The Heartbleed Bug, tak bezpečnostní odborníci označují nejzávažnější chybu v historii internetu, která se týká jeho přímého zabezpečení. Vzhledem k závažnosti problému skutečně doporučujeme tento článek pročíst detailně a pochopit tak, v čem je vlastně problém, koho ohrozil a jak se mu lze bránit. V článku naleznete také to, na co si dávat pozor. Pojďme se tedy podívat na to, co se vlastně vyskytlo za problém a jaké služby a uživatelská data mohou být ohroženy a co můžete udělat pro jejich zabezpečení.
Stejně jako je srdce nejdůležitějším orgánem v našem těle, je knihovna OpenSSL nejdůležitějším kryptovacím softwarem datové komunikace na světě. Právě v knihovně OpenSSL se objevila závažná chyba, která podle expertů mohla ohrozit bezpečnost až dvou třetin všech webových stránek na světě. Knihovnu OpenSSL používá k ochraně dat při internetovém přenosu nejen unixový systém, tedy Linux a Apple OS X, ale také Microsoft Windows a mobilní verze oblíbených operačních systémů. Chyba umožnila šifrovaný přenos zachytit a dešifrovat a tím získat důležitá data, včetně přístupových jmen a hesel. Je prakticky jedno na jaký program, službu nebo prohlížeč a operační systém se podíváte, drtivá většina z nich používá právě OpenSSL pro své zabezpečení. Chyba vznikla nedopatřením při vydání nové verze knihovny OpenSSL 14. března 2012. Dne 7. dubna 2014 pak vydali vývojáři knihovnu OpenSSL 1.0.1g, která tento problém vyřešila.
Pokud máme vše shrnout do několik vět, pak se stalo to, že knihovna OpenSSL, kterou používá drtivá většina všech internetových služeb k šifrované komunikaci, obsahovala v posledních dvou letech vážnou bezpečnostní chybu, která umožnila hackerům odposlouchávat spojení mezi uživatelem a serverem, stejně tak jako mezi jednotlivými servery a službami navzájem. To znamená, že i když docházelo k šifrovanému přenosu dat například při zadání vašeho přihlašovacího jména a hesla pro přístup k emailové adrese, mohli hackeři získat tyto data a zjistit tak heslo a uživatelské jméno a to přímo v momentě, kdy došlo ke komunikaci mezi vašim počítačem a internetovou službou.
Jak se problém řeší a je již vyřešen?
Problém se týká velkého množství služeb a postihnuty jsou i ty největší servery na světě, naštěstí se však chyba alespoň podle oficiálního vyjádření bank a bezpečnostních expertů netýká internetového bankovnictví, které používá pro šifrování ještě další systémy, jenž ohroženy nebyly. Problém tedy nevznikl nikde, kde byste jej mohli vy jako uživatelé jakýmkoli způsobem opravit, problém se týká přímo OpenSSL a oprava je tedy na administrátorech serverů. Společnost Websupport, která poskytuje hosting pro všechny naše servery, tedy jak pro Letem světem Applem, tak i pro Ladie’s Magazine, Samsung Magazine a Men’s Magazine, aktualizovala na nejnovější verzi OpenSSL ihned po zveřejnění informace o problémech. Taktéž byly vyměněny SSL klíče na všech serverech Websupportu a v současné době se mění SSL certigikáty s tím, že veškeré naše servery by měly být v pořádku.
To co jsme nyní uvedli jako příklad na našich serverech platí také všeobecně, jakmile administrátoři aktualizují OpenSSL databázi na nejnovější verzi, problém je automaticky opraven a k odposlouchávání již nemůže docházet. Pokud jste majitelem webových stránek, pak se o aktualizaci stará přímo společnost, která poskytuje váš hosting, nikoli vy osobně. Problém je však v tom, že k odposlouchávání mohlo docházet předtím, než servery získali aktualizovanou verzi OpenSSL a hackeři tak mohli získat vaše přihlašovací údaje. Hackeři mohli také získat již zmíněné bezpečnostní klíče serverů, což jim v budoucnu umožní vydávat se za server, se kterým komunikujete právě proto však drtivá většina hostingových služeb, včetně té pod kterou jsou naše servery klíče mění a i kdyby v krajním případě hacker skutečně klíče získal, již nebudou funkční.
Jak se ochráním já?
Vzhledem k výše uvedeným skutečnostem doporučujeme nejen my, ale především pak přední bezpečnostní odborníci, aby uživatelé změnili svá hesla na všech svých účtech, které používají pro přístup k internetovým službám a to za zcela nová, která prozatím nikde nepoužili. Dejte si však pozor na emaily, které vás sami vyzvou ke změně hesla. Samozřejmě se může stát, že takový mail obdržíte a například společnost Leap Motion jej skutečně rozeslala a dorazil i nám.
Problém je však v tom, že současné paniky vyžívají také útočníci, kteří používají takzvanou metodu phishingu, při které se vydávají za administrátory služeb. Pokud vám dojde jakýkoli mail s výzvou pro změnu hesla, pečlivě si prostudujte adresu odesilatele a stránku, na kterou vás mail přesměrovává. Prohlédněte si pečlivě URL a zkontrolujte, zda není na stránce něco podezřelého. Upozorňujeme vás, že v případě, kdy by ke změně hesel vyzvala nějaká velká služba nebo společnost typu Microsoft, Apple, Google a podobně, rozhodně se o tom dočtete na našem serveru, kde vám potvrdíme, že k tomu skutečně došlo a tyto maily jsou pravé! Pokud vám však dojde mail od jakékoli velké společnosti s výzvou pro změnu hesla a nenajdete na LsA ani nikde jinde na internetu informaci o tom, že to společnost skutečně udělala, na mail nereagujte.
Komix který vysvětluje, jak Heartbleed funguje
*Zdroj komixu: xkcd.com
