AKTUALIZOVANÉ V SOBOTU 10:00

Chyba Heartbleed otvorila heslá miliónov ľudí

Dáta zo státisícov serverov mohli útočníci čítať bez toho, aby po tom ostala akákoľvek stopa

BRATISLAVA. Diera v internetovej šifre mohla vystaviť dve tretiny internetových serverov kritickej chybe, cez ktorú sa dali získať heslá, čísla účtov či osobné údaje miliónov ľudí.

Chybu, ktorá získala prezývku Heartbleed (doslova krvácajúce srdce), odhalili začiatkom týždňa v jednej z verzií bezpečnostného protokolu OpenSSL. Nedostatok v praxi umožňuje útočníkom pozrieť sa na akékoľvek dáta, ktoré používatelia posielali na server.

Vždy, keď sa používateľ prihlasujete k internetovej službe, napríklad k webovému e­mailu či na sociálnu sieť, posielajú sa z jeho počítača na server jeho prihlasovacie údaje. Tie sú práve pre bezpečnosť po ceste zašifrované protokolom s názvom SSL. OpenSSL je jedna z aplikácií protokolu a práve pri jej programovaní spravili chybu, ktorá počítaču posielajúcemu dáta odhaľuje časť pamäte cieľového serveru.

Katastrofálna chyba

Z pamäte sa dajú odčítať akékoľvek údaje, ktoré používatelia poslali. Zraniteľné sú heslá, obsah e­mailov či chatových správ. Útočník takto môže získať aj tajný bezpečnostný kľúč, ktorý mu v praxi umožní tváriť sa ako pôvodný server alebo používateľ, čo ľudí vystavuje ďalším nebezpečným útokom. Po zneužití chyby Heartbleed neostáva žiada stopa.

„Katastrofálna je správne označenie. Na škále od jedna do desať je to jedenástka,“ napísal na svojom blogu známy bezpečnostný analytik Bruce Schneier.

Ešte v strede týždňa bolo cez Heartbleed zraniteľných viac ako pol milióna serverov. Nejakú verziu OpenSSL používajú podľa odhadov najmenej dve tretiny internetových služieb.

Nie všetky však museli využívať práve kód náchylný na novoodhalený útok. Zraniteľnú verziu OpenSSL používalo okrem iných aj Yahoo (a jeho stránky Flickr či Tumblr), obrázková služba Imgur či zoznamka OKCupid.

Facebook a Google v reakcii na oznámenie vyhlásili, že posilnili bezpečnosť svojej verzie SSL. Kanadský daňový úrad dokonca úplne prestal prijímať elektronické daňové priznania. Štyri najväčšie slovenské banky (Slovenská sporiteľňa, Tatra banka, ČSOB a VÚB) pre denník SME potvrdili, že nepoužívajú systém, ktorý je náchylný na zneužitie cez chybu.

Jedno heslo je problém

Veľké internetové firmy už zraniteľnú verziu OpenSSL zväčša nahradili novšou a niektoré z nich poradili svojim používateľom, aby si zmenili heslá.

Aby bola služba opäť zabezpečená, musia prevádzkovatelia vymeniť aj svoje vlastné bezpečnostné kľúče. Výmenu hesla používateľom odporúča aj špecialista pre IT bezpečnosť spoločnosti Eset Peter Stančík.

Proti podobným chybám sa obyčajný používateľ nemá možnosť brániť. „Tento incident nám opäť pripomína, aká dôležitá je hygiena hesiel, v tomto prípade konkrétne používanie unikátnych hesiel pre rôzne služby,“ pripomína Stančík.

Obyčajný používateľ navštevuje desiatky stránok a má niekoľko používateľských účtov na rôznych stránkach. Ak využíva jedno heslo pre všetky služby, stačí, aby svoje zabezpečenie nezvládla len jedna zo služieb a útočníci môžu získať prístup k celému jeho online životu.

Druhou možnosťou je používať dvojkrokové prihlasovanie, ktoré identitu overuje napríklad SMS správou.

Existenciu chyby odhalil analytik Googlu Neel Metha a informoval o nej tím zodpovedný za vývoj OpenSSL. Meno jej vymyslela bezpečnostná firma Codenomicon, ktorá ju odhalila približne v rovnakom čase. Diera v OpenSSL systéme existovala viac ako dva roky, a keďže útoky nezanechávajú stopy, nie je jasné, či nedostatok zneužili na útoky.

