INTERNET SE DRŽI SKUPAJ Z ŽVEČILNO GUMO IN ŽICO ZA BALIRANJE - TECHCRUNCH - DRUGA - 2019

Anonim

Jon Evans sodelavec

Jon Evans je vodja tehničnega svetovanja HappyFunCorp; nagrajeni avtor šestih romanov, enega grafičnega romana in knjige potovalnega pisanja; in kolumnist vikenda TechCrunch od leta 2010.

Več objav tega prispevka

  • Tehnika
  • Peggyback problem

Ali ste vedeli, da citirate jeznega hekerja:

Internet iz vseh kotov je bila vedno hiša kart, ki je bila skupaj z okvarjenim trakom. Čudež je, da karkoli sploh deluje. Tisti, ki razumejo veliko vključenih tehnologij, jih na splošno sovražijo, a hkrati so presenečeni, da za končne uporabnike stvari običajno delujejo precej dobro.

Danes želim govoriti o vseh nezaslišanih varnostnih nesrečah po internetu v zadnjih nekaj mesecih, toda, kot je nekoč dejal Inigo Montoya: "Ne, je preveč. Naj povzamem." Žal, celo nepopolni povzetek je dolgotrajen katastrofo. Pa poglejmo:

  • Apple: "Oh draga." Tako slabo je, kot si lahko predstavljate, to je vse, kar lahko rečem. "
    Oh, in ločeno, njihova implementacija OpenSSL je prekinjena.
  • Linux: "Kritična napaka kripto prepušča Linuxu, na stotine programov je odprto za prisluškovanje." (1)
  • Microsoft Word: "ranljivost ničelnega dne pod aktivnim napadom."
  • Yahoo: "Občutljivost na daljše izvajanje ukazov."
  • Kreditne kartice: Target. Nieman Marcus. California DMV. Etcetera.

Takrat še nekaj mesecev na internetu. Ampak ne razumite me narobe. Stvari so veliko slabše, kot se jim zdi seznam.

Ste vedeli, da je prenos programske opreme varno skoraj nemogoče? Ali ste vedeli, da je sistem certifikatov, ki prevzame https, tako imenovani "varen" brskalnik, katastrofalni nered in je bil vedno? Ali ste vedeli, da je NSA - dobro, OK, mislim, da to storite. (Hvala, Ed!) Ali ste vedeli, da je OpenSSL, ki se v veliki meri uporablja v industriji za zaščito aplikacij vseh vrst in velikosti, široko gledano označen kot kodo tako slabo in zmedeno, "so napisali opice?"

Današnja razstava A za "autoconf: najmanj slaba stvar v svojem problemskem prostoru": prekleto OpenSSL.

- zack brez imena šale (@elwoz) 21. februar 2014

Pravzaprav, lahko izbrišete vse, kar ste v prejšnjem tweetu pred "prekleto".

- zack brez imena šale (@elwoz) 21. februar 2014

Zakaj je to? Zakaj nismo samo negotovi, temveč vse bolj negotovi v dobi široko dostopne nezlomljive kriptografije? Kaj se je zgodilo tako strašno narobe?

No. Resnično tri stvari.

1. Varnost je težka.

Ne, res je.

2. Uporabnikom ni mar.

Ne, res ne. Najpogostejša gesla po internetu so »123456« in »geslo«. Ne zanimajo se niti za najbolj osnovno varnostno higieno:

Varnost: Ne kliknite na stvari / Popravi svoje stvari / Znebite se slabih stvari (Java) / Ne kliknite na stvari. Lahko zdaj grem domov?

- John Adams (ネ ッ リ ク) (@netik) 7. februar 2014

.

dokler ne dobijo hacked. In potem, seveda, krivijo tehnologijo.

Oprostite, da poročam, da ta krivda ni povsem napačna. Ker

3. Varnost je ponavadi zamisel.

Ne, če je to.Ker je varnost težka in uporabniki so leni, zato sistemi, ki so varni tudi za navadne uporabnike, prevzamejo preveč časa in truda, zato tudi preveč podjetij zgrabijo nekaj, kar je všeč, in upam, da nič ne bo strašno narobe.

