10/04/2014

Luka „Heartbleed” może obejść Twoje zabezpieczenia na tysiącach stron

Informacje Porady

Gdy eksperci ds. bezpieczeństwa są cytowani w popularnych mediach, wiedz, że coś się dzieje 😉 I rzeczywiście, dzieje się – wykryto bardzo poważną lukę – zwaną Heartbleed – w OpenSSL, być może najczęściej stosowanej bibliotece szyfrowania w internecie. Jeśli czujesz się nieco skołowany tymi informacjami, nie martw się, spróbuję opisać Ci całą historię w około 500 słowach.

heart

Po ustanowieniu połączenia szyfrowanego ze stroną, na przykład Google, Facebook lub oddziałem banku online, dane są szyfrowane przy pomocy protokołu SSL/TLS. Wiele popularnych serwerów internetowych wykorzystuje bibliotekę OpenSSL typu open-source do własnych celów. Wcześniej w tym tygodniu opiekunowie OpenSSL opublikowali poprawkę dla tego poważnego błędu w zastosowaniu funkcji TLS, zwanego „Heartbeat”, który potencjalnie mógł udostępniać atakującemu do 64 kB pamięci serwera.

Innymi słowy, dzięki błędowi każda osoba posiadająca dostęp do internetu mogła odczytać pamięć maszyny chronionej dziurawą wersją biblioteki. W najgorszym przypadku ten mały blok pamięci mógł zawierać jakiś dane wrażliwe – nazwy użytkowników, hasła lub nawet klucz prywatny, który jest używany przez serwer do utrzymywania szyfrowanego połączenia. Ponadto wykorzystywanie luki Heartbleed nie pozostawia żadnych śladów, więc nie ma sposobu na zorientowanie się, że serwer został zhakowany oraz jakie dane zostały skradzione.

Dobra wiadomość: OpenSSL naprawił błąd. Zła wiadomość: w żaden sposób nie można zagwarantować, że administratorzy stron i usług z luką Heartbleed zaimplementowali odpowiednią łatę. Co więcej: błąd jest całkiem łatwo wykorzystać i mógł on istnieć przez dwa lata. Oznacza to, że certyfikaty bezpieczeństwa wielu popularnych stron mogły zostać skradzione, podobnie jak wrażliwe dane użytkowników, np. hasła.

Plan działania dla użytkownika

  • Sprawdź, czy Twoja ulubiona strona była dziurawa. W internecie można znaleźć wiele narzędzi służących do sprawdzenia obecności luki, ale musisz także wiedzieć, czy była ona tam wcześniej. Na szczęście istnieje długa lista popularnych stron, które zostały sprawdzone pod kątem luk. Dobra wiadomość: Facebook i Google nie są podatne na ten atak. Zła wiadomość: podatne były serwisy takie jak Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, Hidemyass, 500px i wiele innych. Przygotuj się na wypadek, gdy okaże się, że posiadasz konto w tych dziurawych serwisach;
  • Sprawdź teraz, czy strona jest dziurawa. W tym celu możesz posłużyć się prostym narzędziem.
heartbleed1
  • Gdy właściciele strony naprawią błąd, muszą również rozważyć ponowne wystawienie certyfikatów dla stron. Przygotuj się zatem na monitorowanie certyfikatu serwera i upewnij się, że używasz najnowszego (wystawionego 8 kwietnia lub później). W tym celu, zaznacz unieważnienie certyfikatu w przeglądarce.  Poniżej przykład z ustawień Google Chrome:

1
W ten sposób przeglądarka nie będzie mogła używać starych certyfikatów. Aby ręcznie sprawdzić datę wystawienia certyfikatu, w pasku adresu kliknij zieloną kłódkę, a następnie link „Informacje o certyfikacie” znajdujący się w zakładce „Połączenie”:

2