क्या हार्टब्लीड के लिए ओपन सोर्स मायने रखता था?

  • Sep 07, 2023

ओपन सोर्स ओपनएसएसएल के लिए सार्थक अंतर्निहित सुरक्षा लाभ प्रदान नहीं करता है और यह वास्तव में कुछ महत्वपूर्ण परीक्षण तकनीकों को हतोत्साहित कर सकता है। साथ ही, ओपनएसएसएल जैसे महत्वपूर्ण सॉफ़्टवेयर के लिए पैनहैंडलिंग एक अच्छा व्यवसाय मॉडल नहीं है।

हार्टब्लीड के बदसूरत प्रकरण ने ओपनएसएसएल को अब तक के किसी भी ओपन सोर्स सॉफ्टवेयर प्रोजेक्ट की तुलना में अधिक जांच के दायरे में ला दिया है। जांच के एक निश्चित स्तर पर शायद कोई भी कार्यक्रम खराब लगेगा, लेकिन ओपनएसएसएल हॉट सीट पर है क्योंकि यह ओपनएसएसएल है जो अपने मिशन में विफल रहा है। इन मामलों को इस तरह समझना कठिन है कि ओपनएसएसएल या इसकी ओपन सोर्स प्रकृति अच्छी लगे।

लेकिन यह "ओपनएसएसएल" कौन है? जब किसी उत्पाद के साथ कुछ गलत होता है तो लोग जानना चाहते हैं कि जिम्मेदार कौन है। कई लोग यह जानकर चौंक जाएंगे कि यह सब डेवलपर्स के एक छोटे समूह द्वारा चलाया जाता है, अधिकांश स्वयंसेवक और एक को छोड़कर सभी अंशकालिक. इंटरनेट के विशाल हिस्से, करोड़ों डॉलर के कारोबार, इन लोगों के काम पर पूरी तरह भरोसा करते हैं। क्यों?

अधिक ह्रदयविदारक

  • अपनी सुरक्षा कैसे करें
  • पाठ: पासवर्ड ख़त्म हो जाने चाहिए
  • हार्टब्लीड से पहले: अब तक की सबसे खराब कमज़ोरियाँ?
  • लास्टपास की सुरक्षा जांच ने आपको कवर कर लिया है
  • हार्टब्लीड पुनरावृत्ति से बचने के लिए ओपनएसएसएल को कॉर्पोरेट फंडिंग की आवश्यकता है
  • CloudFlare की चाबियाँ छीन ली गईं
  • हार्टब्लीड के इंजीनियर: यह एक 'दुर्घटना' थी
  • क्या हार्टब्लीड के लिए ओपन सोर्स मायने रखता था?

आइए मान लें कि ओपनएसएसएल की अच्छी प्रतिष्ठा है, शायद यह भी कि वह उस प्रतिष्ठा का हकदार है (हालांकि ओपनएसएसएल में यह पहली अत्यधिक गंभीर भेद्यता नहीं है). मैं तर्क दूंगा कि प्रतिष्ठा काफी हद तक इच्छाधारी सोच और खुले स्रोत की पौराणिक कथाओं पर आधारित है।

इससे पहले कि "पौराणिक कथा" शब्द मुझे बहुत अधिक परेशानी में डाल दे, मुझे कहना चाहिए, जैसा कि निक्सन ने कहा होगा, "हम अब सभी ओपन सोर्स कार्यकर्ता।" कुछ उद्देश्यों के लिए, ओपन सोर्स एक अच्छी चीज़ है, या एक आवश्यक चीज़ है, या दोनों है। मैं, कम से कम आंशिक रूप से, उन लोगों से सहमत हूं जो कहते हैं कि क्रिप्टोग्राफी कोड को खुला स्रोत होना चाहिए, क्योंकि इसके लिए उच्च स्तर के विश्वास की आवश्यकता होती है।

अंततः, उस अंतिम कथन का तर्क यह मानता है कि ऐसे लोग हैं जो यह पुष्टि करने के लिए ओपनएसएसएल के ओपन सोर्स कोड का विश्लेषण कर रहे हैं कि यह विश्वास के योग्य है। यह है द कैथेड्रल एंड द बाज़ार में वर्णित "अनेक नेत्रगोलक" प्रभाव, एरिक रेमंड द्वारा, खुले स्रोत के धर्मशास्त्र के शुरुआती सुसमाचारों में से एक। विचार यह है कि यदि पर्याप्त लोगों के पास स्रोत कोड तक पहुंच है तो किसी को बग नज़र आएंगे।

