Jiří Peterka | Komentáře
15. 4. 2014 10:20

Ponaučení z krvácejícího srdce internetu: Opatrnost nestačí

Komentář Jiřího Peterky: Stalo se něco vážného, ale vlastně nevíme, kdy a proč. Jakýkoli významnější software je dnes tak složitý a rozsáhlý, že mu dokáže porozumět čím dál tím méně lidí.
Kdo za to může, se nikdy nedozvíme. (Ilustrační foto.)
Kdo za to může, se nikdy nedozvíme. (Ilustrační foto.) | Foto: Thinkstock

Dnes asi už bude na internetu jen málokdo, kdo by nezaslechl alespoň něco o chybě zvané v angličtině Heartbleed, v doslovném překladu „krvácející srdce“. Svou podstatou je to věc docela banální: chyba v softwaru. Tedy něco, co programátoři dělají dnes a denně, často bohužel v docela hojném počtu.

Zde konkrétně jde o chybu, která umožňuje jednomu počítači zcela nepozorovaně a beze stop nahlédnout na dálku do paměti jiného stroje a dostat se tak ke všemu, co se v této paměti právě nachází. Ať už to jsou jména a hesla, různé klíče apod.

Špatné je, že ona chyba „krvácejícího srdce“ se nacházela celé dva roky jakoby všem na očích: v některých verzích jedné z nejpoužívanějších softwarových knihoven (konkrétně Open SSL), dostupné jako tzv. open source. Tedy ve zdrojovém tvaru. To znamená, že potenciálně kdokoli se mohl do zdrojového kódu této knihovny podívat, chybu odhalit a upozornit na ni autory knihovny.

Že se tak nestalo, je celkem pochopitelné: lidí, kteří na to mají potřebné znalosti, je na světě málo a mohou mít jiné starosti a zájmy. Třeba i do té míry „jiné“, že náplní jejich dobře placené práce sice je hledat chyby ve výsledcích práce mnohem hůře placených programátorů, ale ne za účelem jejich nápravy, nýbrž za účelem jejich využití. Z obvyklého pohledu spíše: zneužití.

Spekulací o tom, že o chybě „krvácejícího srdce“ se vědělo již dlouho, vlastně od jejího „vzniku“ přede dvěma roky, a že byla po celou tu dobu zneužívána, v posledních hodinách a dnech přibývá jak hub po dešti. Ovšem kým využívána a k čemu, si lze jen domýšlet, protože nikdo to pochopitelně veřejně nepřizná. Ať už stojí na jedné straně pomyslné barikády a zaštiťuje se potřebou chránit bezpečnost, a to všemi prostředky, nebo stojí na opačné straně barikády a nějakým zdůvodňováním svých aktivit se vůbec nezatěžuje.

Věděla třeba americká NSA o chybě Heartbleed po celou dobu její existence a využívala ji pro své specifické potřeby? Samozřejmě nemůžeme čekat nic jiného než ostré a zcela rezolutní popření takové možnosti. Nebo si snad dovedete představit nějakou jinou reakci od někoho takového, jako je NSA?

Chyba Heartbleed ukázala, že na obezřetnosti koncových uživatelů vlastně nemusí až tak záležet. Tedy pokud se rovnou úplně neodpojí od internetu a dalších moderních prostředků elektronické komunikace a nepřejdou třeba na kouřové signály.

Můžeme jen spekulovat, či se domnívat a předpokládat. A to je právě na celé chybě to fatální: nevíme, zda a jak dlouho ji někdo zneužíval. Zda to byly jen subjekty typu NSA, které přeci jen mají své specifické a alespoň částečně odhadnutelné cíle, nebo zda to byla i nějaká část kriminálního podsvětí, zaměřená na cokoli, co má nějakou hodnotu a dá se zcizit. A pokud o tom subjekty typu NSA věděly, proč se včas nepostaraly o nějaké diskrétní odstranění samotné chyby, místo aby její existencí vystavovaly významnému nebezpečí vlastně úplně každého, kdo je na internetu?

Další velmi velkou nepříjemností chyby Heartbleed je to, že boří mnohé z dosavadních mýtů a dogmat. Třeba ten o výhodách otevřeného (open source) softwaru, o jehož správném fungování se přeci může kdokoli sám přesvědčit. Teď právě jsme se přesvědčili o tom, že teoreticky to tak je, ale prakticky ne. Možná už docela dlouho, protože rostoucí složitost a rozsáhlost jakéhokoli významnějšího softwaru znamená, že mu dokáže porozumět čím dál tím méně lidí.

