Heartbleed – ranljivost desetletja
Odkar se je razširila novica o “virusu, ki je okužil dve tretjini spleta”, nas ves dan kličejo tako zaskrbljeni uporabniki kot tudi novinarji. Najprej moramo pojasniti, da ne gre za virus, ampak za ranljivost programske knjižnice OpenSSL.
Kaj to pomeni?
Programska knjižnica OpenSSL se uporablja za večino šifriranja na internetu. Ko se, npr. prijavite v spletno banko in se vam v naslovni vrstici izpiše https in nariše ključavnica, pomeni, da so podatki, ki se pretakajo med vašim brskalnikom in spletnim strežnikom banke šifrirani in jih načeloma nihče ne more prestreči, zadaj v večini primerov stoji ravno program OpenSSL.
V tem programu pa je bila najdena zelo resna varnostna pomankljivost pri implementaciji protokola z imenom Heartbleed (zato tudi tako ime). Po domače povedano – manjši del programa OpenSSL je bil slabo napisan.
Posledica izrabe te ranljivosti je, da napadalec lahko iz strežnika pridobi šifrirne ključe, kar mu omogoča, da razbije šifriranje – se pravi, da povezava med brskalnikom in strežnikom ni več varna. Vendar pa je na drugi strani res, da niso bili ranljivi vsi strežniki, varnostna pomanjkljivost ni prisotna v vseh verzijah knjižnice.
Kaj lahko naredimo uporabniki?
Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi.
Na srečo je bil že izdan popravek za OpenSSL, ki opisano ranljivost odpravlja, tako da lahko administratorji strežnikov zelo hitro odpravijo ranljivost. Ker pa obstaja možnost, da so šifrirni ključi strežnikov tudi zlorabljeni, vsem administratorjem priporočamo tudi zamenjavo šifrirnih ključev.
Domači uporabniki zaenkrat ne moremo nič storiti, zamenjava gesel na vrat na nos (npr. za spletno banko, elektronski predal) trenutno ni smiselna, počakajmo vsaj dokler nam ponudniki ne sporočijo, da so odpravili ranljivost! Sicer pa gre za eno izmed hujših varnostnih pomankljivosti v zadnjih letih.
Vsebine, ki vam lahko pomagajo
Nasvet
Zamenjajte gesla! #heartbleed
Zadnje dni je veliko pozornosti vzbudila novica o odkriti varnostni ranljivosti programske knjižnice OpenSSL, ki se uporablja za večino šifriranja na internetu. Preberite si, za kaj se gre.
[…] zadnjih dneh je veliko pozornosti deležna novica o odkriti kritični varnostni ranljivosti Heartbleed. Po priporočilu nacionalnega centra SI-CERT smo tudi na Arnesu takoj odpravili vse možnosti […]