Chyba SSL šifrování ohrozila zabezpečení až dvou třetin internetových stránek. Po dvou letech existence byla objevena až tento týden. Zda chybu někdo zneužil, není jasné. Odborníci však doporučují všem uživatelům změnit u důležitých on-line služeb hesla a šifrovací klíče.

Bezpečnostní chybu v SSL šifrování objevili analytici společnosti Google ve spolupráci s bezpečnostní společností Codenomicon jižběhempondělí. Na veřejnost však tuto informaci pustili později, čímž nechali správcům serverů čas na opravu. Chybu nazvaliHeartbleed Bug, což lze volně přeložit jako “chyba krvácejícího srdce”.

Chyba se podle odhadů odborníků týkala až dvou třetininternetovýchserverů. Šifrování SSL/TLS patří mezi základní bezpečnostní prvky mnohých on-line systémů. Zabezpečuje například přístupy do internetového bankovnictví, šifruje velké množství on-line komunikace a často také VPN sítě.

 

Týká se to mě?

Seznam testovaných webů s výsledky

V textovém souboru můžete dohledat, zda se chyba týkala serverů, na které přistupujete. Podívejte se ZDE.

 

Kompromitovaná OpenSSL knihovna nechávala část dat v paměti serverů v nešifrované podobě, útočníci z nich dle dostupných informací mohli získat uživatelská jména, hesla a šifrovací klíče a díky tomu dešifrovat i zabezpečovanou komunikaci. Zda a v kolika případech k tomu opravdu došlo, je zatím otázkou.

Nepříjemné je, že zneužití této chyby po sobě nenechá jakékoli stopy a nelze je identifikovat. Pokud server či služba využívaly chybnou bezpečnostní knihovnu, je narušení bezpečnosti spíše možné, než pravděpodobné. Zda případné bezpečnostní riziko stojí za výměnu hesla či občerstvení šifrovacích klíčů, je na úvaze každého uživatele.

Podle testů společnosti Qualysse chyba týkala kupříkladu serverů Yahoo nebo Flickr. Servery Amazonu, Google a eBay však na seznamu nejsou. Chyba se totiž objevila jen v některých verzích Open SSL knihovny, takže náprava ani není komplikovaná – správce musí použít její novou verzi.

Spoustu detailních informací přinesl ve svém blogovém příspěvku softwarový architekt Troy Hunt – v angličtině ZDE.

Zdroj: Technet

Autor: Václav Nývlt