Как Apple удалось избежать проблем с популярной системой шифрования OpenSSL

В 2011 году Apple объявила, что отказывается от архитектуры CDSA, включающей в себя пакет безопасности OpenSSL, назвав ее пережитком прошлого. Спустя три года в OpenSSL обнаружили уязвимость, которая подвергла опасности интернет-сервисы и аппаратное обеспечение миллионов пользователей, в том числе компьютеры, смартфоны, планшеты и сетевые устройства, но только не продукты корпорации из Купертино.

Apple-bug-no-2

Уязвимость, получившая название Heartbleed, шокировала специалистов по безопасности в Интернете. Она существовала в OpenSSL на протяжении двух лет, позволяя злоумышленникам похищать информацию, оставаясь при этом незамеченными. Уязвимая версия OpenSSL работала на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями. До 66% серверов в Сети, использующих протокол HTTPS, подвержены риску утери конфиденциальной пользовательской информации, включая пароли и ключи шифрования. Продукты же Apple полностью защищены от этого бага.

Когда в 2011 году Apple решила отказаться от OpenSSL в компании разумеется не знали об уязвимости Heartbleed. Однако в Купертино были осведомлены о других проблемах протокола, так как компания использовала эту технологию на протяжении нескольких лет в рамках пакета Common Data Security Architecture. CDSA — это широко используемый промежуточный уровень, который определяет набор API-интерфейсов. Он предлагает множество функций, охватывающее важные компоненты защиты, в том числе шифрование, целостность данных, аутентификацию и блокировку отказа от обслуживания.

Apple использовала CDSA и OpenSSL в Mac OS X на ранней стадии разработки операционной системы. В 2004 году компания рекомендовала своим разработчикам перейти на CDSA, так как это «позволит улучшить общее быстродействие системы за счет уменьшения количества криптографических библиотек».

В 2006 году Apple начала создание нового API для шифрования данных, который «должен был содержать меньше кода, быть еще более производительным и поддерживать работу с несколькими процессорами». Эти особенности протокола были важны не только для компьютеров Mac, но и для мобильных устройств, разрабатываемых компанией Стива Джобса. Кроме того, более совершенная архитектура потребовалась, чтобы получить сертификат соответствия стандарту безопасности FIPS 140-2, необходимый для использования гаджетов в государственных учреждениях США.

Первым шагом Apple стала интеграция в OS X 10.5 Leopard в 2007 году проприетарного низкоуровнего фреймворка Common Crypto. Спустя четыре года разработка, поддерживающая алгоритмы шифрования ядра, была интегрирована также в операционную систему iOS 5.

На конференции WWDC 2011 Apple публично объявила, что отказывается от CDSA. «Это программное обеспечение, разрабатываемое сторонними компаниями, содержит большое количество ненужных функций и не соответствует нашим правилам программирования», – заявили представители компании. В Купертино добавили, что не будут включать CDSA в iOS и начинают использовать в своих системах собственный API для защиты данных.

Apple-bug-no-1

Создание собственного программного обеспечения для шифрования означало, что Apple больше не зависела от возможных ошибок сторонних программистов, в том числе разработчиков, отвечающих за развитие опен-сорсного проекта OpenSSL. Последний, несмотря на критическую важность для многих вендоров, разрабатывался небольшой группой специалистов. Кроме того, в Купертино были недовольны, что OpenSSL не отличается высокой стабильностью от версии к версии. Поэтому в OS X и iOS было решено использовать собственный API.

Главное опасение Apple заключалось в том, что в случае обнаружения ошибок безопасности в OpenSSL, компании, использующие этот протокол, должны ждать, пока авторы кода внесут изменения. Другими словами, защищенность устройств зависела от сторонней группы разработчиков. У проприетарного API такой проблемы нет: больше контроля – больше безопасность.

История показала, что Apple была права. OpenSSL в течение последних двух лет содержала уязвимость, которая оставалась незамеченной и могла привести к раскрытию личной и финансовой информации миллионов пользователей. В то же время баг не затронул операционные системы iOS, OS X и облачные сервисы Apple.

Между тем, обнаружившие Heartbleed эксперты по компьютерной безопасности предупреждают, что последствия для сотен миллионов пользователей Интернета могут оказаться самыми серьезными. Уязвимость позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные сведения, включая пароли и номера кредитных карт.

Источник: MacDigger.ru

11 комментариев

  • Все верно
  • Интересно, а как с этим на Андроиде?
  • История уже не раз показывала, что Apple оказывается права. Вспомните Flash, вспомните как все лохи улюлюкали и гыгыкали, когда Apple выпустила на рынок устройства без поддержки Flash и демонстративно отказалась от его поддержки. И где сейчас этот Flash? А через 10 лет и не вспомнять что был такой.
  • Nervasystem - это ты у нас смешная девушка. А я сертифицированный iOS/OS X разработчик со стажем. И читай внимательней - ни каких примеров о ведре я тебе не приводил.
  • Просто Apple молодцы. Не пользуются готовыми, а пишут всё своё. Уважаю.