Уроки Heartbleed хорошо усвоены. СПО-сообщество OpenSSL Project предало гласности и исправило семь дефектов в защите своего пакета, и теперь рабочий процесс в рамках данного проекта явно отличается от того, который привел к уязвимости Heartbleed, выявленной в апреле нынешнего года.
Ошибка Heartbleed, возможно одна из наиболее массово распространенных уязвимостей последнего десятилетия, поставила под угрозу сотни тысяч пользователей и организаций, вынужденных ожидать ее исправления. Но нынешние обновления безопасности OpenSSL — широко используемой свободной криптографической библиотеки для реализации шифрования по протоколу Secure Sockets Layer (SSL) — по ряду причин следует рассматривать в другом свете.
Одно из самых важных различий между новыми выявленными дефектами и уязвимостью Heartbleed связано с раскрытием информации. В процессе исследования бреши Heartbleed имел место временной зазор, дававший преференции в доступе к информации Google и CloudFlare, тогда как другие организации, узнав об уязвимости из сообщения руководителей проекта OpenSSL, тратили усилия на создание подходящего патча.
Этот факт поставил организации в рискованное положение и нанес прямой ущерб Canada Revenue Agency (налоговой службе Канады), так как хакер воспользовался Heartbleed до развертывания патча.
Процесс раскрытия информации о вновь выявленных дефектах OpenSSL был более организованным. Он не сводился к одноразовому исправлению, так как 5 июня были устранены семь дефектов, о которых за последние несколько месяцев была получена конфиденциальная и достоверная информация.
Так и должна работать система безопасности. Исследователи находят уязвимости и сообщают о них в частном порядке, а вендор (или в данном случае участники открытого проекта) их устраняет, причем патч должен быть доступен всем пользователя до публичного оповещения об уязвимости.
Хотя процесс информирования по дефектам, ликвидированным OpenSSL 5 июня, существенно отличался от аналогичного процесса для Heartbleed, он все-таки был не идеален, и по крайней мере один вендор свободной ОС не был проинформирован должным образом.
«Большинство поставщиков других ОС сумело подготовить патчи, потому что они, по всей видимости, своевременно получили информацию о необходимости их создания. Однако разработчики OpenBSD/LibreSSL никаких указаний от представителей проекта OpenSSL не получали», — написал в почтовой рассылке основатель OpenBSD Тео де Раадт.
Перед лицом уязвимости Heartbleed в проекте OpenBSD решили ответвить от OpenSSL проект LibreSSL. По мнению Раадта, на его проекты умышленно не обращали внимание. Но так или иначе факт состоит в том, что распространение информации об обнаруженной проблеме в целом способствовало тому, чтобы Интернет оставался безопасным.
Одновременно с этим стали появляться заявления, будто Heartbleed доказывает, что СПО само по себе ненадежно и небезопасно. Новые обнаруженные уязвимости OpenSSL говорят о обратном. Одна из давнишних предпосылок безопасности СПО состоит в том, что благодаря открытости кода множество разных людей получает возможность ознакомиться с ним и исследовать его на уязвимости.
Так уж совпало, что Робин Сеггельман, разработчик, ответственный за выпуск кода, ставшего причиной Heartbleed, повинен и в одном из вновь обнаруженных изъянов OpenSSL, раскрытом 5 июня. CVE-2014-0195, ошибка Fragment Out-of-Bounds Write в DTLS (Datagram Transport Layer Security), тоже содержится в коде, который писал Сеггельман.
«OpenSSL является СПО-проектом. Множество глаз, просматривавших код, эту ошибку проглядело, но сегодня этот код, особенно код Сеггельмана, изучает новая категория специалистов, — написал в корпоративном блоге Брайан Горенц, менеджер Zero Day Initiative (ZDI) компании Hewlett-Packard. — Уже известно, что в коде имеются уязвимости».
Одна из перемен в отношении OpenSSL после обнаружения Heartbleed состоит в том, что стали выделяться деньги на поиск и устранение уязвимостей. HP ZDI платит исследователям в области безопасности за их обнаружение.
В результате принятых после обнаружения Heartbleed мер финансовые ресурсы проекта Core Infrastructure Initiative (CII) организации Linux Foundation к настоящему времени выросли до 5,4 млн. долларов. CII выделяет средства на работы по улучшению безопасности создаваемых продуктов, включая OpenSSL. Одной из недавно начатых инициатив, финансируемых CII, является аудит OpenSSL, к которому привлечены специалисты Open Crypto Audit Project (OCAP).
В эпоху пост-Heartbleed число обновлений системы безопасности OpenSSL увеличится, и это хорошо. СПО не претендует на полное избавление от уязвимостей, но важно своевременно находить имеющиеся уязвимости и быстро их устранять, как это ныне происходит с OpenSSL.