Dáta zo serverov mohli útočníci čítať

Tento týždeň sa v internetových médiách objavila správa, ktorá opäť potvrdila, že pri používaní internetových služieb by sme mali byť obozretní a používať len overené prostriedky na komunikáciu.

Diera v internetovej šifre mohla vystaviť dve tretiny internetových serverov kritickej chybe, cez ktorú sa dali získať heslá, čísla účtov, či osobné údaje miliónov ľudí.  Chybu, ktorá získala prezývku Heartbleed (doslova krvácajúce srdce), odhalili začiatkom týždňa v jednej z verzií bezpečnostného protokolu OpenSSL. Nedostatok v praxi umožňuje útočníkom pozrieť sa na akékoľvek dáta, ktoré používatelia posielali na server.

Vždy, keď sa používateľ prihlasuje k internetovej službe, napríklad k webovému e­mailu, či na sociálnu sieť, posielajú sa z jeho počítača na server jeho prihlasovacie údaje. Tie sú práve pre bezpečnosť po ceste zašifrované protokolom s názvom SSL. OpenSSL je jedna z aplikácií protokolu, a práve pri jej programovaní spravili chybu, ktorá počítaču posielajúcemu dáta odhaľuje časť pamäte cieľového serveru.

Z pamäte sa dajú odčítať akékoľvek údaje, ktoré používatelia poslali. Zraniteľné sú heslá, obsah e­mailov, či chatových správ. Útočník takto môže získať aj tajný bezpečnostný kľúč, ktorý mu v praxi umožní tváriť sa ako pôvodný server alebo používateľ, čo ľudí vystavuje ďalším nebezpečným útokom. Po zneužití chyby Heartbleed neostáva žiada stopa.

Katastrofálna je správne označenie. Na škále od jedna do desať je to jedenástka,“ napísal na svojom blogu známy bezpečnostný analytik Bruce Schneier.

Zraniteľnú verziu OpenSSL používalo okrem iných aj Yahoo (a jeho stránky Flickr či Tumblr), obrázková služba Imgur, či zoznamka OKCupid. Náš systém KERBER, ktorý okrem iných funkcionalít zabezpečuje aj šifrovanú komunikáciu prostredníctvom protokolu OpenSSL,  nebol touto chybou postihnutý. Pokiaľ by ste ale mali podozrenie na možné zneužitie vašich prihlasovacích údajov, tak nás kontaktujte.

Časť článku je prevzatá z: http://tech.sme.sk/c/7166847/chyba-heartbleed-otvorila-hesla-milionov-ludi.html