दरअसल, हार्टब्लीड के साथ यही हुआ है... की तरह। हार्टब्लीड की खोज किसके द्वारा की गई थी? नील मेहता, Google में एक सुरक्षा शोधकर्ता। यदि आप उदाहरण के लिए Apple और Microsoft जैसी अन्य कंपनियों से आने वाले भेद्यता खुलासों को देखें, तो आप देख सकते हैं कि Google अन्य लोगों के कार्यक्रमों की जांच करने में बहुत समय व्यतीत करता है। इस संबंध में वे किसी अन्य समूह से भिन्न नहीं हैं।

लेकिन इसे ढूंढने में गूगल को दो साल लग गए। इस बीच, Google को Apple और Microsoft उत्पादों में बहुत सारी सुरक्षा समस्याएँ मिलीं जिनके लिए उनके पास कोई स्रोत कोड नहीं है। ऐसा इसलिए है क्योंकि "कई नेत्रगोलक" परिकल्पना के निर्माण के बाद से, परीक्षण और डिबगिंग टूल में भारी सुधार हुए हैं। $0 की ​​सीमांत लागत के साथ कुछ कंप्यूटर समय हजारों लोगों की बहुत महंगी कीमत के बराबर है।

मैं यहां तक ​​संदेह करता हूं कि स्रोत की उपलब्धता डेवलपर्स और उपयोगकर्ताओं को परीक्षण की आवश्यकता से छूट देती है जो वाणिज्यिक सॉफ़्टवेयर पर आम है। मुझे आश्चर्य नहीं होगा अगर एक स्थैतिक स्रोत कोड विश्लेषक को हार्टब्लीड बग मिल गया होगा, जो इसे संभावित बफर ओवर/अंडररन मुद्दों के लिए चिह्नित करेगा। हार्टब्लीड को फ़ज़िंग के एक अच्छे दौर से भी पाया जा सकता है।

जैसा कि मैंने हाल ही में कहा, कुछ कार्यक्रम बड़े पैमाने पर समाज के लिए इतने महत्वपूर्ण हैं किसी को आगे आकर यह सुनिश्चित करना होगा कि वे ठीक से सुरक्षित हैं. जाहिर है समस्या पैसे की है. तो क्यों, जब यह कार्यक्रम इतना महत्वपूर्ण है, है ना? ऐसे चलाया जा रहा है जैसे यह सार्वजनिक टीवी हो? हाँ, ब्लैंच डुबोइस की तरह, ओपनएसएसएल हमेशा अजनबियों की दया पर निर्भर रहा है।

क्या ओपनएसएसएल उपयोगकर्ता ब्लैंच की तरह सपनों की दुनिया में रह रहे हैं? इसमें कुछ सच्चाई है. क्या ओपनएसएसएल ब्लैंच की तरह दबाव में टूट जाएगा? नहीं, यह उतना बुरा नहीं है.

प्रदर्शित

  • क्या विंडोज 10 अपने फायदे के लिए बहुत लोकप्रिय है?
  • अपना करियर शुरू करने के लिए सबसे अच्छी जगह ढूंढने के 5 तरीके
  • इस प्रकार जेनेरिक एआई गिग इकॉनमी को बेहतरी के लिए बदल देगा
  • 3 कारण जिनकी वजह से मैं Google के Pixel 6a की तुलना में इस $300 वाले Android को प्राथमिकता देता हूँ

सपनों की दुनिया का हिस्सा इस धारणा से आता है कि ओपन सोर्स होने के कारण सॉफ्टवेयर अधिक सुरक्षित है। भले ही यह कभी सच था, और मुझे यकीन नहीं है कि यह था, यह निश्चित रूप से अब नहीं है।

बंद स्रोत के बारे में क्या ख्याल है? क्या यह कमोबेश सुरक्षित है क्योंकि स्रोत कोड आम तौर पर उपलब्ध नहीं है? एक सामान्य नियम के रूप में, मैं कहूंगा कि उत्तर नहीं है। ओपन सोर्स की तरह ही, मुख्य बात यह है कि योग्य लोग इसका ऑडिट और परीक्षण करने में कितना समय व्यतीत करते हैं। विंडोज़ और अन्य प्रमुख Microsoft उत्पादों पर बाहरी परीक्षकों, ब्लैक हैट और व्हाइट हैट दोनों का बहुत अधिक ध्यान जाता है।

क्या वही शोध प्रमुख ओपन सोर्स परियोजनाओं पर किया जा रहा है? उसी स्तर तक नहीं, कम से कम जहाँ तक मैं देख सकता हूँ। Apple और Microsoft द्वारा तय की गई कमजोरियों का एक बड़ा प्रतिशत बग बाउंटी वाली अनुसंधान कंपनियों द्वारा उन्हें सूचित किया जाता है। मैंने भेद्यता रिपोर्टों की सूची को स्कैन किया एचपी टिपिंगप्वाइंट की जीरो डे पहल, वेरीसाइन आईडिफेंस, Security-assessment.com और उत्सुक टीम और मुझे ओपन सोर्स प्रोजेक्ट्स के बारे में कोई रिपोर्ट नहीं दिख रही है। माइक्रोसॉफ्ट, एडोब, ओरेकल, ऐप्पल और इसी तरह के बहुत सारे बड़े नाम वाले सॉफ्टवेयर, लेकिन कोई लिबपींग नहीं, कोई अपाचे नहीं, कोई मायएसक्यूएल नहीं, कोई पीएचपी नहीं।

जब ऐसे कार्यक्रमों में कमजोरियों की सूचना दी जाती है, तो यह आम तौर पर स्वतंत्र लोगों की ओर से होती है। इसे आप एप्पल के खुलासे का अध्ययन करके देख सकते हैं। आप इसमें वही देखेंगे अपाचे से सुरक्षा अद्यतन हालाँकि, जहाँ तक मैं बता सकता हूँ, अधिकांश बड़े ओपन सोर्स प्रोजेक्ट अपने सुरक्षा अद्यतनों और उनमें तय की गई कमजोरियों की सूची ढूंढना आसान नहीं बनाते हैं।

हार्टब्लीड जैसी स्थितियों में माइक्रोसॉफ्ट और ऐप्पल जैसे "कैथेड्रल" का एक और फायदा है: पैच डिलीवरी और इंस्टॉलेशन। सभी Windows उपयोगकर्ता Microsoft और Apple से अपने अपडेट प्राप्त कर सकते हैं और यहां तक ​​कि उपभोक्ताओं के पास उन्हें इंस्टॉल करने के लिए सरल, फिर भी परिष्कृत सिस्टम हैं। भूले हुए कंप्यूटरों, उपकरणों, शायद एम्बेडेड उपकरणों में भी निस्संदेह कई ओपनएसएसएल इंस्टॉलेशन हैं, और एक मोटी संभावना है कि उन्हें कभी भी अपडेट किया जाएगा।

इसलिए मुझे लगता है कि एक हद तक यह कहना उचित होगा कि ओपन सोर्स होने से हार्टब्लीड के संबंध में ओपनएसएसएल को बहुत कम फायदा हुआ। एक हद तक, यह कहना भी उचित है कि अगर इससे सॉफ़्टवेयर का पूरी तरह से परीक्षण न करना आसान हो जाता, जैसा कि होना चाहिए था, तो इसे खुले स्रोत होने से नुकसान हुआ। समाधान स्रोत कोड को बंद करना नहीं है, यह खुले स्रोत की सीमाओं को पहचानना है और ओपनएसएसएल जैसे कार्यक्रमों का परीक्षण करना है जैसे कि कोई स्रोत उपलब्ध नहीं था।

फिलहाल इस बारे में हम बहुत कम कर सकते हैं। कई ओपन सोर्स प्रोजेक्ट्स के काम पर भरोसा किए बिना इंटरनेट का उपयोग करना लगभग असंभव है जिसके सिद्धांत कुछ लोगों को छोड़कर सभी के लिए अज्ञात हैं और जिनके लिए विकास मानक अलग-अलग होने चाहिए बेतहाशा.

शायद हम सभी को यह निष्कर्ष निकालना चाहिए कि यह काम करता है; यदि ऐसा नहीं होता तो हम इसका उपयोग नहीं करते। यह उपलब्धि का एक बहुत ही निचला स्तर है, और वास्तव में इसका मतलब केवल इतना ही है दिखता है जैसे यह काम करता है. मुझे अपने व्यवसाय को ऐसे सॉफ़्टवेयर को सौंपने का विचार पसंद नहीं है जिसके लिए किसी को ज़िम्मेदार नहीं ठहराया जा सकता है, भले ही स्रोत कोड स्वतंत्र रूप से उपलब्ध हो, लेकिन अभी मेरे पास बहुत कम विकल्प हैं, और न ही आपके पास।