Ještě horší je ale možná vzkaz lidem, kteří až dosud věřili v možnosti vlastní ochrany v divokém světě internetu: že když se sami, jako uživatelé, budou chovat obezřetně, mohou významně redukovat nebezpečí, kterému jsou dnes a denně vystavováni. Chyba Heartbleed, která se projevuje prakticky jen na straně poskytovatelů služeb a jejich serverů, jim vzkázala, že na obezřetnosti koncových uživatelů vlastně nemusí až tak záležet. Tedy pokud se rovnou úplně neodpojí od internetu a dalších moderních prostředků komunikace v elektronické formě a nepřejdou třeba na kouřové signály. To už ale dnes nepřipadá reálně v úvahu. Takže: co dál? Online svět už nikdy nebude takový, jaký býval před vážnou srdeční příhodou v podobě krvácejícího srdce.

Tento komentář vyšel 15. dubna 2014 v deníku Insider (www.denikinsider.cz).

 

Pokud jste v článku zaznamenali chybu nebo překlep, dejte nám, prosím, vědět prostřednictvím kontaktního formuláře. Děkujeme!

Právě se děje

před 2 hodinami

Bayern i v oslabení zvládl bundesligový zápas ve Fürthu a vyhrál 3:1

Fotbalisté Bayernu Mnichov porazili v předehrávce 6. kola německé ligy Fürth 3:1, přestože proti nováčkovi hráli takřka celý druhý poločas v oslabení. Po úvodní remíze vyhráli v sezoně páté utkání za sebou a vedou neúplnou tabulku o tři body před Wolfsburgem, který má sobotní zápas k dobru.

Skóre otevřel v 10. minutě Thomas Müller, po půlhodině hry zvýšil na 2:0 Joshua Kimmich. Tři minuty po začátku druhého poločasu ale dostal za ostrý faul červenou kartu Benjamin Pavard a bavorský tým se v deseti na výhru ještě hodně nadřel. Ve vyhrocené atmosféře dostal žlutou kartu v 64. minutě i trenér Bayernu Julian Nagelsmann.

Uklidnění úřadujícím šampionům přinesl v 68. minutě vlastní gól Sebastiana Griesbecka, po němž Bayern vedl už o tři branky. V závěru už jen zkorigoval stav přesnou hlavičkou Cedric Itten.

Aktualizováno před 3 hodinami

Brabec vnímá po debatě o Turówě posun, příští týden se sejde s polským ministrem

Ministr životního prostředí Richard Brabec (ANO) vnímá po pátečním jednání expertních týmů významný posun v některých bodech ohledně polského hnědouhelného dolu Turów. Příští týden, pravděpodobně v pondělí, bude jednat s polským protějškem Michalem Kurtykou, později opět zasednou i odborné týmy.  Polský prezident Duda ke sporu řekl v televizi, že se Polsko nemůže připravit o 7 procent energetického trhu a že vybízí k dialogu.

Podle Česka důl Turów u česko-polské hranice mimo jiné ohrožuje zásoby pitné vody v českých obcích. Soudní dvůr Evropské unie v pondělí uvalil na Polsko pokutu půl milionu eur denně (asi 12,7 mil. Kč) za neuposlechnutí předchozího soudního příkazu k přerušení těžby v dole.

Unijní soud už v květnu vydal na základě české žaloby předběžné rozhodnutí o zastavení těžby v dole. Polská vláda reagovala oznámením, že důl zavřít nehodlá, a stejné stanovisko zaujal také generální ředitel společnosti PGE, vlastníka dolu. Náhlé zastavení těžby by podle Polska ohrozilo energetickou bezpečnost země a tisíce pracovních míst. Soud následně vyměřil Polsku zmíněnou pokutu.

Polský ministr spravedlnosti Zbigniew Ziobro v pátek podle agentury PAP řekl, že Soudní dvůr Evropské unie neměl v dané etapě sporu o důl Turów právo uložit Polsku pokutu. Spor o Turów před unijním soudem ještě nedospěl k verdiktu. 

Brabec nechtěl být ohledně možné dohody konkrétní. "Dokud není domluveno všechno, není domluveno nic. Nicméně bylo několik bodů, které byly významně sporné celou dobu. Dnes po jednání vnímám posun v některých a uvidíme. Nechci konkretizovat," řekl v pátek. "Jsem rád, že se i po dnešním jednání přiblížil kompromis, který snad bude přijatelný pro obě strany, který snad budou umět schválit obě vlády," doplnil liberecký hejtman Martin Půta (Starostové pro Liberecký kraj).

Zdroj: ČTK
Další zprávy