Vyšlo v Deníku Insider, 14.4.2014
Vytištěno z adresy: http://www.earchiv.cz/b14/b0414002.php3

Ponaučení z krvácejícího srdce

Dnes asi už bude na Internetu jen málokdo, kdo by nezaslechl alespoň něco o chybě zvané v angličtině Heartbleed, v doslovném překladu "krvácející srdce". Svou podstatou je to věc docela banální: chyba v softwaru. Tedy něco, co programátoři dělají dnes a denně, často bohužel v docela hojném počtu. Zde konkrétně jde o chybu, která umožňuje jednomu počítači zcela nepozorovaně a beze stop nahlédnout na dálku do paměti jiného stroje a dostat se tak ke všemu, co se v této paměti právě nachází. Ať už to jsou jména a hesla, různé klíče apod.

Špatné je, že ona chyba "krvácejícího srdce" se nacházela celé dva roky jakoby všem na očích: v některých verzích jedné z nejpoužívanějších softwarových knihoven (konkrétně Open SSL), dostupné jako tzv. open source. Tedy ve zdrojovém tvaru. To znamená, že potenciálně kdokoli se mohl do zdrojového kódu této knihovny podívat, chybu odhalit a upozornit na ni autory knihovny. Že se tak nestalo, je celkem pochopitelné: lidí, kteří na to mají potřebné znalosti, je na světě málo, a mohou mít jiné starosti a zájmy. Třeba i do té míry "jiné", že náplní jejich dobře placené práce sice je hledat chyby ve výsledcích práce mnohem hůře placených programátorů, ale ne za účelem jejich nápravy, nýbrž za účelem jejich využití. Z obvyklého pohledu spíše: zneužití.

Spekulace o tom, že o chybě "krvácejícího srdce" se vědělo již dlouho, vlastně od jejího "vzniku" přede dvěma roky, a že byla po celou tu dobu zneužívána, v posledních hodinách a dnech přibývá jak hub po dešti. Ovšem kým využívána a k čemu, si lze jen domýšlet, protože nikdo to pochopitelně veřejně nepřizná. Ať už stojí na jedné straně pomyslné barikády a zaštituje se potřebou chránit bezpečnost, a to všemi prostředky, nebo stojí na opačné straně barikády a nějakým zdůvodňováním svých aktivit se vůbec nezatěžuje.

Věděla třeba americká NSA o chybě Heartbleed po celou dobu její existence a využívala ji pro své specifické potřeby? Samozřejmě nemůžeme čekat nic jiného, než ostré a zcela rezolutní popření takového možnosti. Nebo si snad dovedete představit nějakou jinou reakci od někoho takového, jako je NSA? Můžeme jen spekulovat, či se domnívat a předpokládat. A to je právě na celé chybě to fatální: nevíme, zda a jak dlouho ji někdo zneužíval. Zda to byly jen subjekty typu NSA, které přeci jen mají své specifické a alespoň částečně odhadnutelné cíle, nebo zda to byla i nějaká část kriminálního podsvětí, zaměřená na cokoli, co má nějakou hodnotu a dá se zcizit. A pokud o tom subjekty typu NSA věděly, proč se včas nepostaraly o nějaké diskrétní odstranění samotné chyby, místo aby její existencí vystavovaly významnému nebezpečí vlastně úplně každého, kdo je na Internetu?

Další velmi velkou nepříjemností chyby Heartbleed je to, že boří mnohé z dosavadních mýtů a dogmat. Třeba ten o výhodách otevřeného (open source) softwaru, o jehož správném fungování se přeci může kdokoli sám přesvědčit. Teď právě jsme se přesvědčili o tom, že teoreticky to tak je, ale prakticky ne. Možná už docela dlouho, protože rostoucí složitost a rozsáhlost jakéhokoli významnějšího softwaru znamená, že mu dokáže porozumět čím dál tím méně lidí.

Ještě horší je ale možná vzkaz lidem, kteří až dosud věřili v možnosti vlastní ochrany v divokém světě Internetu: že když se sami, jako uživatelé, budou chovat obezřetně, mohu významně redukovat nebezpečí, kterému jsou dnes a denně vystavováni. Chyba Heartbleed, která se projevuje prakticky jen na straně poskytovatelů služeb a jejich serverů, jim vzkázala, že na obezřetnosti koncových uživatelů vlastně nemusí až tak záležet. Tedy pokud se rovnou úplně neodpojí od Internetu a dalších moderních prostředků komunikace v elektronické formě, a nepřejdou třeba na kouřové signály. To už ale dnes nepřipadá reálně v úvahu. Takže: co dál? On-line svět už nikdy nebude takový, jaký býval před vážnou srdeční příhodou v podobě krvácejícího srdce.