυπτογραφημένο κλειδί που διασφαλίζει την επικοινωνία χρηστών – εξυπηρετητών. Αν συνέβαινε αυτό, τότε ο χάκερ θα μπορούσε να στήσει έναν ψευδο-ιστότοπο που θα παρέκαμπτε τον έλεγχο ασφαλείας ή να αποκρυπτογραφήσει την επικοινωνία άλλων χρηστών με τον συγκεκριμένο εξυπηρετητή – τωρινή ή και του παρελθόντος. Οι προγραμματιστές της Cloudflare προσπάθησαν μάταια επί δύο εβδομάδες να κάνουν την υποκλοπή. Τότε, στις 11 Απριλίου 2014, η Cloudflare προκάλεσε την κρυπτογραφική κοινότητα του Διαδικτύου να επιτεθεί σε έναν εξυπηρετητή της που έτρεχε την «αιμορραγούσα» έκδοση του OpenSSL. Εντός μίας μόνον ημέρας είδαν να συμβαίνει το καταπληκτικό: Πρώτος έκλεψε το κλειδί ο Ρώσος Φεντόρ Ιντούτνι, έπειτα ο Φινλανδός Ιλκα Ματίλα, έπειτα ο κινέζος διδακτορικός φοιτητής του Κέιμπριτζ Ρούμπιν Ξου και ύστερα ο βρετανός ερευνητής ασφάλειας υπολογιστών Μπεν Μέρφι. Αποδεδειγμένα λοιπόν το 66% του Διαδικτύου που «έτρεχε» το ίδιο λογισμικό κρυπτογράφησης μπορούσε να θεωρηθεί ξεκλείδωτο.
Μια παρήγορη σκέψη θα ήταν ότι την υποκλοπή του κλειδιού κατόρθωσαν τέσσερις «πρωταθλητές», υπερ-ταλαντούχοι νέοι ταγμένοι μόνο στην ασφάλεια του Διαδικτύου. Ομως η πραγματικότητα διέλυσε γρήγορα τέτοιες αυταπάτες: μία μόλις ημέρα μετά τη δημοσιοποίηση της ύπαρξης του Heartbleed, το αμερικανικό Πανεπιστήμιο του Μίσιγκαν διαπίστωσε έντρομο ότι υπολογιστής από την Κίνα του είχε επιτεθεί ακριβώς μέσω αυτής της οδού. Ακολούθησαν 41 όμοιες επιθέσεις στον ίδιο εξυπηρετητή, με τις μισές να προέρχονται από την Κίνα. Αντίστοιχη επίθεση δέχθηκε το δίκτυο της Yahoo, η οποία συνειδητοποίησε ότι είχε χάσει αρκετά δεδομένα χρηστών της προτού προλάβει να «μπαλώσει» το λογισμικό της. Εκτοτε, πολλές επιχειρήσεις ακούστηκε ότι έπεσαν θύματα εκβιασμού από χάκερ που κατείχαν δεδομένα τους, αλλά σχεδόν όλες απέφυγαν να το καταγγείλουν στην αστυνομία για να μη χάσουν την αξιοπιστία ή και την πελατεία τους.
Μετεγχειρητικές επιπλοκές και οι πρώτες συλλήψεις
Στις τρεις εβδομάδες που επακολούθησαν της αποκάλυψης, το σύνολο σχεδόν των διαδικτυακών επιχειρήσεων ανέβηκε τον Γολγοθά του ελέγχου της πληροφορικής υποδομής τους και του προσεκτικού μπαλώματος των σημείων πιθανής «αιμορραγίας» των δεδομένων τους. Η επίπονη αυτή διαδικασία ενίσχυσης της άμυνας φάνηκε μάλιστα να περνά στη φάση της αντεπίθεσης από τα μέσα του Απριλίου, όταν ερευνητές του Πανεπιστημίου του Τέξας στο Ντάλας παρουσίασαν την τεχνική Red Herring: μια τεχνική αυτόματης δημιουργίας ψευδο-εξυπηρετητών, που κάνει τους χάκερ να πιστεύουν ότι απέκτησαν πρόσβαση σε εμπιστευτικές πληροφορίες, ενώ στην πραγματικότητα έπεφταν σε μια παγίδα παρακολούθησης και εντοπισμού της προέλευσής τους. Ο πρώτος συλληφθείς από μια τέτοια «σφηκοπαγίδα» ήταν στις 16 Απριλίου ο 19χρονος Αρτούρο Σόλις-Ρέγες, από το Οντάριο, ο οποίος θα δικαστεί με την κατηγορία ότι υπέκλεψε τα στοιχεία 900 φορολογουμένων του Καναδά.
