Nemilé překvapení v podobě bezpečnostní chyby v OpenSSL uveřejněné v pondělí pod označením CVE-2014-0160 je horkým kandidátem na bezpečnostní průser roku. Jde o chybu, která byla objevena experty společnosti Codenomicon a Neelem Mehtou pracujícím pro Google.
Podle dostupných informací je OpenSSL takto zranitelný již dva roky. Teoreticky se mohl vyskytovat na 66% webů (těch, které běží na webserveru Apache a nginx)
Co může být prozrazeno?
Nepíše se to úplně snadno, ale vše.
- komunikace s e-shopy včetně hesel
- veškerá mailová komunikace včetně hesel k mailovým účtům
- komunikace s bankami včetně hesel
- obsah chatů včetně hesel
- data, která proudila skrz VPN včetně hesel
Majitelům ovlivněných služeb mohly být odcizeny privátní klíče.
Provést útok na tuto zranitelnost je relativně snadné (jsou k dispozici exploity) a s minimem stop.
Jak zabezpečit servery
Oprava chyby již byla vydána (OpenSSL verze 1.0.1g ) a proto ihned instalujte aktualizace. Komplikací může být pokud správci vaší ditribuce dosud nevytvořili příslušný balík. (9.4.2014 je to např. Debian 7 – stable) V tom případě přichází na řadu kompilace ze zdrojových kódů.
Jak je na tom váš server, si můžete zkontrolovat online na http://filippo.io/Heartbleed/
Po zazáplatování, bude, bohužel, nutná revokace a znovuvytvoření všech certifikátů.
Jak zabezpečit sebe
Užitečný doplněk do Chromu pro rychlou identifikaci webu, ketrý má ještě popisovaný problém je ChromeBleed. Ten bohužel neprověří zranitelnost ostatních služeb jako je email, chat, či VPN. Dále bude nutná změna hesel. Tam, kde to umožňuje provozovatel, použijte vícefaktorovou autentizaci (např. Google a jeho 2-Step Verification)
Změna hesla
Změna hesla je jedninou možností pro uživatele – nesmí ale přijít dřív než dojde k instalaci oprav na serveru a, co je stejně důležité, před revokací a následným obnovením certifikátů, jinak změna ztrácí smysl.
Zdroje
https://www.openssl.org/news/secadv_20140407.txt
http://heartbleed.com/