Pred týždňom obletela svet správa o softvérovej chybe, vďaka ktorej je možné odpočúvať šifrovanú komunikáciu. Chybný kód spôsoboval, že si vaše zariadenie za určitých podmienok nedokázalo všimnúť, že v digitálnom certifikáte niečo nesedí. Tým dali útočníkom do rúk silnú zbraň.
Firma Apple, ktorej produkty týmto neduhom trpeli, si za to odniesla poriadnu dávku kritiky. Mnohým napadlo, či išlo naozaj o omyl, alebo skôr o účel. Svetoznámy kryptológ Bruce Schneier sa totiž pred pol rokom zamýšľal nad tým, ako by mali vyzerať ideálne zadné vrátka.
Vymenoval tri charakteristiky:
1. ťažká odhaliteľnosť
2. vierohodná možnosť popierania v prípade odhalenia
3. minimálne množstvo ľudí, ktorí o tom vedia
Pred týždňom sa k tejto myšlienke vrátil práve v súvislosti s kritickou chybou v produktoch Applu. Tá je totiž ukážkovým príkladom splnenia týchto podmienok. Samozrejme, skalopevne na základe tejto zhody veriť, že ide naozaj o konšpiráciu, je prinajmenšom trúfalé.
V súvislosti s touto chybou v systémoch od Apple sa však ozvali niektorí zástancovia otvoreného softvéru.
Znovu bolo počuť, aký je uzavretý softvér nebezpečný a o čo je otvorený softvér bezpečnejší. Veď predsa – viac hláv, viac rozumu. Často veľmi vyhranene a so silným zápalom, no bez náznakov kritického myslenia.
No a o týždeň na to sa podobná chyba objavila v knižnici, ktorá je súčasťou veľkého množstva otvoreného softvéru. Bola tam viac ako desať rokov. Ups.
Sám som veľkým fanúšikom otvoreného softvéru. Napriek tomu mi prekáža, ak ho niekto obhajuje pokrútenými argumentami.
Otvorený softvér je nádherná vec. Jeho licencia vám dáva slobodu. Môžete sa pozrieť, ako funguje pod kapotou a môžete to zmeniť. Ak vám niečo nevyhovuje, máte možnosť postaviť verziu, ktorá vaše očakávania splní.
Ak sa v ňom objaví bezpečnostná chyba, môžete ju sami opraviť. Nebudete rukojemníkom výrobcu, ktorý si s vydaním záplaty dáva načas, alebo vydá záplatu iba pre novšiu verziu.
Otvorenie softvéru však nie je mávnutím magického prútiku. Neznamená to, že sa zrazu zjaví zástup odborníkov, ktorí investujú množstvo hodín do auditu jeho bezpečnosti a softvér bude zrazu bez dier. A už vôbec že to stihnú skôr, ako „tí zlí“.
Tvrdiť to je nebezpečné zavádzanie. Veriť tomu je chyba.
Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.
Autor: Tomáš Zaťko