Heartbleed - czy największa w historii luka w zabezpieczeniach wykrwawi internet?

W poniedziałkowe popołudnie branżowe portale obiegła elektryzująca wiadomość: OpenSSL, biblioteka służąca do zabezpieczenia komunikacji, nie jest bezpieczna. Nie bardzo wiadomo od jak dawna o luce mogą wiedzieć cyberprzestępcy. Czy problemu nie ujawniono pochopnie?

Heartbleed (z ang. "krwawienie z serca") to nazwa luki w bibliotece kryptograficznej OpenSSL. To niezwykle popularne narzędzie wykorzystywane między innymi do szyfrowania połączeń z serwerami. Kiedy łączymy się z bankiem albo serwerem pocztowym widzimy przed adresem ikonkę kłódki. Oznacza to, że połączenie jest zabezpieczone i nikt nie może "podejrzeć" transmisji danych pomiędzy nami a serwerem.

Z wykorzystaniem luki jest inaczej. Hakerzy są w stanie odczytać transmisję zabezpieczoną przez OpenSSL. Podczas testów ustalono, że wykraść można w zasadzie wszystko: hasła, dokumenty, e-maile. Po ataku nie pozostają jakiekolwiek ślady.

Od wczoraj nie możemy więc pewności, że nasze połączenie jest bezpieczne. Luka, okryta zarówno przez specjalistów z Finlandii jak i przez Google, istnieje od dwóch lat, ale nie wiadomo jak wiele osób o niej wiedziało. Nie jest jasne, czy kiedykolwiek została wykorzystana.

Na blogu serwisu Tor pojawiło się ostrzeżenie:

"Jeśli zależy ci na silnej anonimowości i prywatności w internecie powinieneś trzymać się z dala od komputera przez kilka następnych dni, aż sytuacja się uspokoi.

Według mnie sprawa została nagłośniona zbyt wcześnie, bo cyberprzestępcy dowiedzieli się o nowej możliwości przeprowadzenia ataku.

Moje obawy potwierdza serwis Niebezpiecznik.pl:

Ponieważ dziś ujawniono na czym polega atak i udostępniono kod patcha, który go łata, najprawdopodobniej lada chwila rozpoczną się masowe ataki na serwery korzystające z OpenSSL. Dlatego dajcie proszę znać swoim znajomym o tym błędzie - niech jak najszybciej zaktualizują OpenSSL na swoich serwerach

O komentarz do sprawy poprosiliśmy specjalistę. W rozmowie z nami Michał "rysiek" Woźniak z Fundacji Wolnego i Otwartego Oprogramowania przyznał, że zagrożenie jest realne.

***

Robert Kędzierski: To poważna sprawa?

Michał "rysiek" Woźniak: To jest potężne zagrożenie. Każdy administrator serwera wykorzystującego OpenSSL powinien natychmiast zastosować przygotowane poprawki.

Potencjalnie Heartbleed daje możliwość zdalnego pozyskania całej zawartości pamięci RAM podatnego serwera, co oznacza potencjalnie możliwość dostania się do haseł, czy innych danych trzymanych w danej chwili w pamięci operacyjnej. To oznacza, że potencjalnie można pozyskać cały klucz prywatny używany do szyfrowania połączenia, wraz z hasłem. To zaś potencjalnemu atakującemu pozwolić może na atak Man-in-the-Middle -- dokładnie to, przed czym SSL/TLS ma chronić.

Błąd w zabezpieczeniach został wykryty dopiero po dwóch latach. Co mogło się przez ten czas wydarzyć?

Jeśli agencje "podsłuchujące" w Internecie, lub cyberprzestępcy, wiedzieli o tym błędzie wcześniej, byli w stanie podsłuchiwać każde połączenie nawiązywane z podatnym serwerem. W przypadku serwerów zapewniających tzw. "forward secrecy", na tym się sprawa kończy.

W przypadku pozostałych serwerów (bardzo wielu, niestety), po wydostaniu klucza prywatnego możliwe staje się nawet odszyfrowanie zapisanych wcześniej szyfrowanych transmisji.

Co ma robić zwykły użytkownik?

Niewiele może zrobić, bo nawet aktualizacja systemu do najnowszej wersji niewiele da. Tu zadanie tak naprawdę należy do administratorów serwerów. To oni powinni jak najszybciej zastosować przygotowane łatki.

Czyli wkrótce powinno być "po sprawie"? Administratorzy zmienią wersję OpenSSL i znów będziemy mogli czuć się bezpiecznie?

To bardziej złożona sytuacja. Po pierwsze: błąd jest poważny. Dawał dostęp do danych, które są kluczowe do zapewnienia bezpieczeństwa (klucze prywatne, hasła). Czarny scenariusz jest taki, że bardzo wiele prywatnych kluczy szyfrujących dla certyfikatu SSL/TLS zostało przechwyconych i jedynym pewnym sposobem ponownego pełnego zabezpieczenia wszystkich połączeń SSL/TLS jest stworzenie nowych certyfikatów.

Trudno w tej chwili określić, czy czarny scenariusz zachodzi, czy też nie, bo zwyczajnie nie wiemy, czy ktoś (agencje, cyberprzestępcy) nie odkryli tego błędu wcześniej i nie wykorzystywali go już od jakiegoś czasu.

Na szczęście każdy szanujący się administrator zaczyna dzień od instalacji aktualizacji, więc nie zdziwiłbym się też, gdyby dość szybko lwia część usług zabezpieczonych SSL/TLS została załatana.

Dziękuję za rozmowę

Ja również.

***

Czy muszę się jakoś chronić? Co mam robić?

Z pewnością nie ma powodów do panikowania, ale trzeba zwrócić szczególną uwagę na wrażliwe dane.

- należy upewnić się, że nasza karta kredytowa/debetowa nie została wykorzystana w nieautoryzowany sposób. Przez kilka następnych dni trzeba szczególnie bacznie przeglądać wyciągi z banku.

- jeśli nie mamy pewności, czy serwis, z którym chcemy się połączyć jest bezpieczny nie róbmy tego. Administratorzy będą na pewno na bieżąco informować o tym, czy luka OpenSSL została załatana.

- trzeba poczekać, aż administratorzy zaktualizują OpenSSL i zmienić hasła

- jeśli masz szczególne obawy upewnij się u administratora, że serwer z którym się łączysz jest już zabezpieczony

- zwracaj uwagę na e-maile - być może cyberprzestępcy będą chcieli wykorzystać medialny szum wokół Heartbleed. Zanim klikniesz w jakiś link zastanów się trzy razy.

Więcej o:
Komentarze (56)
Heartbleed - czy największa w historii luka w zabezpieczeniach wykrwawi internet?
Zaloguj się
  • frelek1

    Oceniono 520 razy 462

    Mogę potwierdzić, że biblioteka wcale nie jest bezpiecznym miejscem, kilka lat temu poznałem w bibliotece swoją obecną żonę i niestety z biegiem lat okazało się że to jest wirus, koń trojański a raczej "kobyła trojańska", żadna aplikacja antywirusowa nie bierze tego. Także uważajcie na biblioteki!

  • shadowthrone

    Oceniono 66 razy 62

    "...Przez kilka następnych dni trzeba szczególnie bacznie przeglądać wyciągi z banku." - oczywiście używając w tym celu połączenia, które jest pozbawione zabezpieczenia, tak? Świetny plan - ilez to haseł do kont bankowych można przechwycić

  • naprawdetrzezwy

    Oceniono 64 razy 36

    Tak to jest, gdy bawią się w to głupki.

    „Dlatego dajcie proszę znać swoim znajomym o tym błędzie - niech jak najszybciej zaktualizują OpenSSL na swoich serwerach”

    Znajomych? Powiadamiać?
    1. moi znajomi nie bawią się w uruchamianie w domu serwerów.
    2. jeśli ktoś jest administratorem jakiegoś systemu, to sam wie, gdyż śledzi ważne informacje - żaden kretyński łańcuszek mu nie pomoże.
    ;>

  • rabbinhood

    Oceniono 32 razy 28

    To tak jakby Gogola "Jeden tam tylko jest porządny człowiek – prokurator, ale i ten, prawdę mówiąc – świnia. " przerobić i prokuratora zastąpić adminem;-)

  • oskarw85

    Oceniono 36 razy 20

    Ta dziura to nie koniec świata. Wprawdzie daje dostęp do pamięci, ale nie do dowolnie wybranego obszaru. Także atakujący musi albo liczyć na ślepy traf przy ogromnej liczbie powtórzeń ataku, albo spróbować w jakiś sposób wymusić pojawienie się danych w interesującym obszarze. Nie jest to proste.

  • m_16

    Oceniono 39 razy 19

    Ten błąd to zapewne "backdoor" dla służb :D :D :D.......

  • student_zebrak

    Oceniono 14 razy 10

    to jest zadanie dla wlascicieli serwerow, a nie uzytkownikow. My mozemy dodac zabezpieczenie do modemu i kompa.

Aby ocenić zaloguj się lub zarejestrujX