„Krvácející srdce“ vyděsilo uživatele internetu

Hesla k e-mailům a online bankovnictví neměňte ukvapeně, varují odborníci

17. 4. 2014



„Krvácející srdce“ vyděsilo uživatele internetu

Nejnovější problém masově rozšířeného zabezpečeného přístupu na internetové stránky pomocí šifrovací knihovny OpenSSL pojmenovaný Krvácející srdce, ohrozil zašifrovaná data většiny uživatelů internetu. Mají si uživatelé internetu okamžitě změnit hesla u stránek, které dosud považovali za zabezpečené, a vygenerovat nové certifikáty? Odborníci radí počkat.

 

„Jde o chybu v technologii, která zabezpečuje spojení mezi zařízením uživatele a internetovým serverem. Ta je většině uživatelů známa jako zabezpečené HTTPS připojení, které v internetovém prohlížeči symbolizuje zamknutý zámeček ve stavovém řádku,“ popisuje aktuální problém způsobený chybou v programu šifrovací knihovny OpenSSL Miroslav Volek ze společnosti SYSCOM Software, která se, mimo jiné, dlouhodobě zabývá vývojem šifrovacích programů.

 

„Chyba je opravdu vážná. Teoreticky totiž poskytuje útočníkovi možnost získat hesla uživatele nebo v horším případě privátní klíče a následně pak odposlouchávat jeho veškerou další komunikaci. Problém postihl celosvětově miliony uživatelů, protože OpenSSL se používá na většině internetových serverů, na mobilních telefonech a podobně,“ varuje Volek.

 

Problém objevil Google Security tým společně se společností Codenomicon. Chyba dostala jméno Heartbleed bug (chyba krvácejícího srdce), protože se nachází v té části systému, pro niž se vžilo pojmenování „heartbeat“ (tlukot srdce). Ta slouží k tomu, aby si protistrany daly vědět, že jsou stále aktivní. A chyba se projevovala tak, že OpenSSL odesílalo protistraně víc dat z paměti, než mělo - obrazně řečeno „krvácelo data“. Proto tedy název „chyba krvácejícího srdce“.

 

Systémy vyvinuté společností SYSCOM Software chybou OpenSSL narušeny nejsou. „Námi vyvinutý komunikační software sice používá knihovnu OSSL, ale objevená chyba naše uživatele neohrožuje. Používáme totiž dvou anebo třívrstvý systém kryptování dat, data jsou šifrována ještě osobním klíčem uživatele. Ale na chybu jsme zareagovali a problém preventivně opravili,“ doplňuje Miroslav Volek.

 

Šifrovací knihovnu OpenSSL využívají celosvětově ke kryptování dat zhruba dvě třetiny webových stránek. Nyní se všichni provozovatelé snaží tzv. bug opravit. „I když spousta serverů a novinářů doporučovala koncovým uživatelům měnit hesla a generovat certifikáty ihned po tom, co byla chyba objevena, je rozumnější vyčkat, až poskytovatel služby daného uživatele chybu na svém serveru opraví a teprve potom preventivně změnit hesla nebo přegenerovat certifikáty, jinak to nemá smysl,“ doporučuje uživatelům specialista SYSCOM Software.

Kontaktujte nás

tel.: (+420) 286 582 975
fax: (+420) 286 892 961
e-mail: posta@ssw.cz
Pro registrované
Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Více informací OK
Partnerské systémy