Heartbleed: serwery krwawią naszymi danymi. Zielona kłódka w przeglądarce nie gwarantuje bezpieczeństwa!
OpenSSL to jedna z najpopularniejszych bibliotek stosowanych przy połączeniach SSL/TLS. W teorii połączenia tego typu miały zapewnić bezpieczną komunikację. Chyba każdy z nas zna widok zielonej kłódki pojawiającej się w przeglądarkach podczas korzystania z szyfrowanego połączenia. Okazuje się, że poczucie bezpieczeństwa było złudne.
10.04.2014 | aktual.: 10.04.2014 09:23
CVE-2014-0160 - ten niewiele mówiący ciąg znaków to oficjalna nazwa błędu odkrytego w popularnej bibliotece kryptograficznej OpenSSL przez zespół z firmy Codenomicon oraz dwóch pracowników Google’a, Adama Langleya i Neela Mahtę. Nieoficjalnie błąd ten nazwano “heartbleed”, co stanowi nawiązanie do implementacji rozszerzenia RFC6520 hearbeat (bicie serca).
Co błąd Heardbleed oznacza dla nas w praktyce? Mówiąc krótko: pojawił się poważny problem, który dotyczy (a raczej - po zainstalowaniu patcha - dotyczył) niemal wszystkich.
Chyba każdy zna zieloną kłódkę, która pojawia się w większości przeglądarek obok paska adresu. To uspokajający widok. Do niedawna potwierdzał, że komunikacja z serwerem, a tym samym nasze dane, są szyfrowane, a wprowadzenie szyfrowanych połączeń ze swoimi usługami przez Google’a i Facebooka było szeroko komentowane jako kolejny krok zwiększający bezpieczeństwo w Internecie.
Heartbleed oznacza, że przestępcy są w stanie podejrzeć komunikację zabezpieczoną przez OpenSSL. Dotyczy to niemal wszystkiego: haseł do różnych serwisów, komunikacji mailowej, numerów kart czy różnych dokumentów.
Zmiana wprowadzona do OpenSSL w grudniu 2011 roku sprawiła, że bezpieczeństwo było iluzją, a cyberprzestępcy co najmniej od marca 2012 roku korzystali z wykrytej luki (opinie co do tego są rozbieżne - niektóre źródła wskazują, że do poniedziałku nie była znana przestępcom).
Choć po ujawnieniu luki udostępniono łatkę likwidującą zagrożenie i można założyć, że w większości liczących się usług problem został już usunięty, to np. na blogu Tora znajdziemy groźnie brzmiącą przestrogę:
Blog.TorProject.org:
Jeśli potrzebujesz anonimowości i poufności w Internecie,[b] trzymaj się od niego z daleka[/b] przez kilka najbliższych dni.
Dla wszystkich, którzy chcieliby sprawdzić bezpieczeństwo różnych usług i serwisów internetowych, pod adresem Filippo.io/Heartbleed udostępniono narzędzie pozwalające zweryfikować, czy w ich przypadku problem nadal występuje.
W artykule wykorzystałem informacje z serwisów Sekurak, Motherboard, BBC i Cnet.