Dnes asi už bude na internetu jen málokdo, kdo by nezaslechl alespoň něco o chybě zvané v angličtině Heartbleed, v doslovném překladu „krvácející srdce“. Svou podstatou je to věc docela banální: chyba v softwaru. Tedy něco, co programátoři dělají dnes a denně, často bohužel v docela hojném počtu.

Zde konkrétně jde o chybu, která umožňuje jednomu počítači zcela nepozorovaně a beze stop nahlédnout na dálku do paměti jiného stroje a dostat se tak ke všemu, co se v této paměti právě nachází. Ať už to jsou jména a hesla, různé klíče apod.

Špatné je, že ona chyba „krvácejícího srdce“ se nacházela celé dva roky jakoby všem na očích: v některých verzích jedné z nejpoužívanějších softwarových knihoven (konkrétně Open SSL), dostupné jako tzv. open source. Tedy ve zdrojovém tvaru. To znamená, že potenciálně kdokoli se mohl do zdrojového kódu této knihovny podívat, chybu odhalit a upozornit na ni autory knihovny.

Že se tak nestalo, je celkem pochopitelné: lidí, kteří na to mají potřebné znalosti, je na světě málo a mohou mít jiné starosti a zájmy. Třeba i do té míry „jiné“, že náplní jejich dobře placené práce sice je hledat chyby ve výsledcích práce mnohem hůře placených programátorů, ale ne za účelem jejich nápravy, nýbrž za účelem jejich využití. Z obvyklého pohledu spíše: zneužití.

Spekulací o tom, že o chybě „krvácejícího srdce“ se vědělo již dlouho, vlastně od jejího „vzniku“ přede dvěma roky, a že byla po celou tu dobu zneužívána, v posledních hodinách a dnech přibývá jak hub po dešti. Ovšem kým využívána a k čemu, si lze jen domýšlet, protože nikdo to pochopitelně veřejně nepřizná. Ať už stojí na jedné straně pomyslné barikády a zaštiťuje se potřebou chránit bezpečnost, a to všemi prostředky, nebo stojí na opačné straně barikády a nějakým zdůvodňováním svých aktivit se vůbec nezatěžuje.

Věděla třeba americká NSA o chybě Heartbleed po celou dobu její existence a využívala ji pro své specifické potřeby? Samozřejmě nemůžeme čekat nic jiného než ostré a zcela rezolutní popření takové možnosti. Nebo si snad dovedete představit nějakou jinou reakci od někoho takového, jako je NSA?

Můžeme jen spekulovat, či se domnívat a předpokládat. A to je právě na celé chybě to fatální: nevíme, zda a jak dlouho ji někdo zneužíval. Zda to byly jen subjekty typu NSA, které přeci jen mají své specifické a alespoň částečně odhadnutelné cíle, nebo zda to byla i nějaká část kriminálního podsvětí, zaměřená na cokoli, co má nějakou hodnotu a dá se zcizit. A pokud o tom subjekty typu NSA věděly, proč se včas nepostaraly o nějaké diskrétní odstranění samotné chyby, místo aby její existencí vystavovaly významnému nebezpečí vlastně úplně každého, kdo je na internetu?

Další velmi velkou nepříjemností chyby Heartbleed je to, že boří mnohé z dosavadních mýtů a dogmat. Třeba ten o výhodách otevřeného (open source) softwaru, o jehož správném fungování se přeci může kdokoli sám přesvědčit. Teď právě jsme se přesvědčili o tom, že teoreticky to tak je, ale prakticky ne. Možná už docela dlouho, protože rostoucí složitost a rozsáhlost jakéhokoli významnějšího softwaru znamená, že mu dokáže porozumět čím dál tím méně lidí.

Ještě horší je ale možná vzkaz lidem, kteří až dosud věřili v možnosti vlastní ochrany v divokém světě internetu: že když se sami, jako uživatelé, budou chovat obezřetně, mohou významně redukovat nebezpečí, kterému jsou dnes a denně vystavováni. Chyba Heartbleed, která se projevuje prakticky jen na straně poskytovatelů služeb a jejich serverů, jim vzkázala, že na obezřetnosti koncových uživatelů vlastně nemusí až tak záležet. Tedy pokud se rovnou úplně neodpojí od internetu a dalších moderních prostředků komunikace v elektronické formě a nepřejdou třeba na kouřové signály. To už ale dnes nepřipadá reálně v úvahu. Takže: co dál? Online svět už nikdy nebude takový, jaký býval před vážnou srdeční příhodou v podobě krvácejícího srdce.

Tento komentář vyšel 15. dubna 2014 v deníku Insider (www.denikinsider.cz).