Pôvodná verzia článku uvádzala, že na otázky SME reagovali dve zo štyroch najväčších bánk. Odpoveď potvrdzujúcu zabezpečenie systémov SME pred uzávierkou poslala aj banka VÚB. Článok sme upravili 11.4.2014 o 7:00. Za chybu sa ospravedlňujeme.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy)
  2. Štatutári, máte už prístup k elektronickej schránke?
  3. Zabudnite na nové a neekologické PC. Je tu Refurbished!
  4. Volkswagen Arteon je výkladná skriňa technológií
  5. Yeme chce byť výnimočný obchod aj vďaka výnimočným zamestnancom
  6. Lepšie bývať na vidieku, alebo v meste? Hľadali sme výhody
  7. Poznáte pôvod slovenských slov? Otestujte sa
  8. Plavba po Karibiku na luxusnej lodi
  9. Hyundai H350 je dokonale spoľahlivým partnerom pre biznis
  10. Študenti majú na získanie 30 € ešte 20 dní
  1. Aj vy môžete mať pekný trávnik, poradí vám expert
  2. Výrobky, ktoré chutia a voňajú ako z domácej zabíjačky
  3. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy)
  4. Profesionálne sa predaj nehnuteľností dá robiť jedine exkluzívne
  5. HÝBSA Slovensko odštartovalo turné po Slovensku. Buďte pri tom!
  6. Každý štvrtý 70-tnik na Slovensku má cukrovku, pribúdajú mladší
  7. 5 hviezdičkové apartmány priamo na pobreží - Dubrovník
  8. Stavba domu na kľúč – úspora času aj financií
  9. Štatutári, máte už prístup k elektronickej schránke?
  10. Nová veľvyslankyňa Turecka na návšteve EU v Bratislave
  1. Poznáte pôvod slovenských slov? Otestujte sa 15 654
  2. Lepšie bývať na vidieku, alebo v meste? Hľadali sme výhody 10 707
  3. Plavba po Karibiku na luxusnej lodi 6 858
  4. Volkswagen Arteon je výkladná skriňa technológií 6 482
  5. Čím všetkým som si prešla, aby som sa naučila po anglicky 6 344
  6. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy) 5 926
  7. Yeme chce byť výnimočný obchod aj vďaka výnimočným zamestnancom 5 921
  8. Hyundai H350 je dokonale spoľahlivým partnerom pre biznis 5 361
  9. Zabudnite na nové a neekologické PC. Je tu Refurbished! 4 655
  10. Domácnosť, ktorá šetrí sama? Aj u nás je to už realitou 4 139

Hlavné správy zo Sme.sk

TECH

Mesiac som žil v inteligentnej domácnosti. A takto to dopadlo

Moderná, zábavná a zaujímavá. Inteligentná domácnosť je ale drahá a slovenským príkazom zatiaľ nerozumie.

KOMENTÁRE

Nová česká celebrita, hlúpa Mary a budúcnosť ľavosúdia (Schutzov týždeň)

Proti „ideám“ Sme rodina je šuvix aj nový „sociálny balík“ Smer-SNS-HíD.

SVET

Rozhoduje sa o budúcnosti sveta, čo plánujú lídri (Globsec naživo)

Lídri, vojaci a odborníci sa rozprávajú o hrozbách.

KOMENTÁRE

Keď slová slúžia ako strely

Falošné správy často pritiahnu väčšie masy ako dôveryhodné médiá.

Neprehliadnite tiež

Vzdali sa ropy, ponúknu tenisky z morských rias

Nerozpadnú sa po jednom daždi, nový materiál je určený na štandardné použitie.

Desatina Američanov opustila autá, presunuli sa k Uberu

Uber a Lyft menia spotrebiteľské návyky, niektorí im veria tak ako vlastnému autu.

Kardiostimulátory majú tisíce bezpečnostných IT chýb. Zdravotníci bezpečnosť zanedbali

Má držať rytmus srdca, stačí však hackerský útok a kardiostimulátor môže zabíjať.

Na čom hrať hry? Na PC či konzolách?

Porovnávať má zmysel hlavne produkty najväčších hráčov na trhu, keďže herným počítačom dokážu plnohodnotne konkurovať iba konzoly od Sony a Microsoftu.