Ali se mi zdi, da pretimem stvari? Citiram "Najnevarnejša koda v svetu" pred nekaj leti:

Dokažemo, da je potrjevanje certifikata SSL povsem prekinjeno v številnih varnostnih aplikacijah in knjižnicah. Ranljiva programska oprema vključuje Amazonovo EC2 Java knjižnico in vse oblak stranke, ki temeljijo na njej; SDK-jev trgovcev Amazon in PayPal, odgovornih za pošiljanje podatkov o plačilu s spletnih strani e-trgovine, do plačilnih prehodov; integrirani nakupovalni vozički, kot so osCommerce, ZenCart, Ubercart in PrestaShop; Kodo AdMob, ki jo uporabljajo mobilna spletna mesta; Chase mobilnega bančništva in več drugih aplikacij in knjižnic za Android; (itd.). Vsaka SSL povezava iz katerega koli od teh programov je nezanesljiva proti napadi med ljudmi v sredini. Osnovni vzroki teh ranljivosti so slabo oblikovani API-ji implementacij SSL.

Moj prijatelj Will Sargent je nedavno napisal vrsto objav v blogih o tem, kaj mora storiti, da bi dejansko pravilno omogočili varne HTTP povezave v Java. To je odličen primer - toda deset tisoč besed je dolgo, ker mora biti:

  1. Določitev najnevarnejše kode na svetu
  2. Popravljanje potrdil X.509
  3. Popravljanje preklica potrdila
  4. Popravljanje preverjanja gostitelja

To je čudovito, in kot razvijalec, ki se je boril s SSL certifikati v Androidu z Javo, sem res vesel, da ga je napisal; ampak v boljšem svetu - ni popoln svet, pazi na vas; resnično, samo nepremožen - ne bi mu bilo treba.

Seveda so tudi kreditne kartice slabše. Ciljni kramp, ki je bil na prodajnem mestu, bi bil preprečen z uporabo tehnologije čip in PIN

.

ki je razširjena, vemo, povsod drugje v razvitem svetu in že več let.V Združenem kraljestvu je bil leta 2003 pilotiran čip-in-PIN, ki se je razvil po vsej državi. To je pred desetimi leti.Vendar so ameriške banke in trgovci na drobno povlekle pete - in zdaj, kot neposreden rezultat, ribe v sodu.

Seveda, čip-in-PIN ne bo pomagal pri transakcijah s kreditnimi karticami na spletu, kjer:

//twitter.com/pmarca/status/447654946100375552
//twitter.com/pmarca/status/447817504652402688

Da smo pošteni, smo videli nekaj potez v pravi smeri. Facebook, ki se zdi, da ima impresivno varnost, morda presenetljivo v podjetju, ki ga je vodil heker, je prejšnji mesec izdal novo orodje za varnejšo uporabo aplikacij za Android. Obstajajo pogovori o skupni strežniško-varnostni platformi na ravni hiperveze "Goldilocks". In FTC je začel pozoren in navajati kršitelje, vključno s Fandango in Credit Karma:

FYI: če v svoji aplikaciji onemogočite validacijo potrdila SSL / TLS, lahko dobite klic s strani FTC: //t.co/PpvlFeuAj0

- Will Sargent (@will_sargent) 28. marec 2014

Toda to so le nekaj utripanja življenja v podjetju, ki je zaščiteno pred varnostjo. Medtem smo na dirkanju z orožjem in medtem, ko se napadalci usposabljajo v templju Shaolin in pridobivajo dragocene delovne izkušnje v francoski zunanji legiji, zagovorniki lezijo okoli pitja piva, ker so jim vojvode in vojvodinje rekli, naj odtekajo jarke, odpreti vrata, odprite in izgubite orožje in oklep, da bi spodbudili trgovino. Prepričan sem, da se vedno zdi kot tako zelo dobra ideja

.

vse do dneva, ko je Genghis Khan potoval po cesti.

(1) Za tiste kodirnike med vami, ki so pred razkritjem GnuTLS obtožili slog kode Ifs-brez-braces za bug:

Fantje, ni treba uporabljati posodobitev za GnuTls, pregledal sem kodo in ima vsakršne opombe v vsakem primeru.

- Miguel de Icaza (@migueldeicaza) 5. marec 2014

Kredit za slike: negotovost.