LibreSSL, czyli już ponad 90 tys. linijek kodu wyleciało z OpenSSL, by nie dopuścić do powtórki z luki Heartbleed

Koszty załatania lukiHeartbleed we wszystkich dotkniętych nią urządzeniach (to nietylko serwery, wirtualne czy fizyczne, ale też routery czy nawetsłuchawki VoIP-owych telefonów) szacowane są na co najmniej kilkamiliardów dolarów. Secunia utrzymuje, że naprawy zajmą jeszczedługie miesiące – i trudno się z tym nie zgodzić, skoro takznana firma jak Cisco zidentyfikowała już 44 podatne na atakprodukty, a do tej pory zdołała przygotować łatki do czterech znich. W tej paskudnej sytuacji wielką szansą dla całej branżyjest inicjatywa twórców systemu OpenBSD, którzy rozpoczęli pracenad własnym forkiem biblioteki OpenSSL – LibreSSL.OpenSSL jest biblioteką przypominającą przerośniętyszwajcarski scyzoryk. Znaleźć w niej można kod odnoszący się dowymarłych systemów operacyjnych, są tam kryptosystemy uznane zaniebezpieczne i praktycznie nieużywane. Analiza tego przerośniętegotłuszczem kodu nie jest łatwa, więc nie dziwi specjalnie, żeHeartbleeda społeczność deweloperska nie była w stanie zauważyćprzez dwa lata.[img=kowal]Nadzieją dla branży ma być nowa biblioteka, o nazwie LibreSSL.Stoją za nią programiści projektu OpenBSD – systemuoperacyjnego, w którym bezpieczeństwo jest najważniejszą kwestią,przedkładaną nad wszystkie inne. Ich lider Theo de Raadt, postaćznana i kontrowersyjna, publicznie skrytykował twórców OpenSSL,określającich jako nieodpowiedzialny zespół. Założenie jestproste: stworzyć w pełni kompatybilną bibliotekę (na kompatybilnąna poziomie API, czyli zgodną z zewnętrznym oprogramowaniemkorzystającym dotąd z OpenSSL), której kod zostanie przepisany,uproszczony i poddany kompletnemu audytowi pod kątem ewentualnychluk w zabezpieczeniach.Na razie sytuacja wygląda nieco żartobliwie –strona domowa projektu używaniesławnego fontu Comic Sans, gdyż jej autorzy deklarują, że sązbyt zajęci kasowaniem i przepisywaniem kodu OpenSSL, by mieć czasna robienie porządnych stron internetowych. Jeśli chcecie im pomócw zrobieniu takiej strony, to lepiej sobie odpuśćcie. ZespółOpenBSD pomocy innej niżfinansowa sobie nie życzy.Po przejrzeniu udostępnionego już kodu widać, żefaktycznie czasu na znalezienie lepszego fonta mogło nie być.Repozytoriumujawnia setki refaktoryzacji, poprawek i eliminacji. Co prawdawiększość z nich obejmuje na razie przepisaniekodu w C do postaci KNF (kernel normal form), ale jest tokonieczna część pracy, by nie pogubić się w przyszłości wniezbyt elegancko wyglądającym kodzie oryginału. Sporo jest teżkasowania – z LibreSSL wyleciał kod dla starych wersji Windows iMac OS-a (Classic), a także takich zabytków jak VMS, NetWare czyOS/2. Podczas prac nad forkiem z kodu OpenSSL „wyleciało” jużponad 90 tysięcy linijek.Niestety na początku LibreSSL ma być przeznaczonetylko dla OpenBSD, będzie domyślną biblioteką kryptograficzną wOpenBSD 5.6, zapowiadaną na listopad. Niecierpliwi użytkownicyinnych systemów operacyjnych muszą poczekać – wsparcie dlaLinuksa i innych OS-ów z czasem się pojawi, ale dopiero gdy kodLibreSSL uznany zostanie za stabilny i bezpieczny.Może więc dobrze by było, gdyby do debiutu LibreSSLna większej liczbie platform twórcy aplikacji zastanowili sięjednak nad wykorzystaniem w oprogramowaniu alternatyw dla OpenSSL,takich jak np. znacznie bardziej elegancki i zwarty (najmniejszaimplementacja działa na urządzeniach mających zaledwie 64 KB RAM)PolarSSL? Uzależnienie bezpieczeństwa oprogramowania od jednejbiblioteki jest, jak pokazała historia Heartbleed, zbyt dużymryzykiem.