Πόσο μας αγγίζει η αιμορραγία;
Δεν πρέπει να μας διαφεύγει όμως ότι αυτή η άμυνα και η αντεπίθεση αφορούσε μόνο τους εξυπηρετητές των τηλεματικών παρόχων πρόσβασης και υπηρεσιών στο Διαδίκτυο. Τι γίνεται με τους απλούς χρήστες – εμάς; Και, επίσης, αφορά μόνον τους χρήστες υπολογιστών ή και άλλους;
Ως προς το πρώτο, η κατάσταση είναι ιδιαίτερα ανησυχητική δεδομένου ότι το Heartbleed δεν είναι εμβόλιμο κακόβουλο λογισμικό (ιός ή bot), αλλά εγγενής ανεπάρκεια του συστήματος διαδικτύωσης. Επομένως, τα διάφορα προγράμματα anti-virus και anti-malware που έχουμε υποχρεωθεί όλοι μας να «φοράμε» στους υπολογιστές μας αποδεικνύονται ανίκανα να το ανιχνεύσουν. Χαρακτηριστικό μάλιστα παράδειγμα είναι ότι από τα κύρια θύματα της «καρδιορραγίας» ήταν τα ίδια τα αντιιικά προϊόντα της πασίγνωστης McAfee.
Ως προς το δεύτερο, η Apple ανακοίνωσε ότι τα λειτουργικά συστήματα των προϊόντων της ήταν απρόσβλητα από το «λάθος» της OpenSSL, αλλά η Google παραδέχτηκε πως τα κινητά τηλέφωνα που έτρεχαν το Android 4.1.1 Jelly Bean είχαν την κερκόπορτα ανοιχτή. Δηλαδή, το 35,3% των συσκευών Android παγκοσμίως πρέπει άμεσα να αναβαθμιστεί σε επόμενη έκδοση του λειτουργικού αυτού συστήματος.
Εκτός όμως των υπολογιστών και των κινητών τηλεφώνων, πολλές άλλες συσκευές από τον ολοένα διευρυνόμενο διαδικτυακό κόσμο μας έχουν ενσωματωμένο τον δωρεάν κώδικα της OpenSSL. Για παράδειγμα, τα συστήματα συναγερμού με ασύρματες κάμερες επόπτευσης χώρων: ποιος μας διασφαλίζει ότι η συμβεβλημένη εταιρεία αναβάθμισε το λογισμικό των συστημάτων της ώστε να μην παραμένει ανοιχτή η κερκόπορτα του Heartbleed; Ενας σοφιστικέ διαρρήκτης, με δυνατότητες χάκερ, θα μπορούσε κάλλιστα να υποκλέψει την επικοινωνία τακτικού ελέγχου του συναγερμού και, με το ψηφιακό του κλειδί στο χέρι, να μπει σαν κύριος στον χώρο μας.
Ο ζόφος του αύριο<
Επειτα από έναν μήνα είναι πιθανό να μη μιλάει κανείς πια για το Heartbleed. Είναι πιθανόν όλες οι μέχρι πρότινος ευάλωτες διαδικτυακές επιχειρήσεις να έχουν μπαλώσει το λογισμικό τους και να έχουν φυτέψει τις απαραίτητες «σφηκοπαγίδες», ώστε να μας καθησυχάσουν για την ψηφιακή μας ασφάλεια. Ομως το συμβάν έχει χαράξει πια ανεξίτηλα τη «λεπτή κόκκινη γραμμή» που κινδυνεύει να διαβεί ο πολιτισμός μας.
Θα μπορούσε να πει κανείς ότι ο πρώτος που το διατύπωσε αυτό ήταν ο περιβόητος φυγάς Εντουαρντ Σνόουντεν, όταν μας προειδοποίησε όλους πως «η NSA έβαλε φωτιά στο μέλλον του Διαδικτύου». Ή ο χάκερ Αντριου Αουερνχάιμερ, όταν έγραψε στο περιοδικό «Wired» ότι «σε μια εποχή αχαλίνωτης κατασκοπείας στον κυβερνοχώρο και καταπίεσης των αντιφρονούντων, το μόνο ηθικό στοιχείο όπου μπορείς να εμπιστευτείς ένα ρήγμα ασφαλείας είναι κάποιος που θα το χρησιμοποιήσει προς όφελος της κοινωνικής δικαιοσύνης. Και αυτός δεν είναι ο πωλητής υπηρεσιών, οι μεγαλοεπιχειρήσεις ή οι κυβερνήσεις – είναι τα άτομα» (βλ. www.wired.com/2012/11/hacking-choice-and-disclosure).
