Fatální chyba v OpenSSL ohrozila uživatele VPN i internetového bankovnictví

Fatální chyba v OpenSSL ohrozila uživatele VPN i internetového bankovnictví
10 / 04 / 2014, 09:57

Pokud k citlivé komunikaci využíváte nějaké standardní VPN (virtual private network) připojení, nebo používá populární SSL knihovnu vaše banka k zabezpečení SSL/TLS spojení, máte problém. Zásadní chyba v OpenSSL, díky své dostupnosti zdarma asi nejpopulárnější SSL knihovně, totiž umožňuje jednoduchým způsobem krást data i privátní klíče.

Bug s označením CVE-2014-0160 (nazývaný také poněkud poetičtěji „Heartbleed“), což je vtipná slovní hříčka s rozšířením knihovny, ve kterém byla nalezena, se nalézá v implementaci tzv. Heartbeat rozšíření SSL podle RFC 6520. Rozšíření za normálních okolností umožňuje posílat mezi oběma body spojení zprávy potvrzující funkčnost spojení. Bohužel se zde již ale nenalézá kontrola hranic, takže se k výměně může připojit útočník zvenku.
 

Útočník je následně pomocí chyby schopen získat z paměti počítače, který je druhou stranou spojení, 64 KB sousedících s datovými strukturami, jež využívá na své zpracování heartbeat požadavků. Pokud bude svůj útok opakovat, může postupně dostat z operační paměti větší část paměti daného procesu a tím pádem také podstatnou část citlivých dat, která se zde nalézají. Příkladem může být obsah paměti webového serveru, který zprostředkovává zabezpečené HTTPS stránky jako internetové bankovnictví či další více či méně závažné služby.
 

V paměti web serveru je možné typicky najít například privátní klíče SSL certifikátu webu, které umožňují mimo jiné dešifrovat jakoukoli zašifrovanou komunikaci s tímto webem. V paměti se ale nalézají také další citlivé informace, jako například přístupové údaje (loginy a hesla) uživatelů, tento problém se v případě knihovny OpenSSL týká například všech uživatelů služeb serveru Yahoo! Stejným způsobem je ale možné krást například z citlivých databází, které také hojně knihovnu OpenSSL využívají.
 

Zranitelnost byla potvrzena ve verzích od OpenSSL 1.0., do kódu se dostala v prosinci 2011 a opravena byla včera ve verzi OpenSSL 1.0.1g. Pokud máte podezření na to, že jste využívali službu, která měla OpenSSL implementovánu (OpenSSL standardně využívají například webservery Apache a nginx), důrazně doporučujeme kromě aktualizace také změnu hesel na všech hypoteticky postižených službách.
 

Na chybu upozornili samotní autoři knihovny a byla potvrzena dalšími bezpečnostními experty – Neelem Mehtem ze společnosti Google a nezávisle na něm také finskou společností Codenomicon.
 

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace