Co je Heartbleed Bug, OpenSl zranitelnost?

Heartbleed Bug je chyba zabezpečení OpenSSL, která by škodlivým hackerům umožnila ukrást informace z webů, které by byly normálně chráněny šifrováním SSL / TLS. Otevřená kryptografická knihovna OpenSSL se používá k implementaci internetového protokolu TLS (Transport Layer Security).

Heartbleed Bug, pojmenovaný vědci, kteří objevili bezpečnostní chybu, teoreticky umožňuje komukoli na internetu přístup k zabezpečenému webovému serveru, na kterém běží určité verze OpenSSL, aby získal šifrovací klíče webu, hesla uživatelů a obsah webu.

Podle oficiální web Heartbleed Bug„OpenSSL 1.0.1 až 1.0.1f (včetně) jsou zranitelné, zatímco OpenSSL verze 1.0.1g opravuje bezpečnostní chybu.


Vytváření chyb Heartbleed a objevování chyb

Chyba Heartbleed byla původně objevena inženýrem společnosti Google Neel Mehta a finskou bezpečnostní firmou Codenomicon. Bezpečnostní chybu zavedl do šifrovacího protokolu OpenSSL otevřeného zdroje německý vývojář softwaru Robin Seggelmann. Vzhledem k tomu, že se chyba stala všeobecně známou, Seggelmann uvedl, že chybu omylem chyběl sám a další recenzent kódu a chyba nebyla vložena škodlivě, a to navzdory online konspiračním teoriím týkajícím se Heartbleed, jako je NSA, která ke sledování špionovala chybu Heartbleed.

Heartbleed Bug ve zprávách

Heartbleed Bug Rumors
RCMP požádala Revenue Canada o zpoždění zpráv o krádežích SIN
Heartbleed bug kousne miliony telefonů Android
Heartbleed bug: Co je ovlivněno a jaká hesla musíte změnite
Testy potvrzují, že chyba Heartbleed může odhalit soukromý klíč serveru

Srdeční útoky

Existuje několik zdokumentovaných případů útoků využívajících chybu Heartbleed, ale bezpečnostní experti varují, že použití chyby by nezanechalo žádnou stopu a všechny weby využívající dotčené verze OpenSSL by měly být považovány za kompromitované.

Zatímco mnoho velkých webů, včetně Google, Facebooku a dalších, si rychle povšimlo, že služby jsou „v bezpečí“ od Heartbleed, zdá se, že veřejné oznámení z 8. dubna 2014 vyvolalo útoky. Canada Revenue Agency (CRA) zavřela veřejné online služby, aby odstranila tuto chybu, ale před provedením opravy CRA uvedla, že 900 čísel sociálního pojištění bylo z počítačů CRA odcizeno osobami využívajícími chybu Heartbleed.

V dalším hlášeném útoku, rodičovský web se sídlem ve Velké Británii, Mumsnet, také tvrdí, že došlo k porušení, kdy infiltrátor tvrdil, že pro přístup k účtu použil Heartbleed. Web poskytl svým uživatelům několik podrobností spolu s pokyny, jak resetovat hesla k webům.


Heartbleed: Beyond the Internet

Chyba Heartbleed přesahuje internet. Například mobilní zařízení s operačním systémem 4.1.1 Android (vydáno v roce 2012) mají softwarovou chybu Heartbleed. Všechny ostatní verze jsou vůči této chybě imunní, ale díky tomu jsou miliony smartphonů a tabletů zranitelné. Kromě toho jsou operační systémy, včetně Debian Wheezy (stabilní), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 a OpenSUSE 12.2, verze dodávané se zranitelnou verzí OpenSSL (zobrazit celý seznam).