Το θέμα θα ήταν όντως αυτό και μόνον, αν απλά εξετάζαμε τι συμβαίνει στον κυβερνοκόσμο. Αν η υποτιθέμενη σιωπή της NSA για την ύπαρξη του «λάθους» είχε να κάνει μόνο με την προσπάθειά της να διεισδύσει στον κρυπτογραφημένο «βυθό του Διαδικτύου», εκεί όπου επικοινωνούν ναρκέμποροι, σωματέμποροι, παιδεραστές, έμποροι όπλων, αναρχικοί και φυγάδες σαν τον Σνόουντεν – και η ειρωνεία είναι ότι το πιο γνωστό δίκτυό τους, το Tor, ανακοίνωσε πως αυτό ήταν εξαρχής απρόσβλητο από το Heartbleed. Ομως το πρόβλημα είναι πολύ ευρύτερο.
Αυτό που πραγματικά θαρρώ ότι συνειδητοποιούν τις μέρες αυτές οι απανταχού κυβερνήσεις είναι το ότι χτίζουν πύργους στην άμμο. Τα όνειρα της ψηφιακής διακυβέρνησης, της ψηφιακά άμεσης δημοκρατίας, της ευέλικτης οικονομίας, της τηλεπαροχής υπηρεσιών υγείας, της διαδραστικής τηλε-εκπαίδευσης, της τεχνολογικά προηγμένης άμυνας… βασίζονται όλα σε ψηφιακές υποδομές. Και η διαφάνεια όλων αυτών των δημόσιων υπηρεσιών στηρίζεται στο κίνημα του ελεύθερου λογισμικού – του λογισμικού που γράφουν εθελοντικά οι πολλοί για τους πολλούς.
Οι «τρύπες» του ψηφιακού πολιτισμού
Τώρα, η αποκάλυψη τoυ «λάθους» έφερε στην επιφάνεια μικρές πικρές αλήθειες. Οπως το ότι τα δύο τρίτα του Διαδικτύου βασίζονται στο λογισμικό μιας εταιρείας εθελοντών με μόνιμο προσωπικό… ενός ατόμου. Ή, ότι οι μυριάδες επωφελούμενοι από το λογισμικό των εθελοντών – κολοσσοί όπως η Google – επιχορηγούσαν ετησίως το έργο της OpenSSL με συνολικό ποσό που δεν υπερέβαινε τα… 2.000 δολάρια. Αλλά έφερε στην επιφάνεια και μεγάλες πικρές αυταπάτες. Οπως το ότι ένα «Διαδίκτυο των Πάντων» (βλ. www.tovima.gr/science/article/?aid=574816) μπορεί να είναι διαχειρήσιμο με τέτοιου είδους υποδομές ασφαλείας.
Το πραγματικά ζοφερό της όλης ιστορίας είναι ότι οδεύουμε μονοκατευθυντήρια προς έναν πολιτισμό ολότελα ψηφιακό, χωρίς «αναλογικό back-up». Και στον φόβο που είχαμε μήπως «ο ήλιος μάς κάψει τα φτερά» – με κάποια γιγαντιαία έκλαμψη που θα σβήσει κάθε τι το ηλεκτρονικό – προστέθηκε τώρα ο φόβος της «ψηφιακής καρδιακής ανεπάρκειας». Τι θα συμβεί στην επόμενη γενιά ανθρώπων, όταν όλα θα λειτουργούν αποκλειστικά μέσω Διαδικτύου, αν κάποιος κλέψει όλα τα κλειδιά του; Πόσοι άνθρωποι θα πεθάνουν επειδή όλες μας οι κρίσιμες υποδομές θα περάσουν στα χέρια ενός κλέφτη;
Αυτά και πολλά άλλα παρόμοια είναι ερωτήματα ζοφερά που εύκολα λες ότι τα θέτει κάποιος τεχνοφοβικός Λουδίτης. Ομως το να μην τα απαντήσουμε επιμελημένα και συνετά, με μέτρα απτά, αποστομωτικά, είναι ανευθυνότητα ενός Homo διόλου sapiens.
ΤΙ ΜΠΟΡΟΥΜΕ ΝΑ ΚΑΝΟΥΜΕ
Πώς να διαγνώσετε το Heartbleed
«Οσο περισσότερα έχει κανείς να προστατεύσει τόσο περισσότερα κινδυνεύει να χάσει» εξαιτίας του Heartbleed. Για να βοηθηθεί ο κάθε χρήστης να εντοπίσει τα σημεία επικινδυνότητας, έχουν ήδη προσφερθεί δωρεάν διάφορα διαγνωστικά γιατροσόφια. Με την επιφύλαξη ότι δεν έχει κριθεί ακόμη αντικειμενικά ποια εξ αυτών είναι τα απλούστερα, αμεσότερα και πιο αξιόπιστα, παραθέτουμε τα εξής:
- Για τη διάγνωση του κατά πόσον ο δικός σας υπολογιστής είναι ευάλωτος από το Heartbleed, μπορείτε να δοκιμάσετε το πρόγραμμα Pacemaker του MIT (github.com/Lekensteyn/pacemaker).
- Για τη διάγνωση ιστοτόπων που επισκέπτεστε κατά πόσον πάσχουν από καρδιορραγία, το toolbar της NetCraft (toolbar.netcraft.com/install) εγκαθίσταται δωρεάν στον πλοηγό σας (Firefox, Chrome ή Opera) και λειτουργεί ως φίλτρο.
- Για να διαπιστώστε αν η Android κινητή σας συσκευή είναι ευάλωτη, κατεβάστε τη δωρεάν εφαρμογή McAfee Heartbleed Detector (play.google.com/store/apps/details?id=com.mcafee.heartbleed).
Γιατί το «λάθος» βαφτίστηκε Heartbleed;
Το υποπρόγραμμα της OpenSSL όπου σημειώθηκε το μοιραίο συντακτικό λάθος επιτελεί συνεχώς και ρυθμικά μια κρίσιμη διαδικασία ελέγχου της επικοινωνίας χρήστη – εξυπηρετητή. Ως εκ τούτου είχε επονομαστεί Heartbeat, δηλαδή Καρδιακός Παλμός (Χτυποκάρδι). Οι προγραμματιστές της φινλανδικής Codenomicon – που αποκάλυψε δημοσίως το λάθος – έκριναν εύλογο το σχετικό λογοπαίγνιο και βάφτισαν το λάθος Καρδιακή Αιμορραγία (Καρδιορραγία, αγγλιστί Heartbleed).
Πώς δουλεύει το Heartbleed;
Οπως γνωρίζουν όλοι όσοι μπαινοβγαίνουν σε ιστοτόπους κρυπτογραφημένους με SSL (ή OpenSSL εν προκειμένω), η πρόσβαση διασφαλίζεται στην αρχή μέσω ελέγχου «συνθήματος και παρασυνθήματος». Και στη συνέχεια, όμως, τα δεδομένα που παρέχει ο εξυπηρετητής του ιστοτόπου στον χρήστη οφείλουν να ελέγχονται από το σύστημα, τόσο ποιοτικά όσο και ποσοτικά. Σχηματικά αυτός ο έλεγχος γίνεται με έναν «ταχυδρομικό φάκελο» που πηγαινοέρχεται μέσω εξυπηρετητή – χρήστη. Ο χρήστης στέλνει τον φάκελο με αίτημα άντλησης δεδομένων συγκεκριμένης υφής (ποιότητα) και έκτασης (ποσότητα) και ο εξυπηρετητής απαντά μετά τον έλεγχο αναλόγως. Το «λάθος» που βαφτίστηκε Heartbleed έχει να κάνει με τον έλεγχο της ποσότητας (bounds checking). Σαν να ήταν, δηλαδή, «ακορντεόν» ο φάκελος και να επέτρεπε την παραλαβή όχι μόνο των αρχικά αιτηθέντων αλλά και όσων δεδομένων υπήρχαν στην προσωρινή μνήμη του εξυπηρετητή τη συγκεκριμένη στιγμή.
Το τι ζημιά μπορεί να προκληθεί από την αξιοποίηση αυτού του ελαττωματικού φακέλου έχει να κάνει λοιπόν με το περιεχόμενο της προσωρινής μνήμης του εξυπηρετητή. Σαν τι μπορεί να βρίσκεται καταγεγραμμένο εκεί; Η απάντηση έχει μεγάλη σχέση με την τυχαιότητα – το ποιος χρήστης είχε προηγηθεί και τι δεδομένα είχε χειριστεί – με το μήκος του κειμένου που μπορούσε να ανασύρει ο ελαττωματικός φάκελος και με τον τρόπο καταχώρισης των δεδομένων στον εξυπηρετητή. Αυτός ο τελευταίος ήταν μία ακόμη αχίλλειος πτέρνα του OpenSSL: αντί να χρησιμοποιήσουν εμπορικά διαθέσιμο πρόγραμμα διαχείρισης μνήμης είχαν γράψει τη δική τους παραλλαγή (C dynamic memory allocation routines), δημιουργώντας «υπερμεγέθη αποθέματα μνήμης» που, συν τοις άλλοις, παρέκαμπταν τους ελέγχους διαχείρισης αρκετών λειτουργικών συστημάτων.
