ROOT ACCESS
Rick Bahague
Bulatlat.com
Buong linggo nang abala ang mga system administrators. Aabot sa kalahating milyong mga servers ang apektado ng natuklasang bug sa programang OpenSSL na popular na ginagamit ng mga ito. Kahit ang Yahoo, Facebook, Instagram at iba pa ay hindi maagap na napansin ang bug na maaaring mag-leak ng impormasyon ng mga users mula sa apektadong server. Gayunpaman, mabilis rin ang pagtugon ng grupong nasa likod ng OpenSSL upang malagyan ng patch o solusyon ang nabanggit na butas sa seguridad.
Ang OpenSSL at Secured HTTP (https://)
Sa tuwing bibisita tayo sa isang website gamit ang https protocol (‘https://’, may ‘s’ sa dulo) nagkakaroon ng encrypted na pag-uusap ang browser natin at ang server. Ang encryption ay paraan upang i-koda at panatilihing pribado ang palitan ng mga datos. Pinapahirap rin ng encryption na maintindihan ng sinumang nakakuha ng datos ang pag-uusap kung walang keys o password. Ang proseso na ito ng encryption at kaakibat na decryption sa kabilang dulo ay isinasagawa ng OpenSSL (http://openssl.org).
Ang OpenSSL ay isang Free and Open Source software (FOSS) na pinapa-unlad ng mga boluntirs sa buong mundo. Naiiba sa mga proprietary software ang FOSS. Maliban sa boluntaryo ang pagtulong sa mga FOSS, ipinapahintulot rin ang libreng paggamit nito. Ang OpenSSL ay isang crytography library na ginagamit ng maraming websites, mobile apps, Linux distributions at iba pa. Lahat ng mga ito ay apektado ng “Heartbleed bug” kung gumagamit ng bersyong 1.0.1, 1.0.2-beta, 1.0.1f at 1.0.2-beta1 (http://www.openssl.org/news/secadv_20140407.txt).
Heartbleed Bug
Ang Heartbleed bug ay natuklasan ng magkahiwalay ng security team ng Codenomicon at ni Neel Mehta ng Google Security Team. Ito ay bunga ng hindi sinasadyang pagkakamali sa programming ng isang volunteer ng OpenSSL noong 2012 na si Dr. Robin Seggelmann. Dalawang taon na itong bug sa OpenSSL at ngayon lamang natuklasan. Kaya’t nakakabahala talaga at maaaring ginagamit na ito ng mga crackers noon pa man.
Upang alamin kung buhay pa ang server sa isang partikular na pag-konek gamit ang https nagpapadala ang browser ng random data na ibinabalik din lamang ng server gamit ang hearbeat extension ng OpenSSL. Dahil sa simpleng pagkakamali sa implementasyon ng heartbeat extension, maaaring magpadala ng tamang datos ang isang attacker na magpipilit sa server na tumugon ng mas maraming datos kaysa dapat nitong ibalik. Maaaring mapabilang na ang credit card numbers, usernames, passwords at iba pang sensitibong impormasyon sa sobrang datos na ito. Uulit-ulitin na lamang ng attacker ang paraan na ito hanggang makuha ang dagdag na pribadong datos sa server na inaatake. Dahil totoong requests ang ipinapadala ng umaatake at hindi malisyoso na maaaring mag-alarma sa sistema, mahirap malaman ng mga system administrator kung inaatake na ang server at kung anong mga datos na ang naibigay ng server.
Inihambing sa pagbulwak ng dugo ang leak ng mga impormasyon na dulot ng pagkakamali sa heartbeat extension kaya malamang ito tinawag na Heartbleed bug.
Paano maiiwasan makuha ang mga sensitibong datos dahil sa bug?
Hinihikayat ng grupong nasa likod ng OpenSSL na mag-upgrade ang lahat ng gumagamit ng apektadong mga version. Sa parehong araw na naiulat ang bug, nilabas rin ang OpenSSL 1.0.1g na iwinawasto ang naunang pagkakamali.
Para sa mga system administrators na maraming servers na binabantayan, bagamat upgrade lamang ang solusyon, masalimuot na proseso ito.
Tayong mga karaniwang gumagamit ng internet, kailangan magsiyasat kung nag-upgrade na nga ba ng OpenSSL version ang mga ginagamit natin na web services. Ang Yahoo ay isa sa mga nakitang apektado nito. Gayundin, dapat siguruhin na ang mga serbisyo tulad ng online banking at online na transaksyon gamit ang credit card ay nag-upgrade na sa hindi apektadong version ng OpenSSL.
Magpalit ng Passwords
Bagamat pangunahing dapat tumugon ang mga nagpapatakbo ng iba’t ibang web services na gumagamit ng OpenSSL upang maiwasan ang bug, tayo rin ay hinihikayat na magpalit ng mga passwords. Kahit pa walang dokumentadong pag-exploit na ginamit ang bug, dagdag na seguridad pa rin sa ating mga online identity na palitan ang mga passwords na ginagamit sa mga serbisyo sa online.
FOSS at Seguridad sa online
Bagamat matagal bago tuluyang natuklasan ang bug, ipinakita pa rin ng maagap na pag-aayos nito ang kawastuhan ng modelong open source sa pagbubuo ng mga software. Ang Freedom 1 sa Free Software Definition na nagbibigay laya upang pag-aralan at baguhin ang isang programa ay nagbigay ng pagkakataon sa mga researchers upang pag-aralan ang OpenSSL. Dahil sa pagkakatuklas at mabilis na pag-uulat, maagap rin ang pagtugon ng komunidad upang solusyunan ang bug.
Ang ganitong modelo ng pagbubuo at pagsasaayos ng bugs ay mahirap makita sa mga proprietary software. Maaari pa nga nilang itago ang ganitong mga pagkakataon.
Ngayon, maraming system administrators ang siguradong nagpapatakbo nito: apt-get upgrade o yum update. Syempre, mas masalimuot kung kinakailangan pang mag-recompile ng OpenSSL upang tanggalin lamang ang “-DOPENSSL_NO_HEARTBEATS.” 
Si Rick Bahague ay kasalukuyang National Coordinator ng Computer Professionals’ Union. Siya ay masugid na taga-suporta, gumagamit at tagapagpalaganap ng Free and Open Source Software (FOSS). Marami-rami na ring web at database system na ginamit sa monitoring ng 2010 & 2013 Automated Election, human rights violations at iba pang people’s struggles ang kanyang nabuo gamit ang GNU/Linux, Drupal, PHP, MySQL, Python at iba pang FOSS.
