Heartbleed - groźna luka w OpenSSL. Hasła zagrożone

Użytkownicy Facebooka, Twittera, Yahoo i wielu innych popularnych stron mogli nie być w pełni chronieni przed atakami hakerów.

Aż 65 procent serwerów w sieci jest narażonych na bardzo poważny atak i przechwycenie kluczy szyfrujących. Przyczyna jest luka w OpenSSL oznaczona jako CVE-2014-0160, która istnieje od grudnia 2011 roku i została załatana dopiero w najnowszej wersji oprogramowania - podaje Computerworld.

Aktualizacja 21:55

Specjaliści od bezpieczeństwa sugerują jak najszybsze sprawdzenie obecności tej luki szyfrach systemów wykorzystujących OpenSSL (np. w serwerach webowych) i załatanie jej.

Luka została wykryta przez Neela Mehta z Google Security oraz trzech analityków z firmy Codenomicon. Istnieje od dawna, bo od grudnia 2011 r. Została naprawiona w wersji OpenSSL 1.0.1g udostępnionej 7 kwietnia 2014 roku. Tego samego dnia podano informację o tym zagrożeniu. Na razie nie pojawiły się informacje o tym, by luka została wykorzystana do ataków na serwery.

Dzięki luce cyberprzestępcy z łatwością mogą odczytać zabezpieczoną transmisję danych i bez większego wysiłku uzyskać dostęp nie tylko do haseł internautów, ale i wszystkich plików zapisanych na dysku. Ewentualny atak nie pozostawia śladów w logach, a zatem jego wykrycie jest trudne. Luka jest związana z obsługą heartbeat TLS i przez jej odkrywców została nazwana Heartbleed.

Zagrożenie jest bardzo poważne ponieważ z OpenSSL korzystają statystycznie dwa na trzy serwery w Internecie - szacuje Computerworld. Dlatego atak mógłby mieć bardzo szeroki zasięg. A oprócz serwerów internetowych z bibliotek OpenSSL korzystają także inne narzędzia np. serwery poczty internetowej, komunikatorów, usług komercyjnych.

- Sytuacja jest tragiczna, nie przypominam sobie tak rozległego i strasznego błędu - powiedział na antenie TVN24 Biznes i Świat Piotr Konieczny, szef zespołu bezpieczeństwa portalu niebezpiecznik.pl. - Zawinił człowiek, tu mamy do czynienia z błędem programistycznym. Na jego skutek możemy odczytywać fragmenty pamięci, co do których zazwyczaj nie powinno być dostępu - dodał Konieczny.

Zmiana haseł konieczna?

Google wprowadziło już poprawki w swoich podstawowych usługach takich jak Google Search, Gmail, YouTube, Wallet i Play. Google Chrome nie miało luki.

Regularnie i aktywnie szukamy luk i zachęcamy innych do ich zgłaszania, tak abyśmy mogli naprawić błędy oprogramowania - napisał Matthew O'Connor z Google na oficjalnym blogu firmy.

Z kolei amerykański serwis Mashable stworzył listę popularnych stron i serwisów, na której można sprawdzić, które z nich były mogły paść ofiarą Heartbleed. Są na niej m.in. portale społecznościowe Facebook, Twitter i LinkedIn, portale zakupowe Amazon, eBay oraz serwis PayPal, a także dostawcy usług e-mail: Gmail, Hotmail, Yahoo. W przypadku części z nich zalecane jest zmienienie hasła do profilu lub konta. Jak podaje TVN24 Biznes i Świat dotyczy to m.in. Facebooka,Yahoo, Gmaila. Nie ma na razie jednoznacznej rekomandacji, czy trzeba zmieniać hasła do kont na Twitterze i eBayu.

Jeśli chodzi o polskie serwisy, to zdaniem ekspertów od bezpieczeństwa, strony internetowe banków w zdecydowanej większości usunęły dziurę.

Co robić?

Specjaliści ds. bezpieczeństwa zalecają jak najszybszą aktualizację oprogramowania serwerów i urządzeń wykorzystujących funkcje OpenSSL. A jeśli aktualizacja nie jest możliwa, należy wyłączyć obsługę heartbeats.

Samo usunięcie podatności nie zapewnia jednak bezpieczeństwa, gdyż jeśli serwis lub portal był już zaatakowany, to prawdopodobnie ktoś przejął klucz prywatny do certyfikatu SSL. Napastnik może wówczas przeprowadzić atak pośrednictwa (man-in-the-middle), a także deszyfrować komunikację przechwyconą innymi drogami. Atak umożliwia także przejęcie innych danych, w tym haseł administracyjnych lub danych użytkowników.

Jeśli jest podejrzenie, że atak nastapił należy wówczas po aktualizacji oprogramowania niezwłocznie:

• zmienić hasła administracyjne i hasła wszystkich użytkowników,
• przeprowadzić audyt spójności oprogramowania,
• skasować tokeny sesji na serwerze,
• rozważyć wymianę wszystkich certyfikatów SSL,
• przeprowadzić inwentaryzację informacji, które mogły być tą drogą wykradzione i ustalić ewentualny rozmiar szkód.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"