Heartbleed: serwery krwawią naszymi danymi. Zielona kłódka w przeglądarce nie gwarantuje bezpieczeństwa!

OpenSSL to jedna z najpopularniejszych bibliotek stosowanych przy połączeniach SSL/TLS. W teorii połączenia tego typu miały zapewnić bezpieczną komunikację. Chyba każdy z nas zna widok zielonej kłódki pojawiającej się w przeglądarkach podczas korzystania z szyfrowanego połączenia. Okazuje się, że poczucie bezpieczeństwa było złudne.

Heartbleed: serwery krwawią naszymi danymi. Zielona kłódka w przeglądarce nie gwarantuje bezpieczeństwa!
Łukasz Michalik

10.04.2014 | aktual.: 10.04.2014 09:23

CVE-2014-0160 - ten niewiele mówiący ciąg znaków to oficjalna nazwa błędu odkrytego w popularnej bibliotece kryptograficznej OpenSSL przez zespół z firmy Codenomicon oraz dwóch pracowników Google’a, Adama Langleya i Neela Mahtę. Nieoficjalnie błąd ten nazwano “heartbleed”, co stanowi nawiązanie do implementacji rozszerzenia RFC6520 hearbeat (bicie serca).

Co błąd Heardbleed oznacza dla nas w praktyce? Mówiąc krótko: pojawił się poważny problem, który dotyczy (a raczej - po zainstalowaniu patcha - dotyczył) niemal wszystkich.

Chyba każdy zna zieloną kłódkę, która pojawia się w większości przeglądarek obok paska adresu. To uspokajający widok. Do niedawna potwierdzał, że komunikacja z serwerem, a tym samym nasze dane, są szyfrowane, a wprowadzenie szyfrowanych połączeń ze swoimi usługami przez Google’a i Facebooka było szeroko komentowane jako kolejny krok zwiększający bezpieczeństwo w Internecie.

Obraz

Heartbleed oznacza, że przestępcy są w stanie podejrzeć komunikację zabezpieczoną przez OpenSSL. Dotyczy to niemal wszystkiego: haseł do różnych serwisów, komunikacji mailowej, numerów kart czy różnych dokumentów.

Zmiana wprowadzona do OpenSSL w grudniu 2011 roku sprawiła, że bezpieczeństwo było iluzją, a cyberprzestępcy co najmniej od marca 2012 roku korzystali z wykrytej luki (opinie co do tego są rozbieżne - niektóre źródła wskazują, że do poniedziałku nie była znana przestępcom).

Choć po ujawnieniu luki udostępniono łatkę likwidującą zagrożenie i można założyć, że w większości liczących się usług problem został już usunięty, to np. na blogu Tora znajdziemy groźnie brzmiącą przestrogę:

Blog.TorProject.org:

Jeśli potrzebujesz anonimowości i poufności w Internecie,[b] trzymaj się od niego z daleka[/b] przez kilka najbliższych dni.

Dla wszystkich, którzy chcieliby sprawdzić bezpieczeństwo różnych usług i serwisów internetowych, pod adresem Filippo.io/Heartbleed udostępniono narzędzie pozwalające zweryfikować, czy w ich przypadku problem nadal występuje.

W artykule wykorzystałem informacje z serwisów Sekurak, Motherboard, BBC i Cnet.

Źródło artykułu:WP Gadżetomania
Wybrane dla Ciebie
Komentarze (1)
© Gadżetomania
·

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje się  tutaj.