Читаем Как захватить Вселенную. Подчини мир своим интересам. Практическое руководство для вдохновленных суперзлодеев полностью

Программирование – это сложно. Компьютеры – это сложно. И даже блестящий благонамеренный разработчик ПО может совершить единственную ошибку, которая откроет для вторжения всю систему. За примером далеко идти не надо, достаточно посмотреть на очень популярное бесплатное ПО, которым пользуются для шифрования на вебсайтах, – OpenSSL.

В 2011 году ошибка в единственной строчке кода OpenSSL привела к появлению так называемого бага Heartbleed. Этот простой программный недосмотр позволял хакерам читать в памяти машины, использующей OpenSSL, что угодно, в том числе и пароли. Уязвимость находилась у всех на виду, в кодовой базе OpenSSL – ПО с открытым исходным кодом, которую в теории может скачать, изучить и исправить кто угодно на планете. И только в 2014 году ошибку наконец заметили (по крайней мере, тот, кто о ней рассказал, а не воспользовался ею втайне), после чего ее быстренько убрали. Но к этому времени 17 % защищенных серверов в интернете были уязвимы – и такими оставались, пока каждый не обновили. Сразу же после этого пришлось обновлять операционные системы; сайты, не знавшие, взламывали их или нет, но знавшие, что их могли и взломать, просили пользователей сменить пароли; правительство Канады вынуждено было отключить сайт налоговой, когда кто-то (раньше, чем уже известный баг исправили) успел украсть сотни номеров социального страхования. В «Форбс» баг назвали «худшей уязвимостью (по крайней мере, по потенциальному воздействию), найденной с того момента, как в интернете появился коммерческий трафик данных».

Heartbleed появился случайно