Přeskočit na hlavní obsah

Heartbleed - jedna z největších bezpečnostních chyb šifrované komunikace

“Heartbleed”, překládána jako chyba krvácejícícho srdce, je názvem jedné z aktuálně nejdiskutovanějších chyb knihovny OpenSSL, tedy základny většiny šifrované komunikace v prostředí internetu. Ne nadarmo je tak označována mnohdy jako nejzávažnější bezpečnostní trhlina v dějinách internetu. Název je odvozen od principu, jak tato chyba, nebo lépe řečeno zranitelnost SSL protokolu, funguje. Heartbeat, neboli úder srdce, je označení pro sérii informací, které si vymění server s koncovým zařízením příjemce, aby se vzájemně informovali, zda mezi nimi navázané spojení stále trvá. Při zneužití této chyby pak server krom informace o tom, že spojení trvá může odeslat i dalších několik bytů informací, které by standardně zasílány být neměly.


Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.

Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.

Heartbleed v akci

V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)

CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.

SparkTECH a Hearthbleed

I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale  námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.

Nadto veškeré využívané technologie pravidelně revidujeme.

Populární příspěvky z tohoto blogu

Tři způsoby jak ve SparkTECHu využíváme Slack, o kterých jste (možná) nevěděli + bonus

Slack je mezi vývojářskými týmy pravděpodobně nejvyužívanějším komunikačním nástrojem a poměrně s jistotou si dovolím tvrdit, že právem. Nabízí totiž spoustu rozšíření a nástrojů, které dokáží ulehčit a zjednodušit rutinní práci. O to víc mi příjde škoda, že toho lidé nevyužívají a berou Slack jenom jako další chatovací aplikaci, kterých jsou k dispozici desítky. V tomto krátkém příspěvku popíšu několik funkcí, které jsou z pohledu nás, SparkTECHu, nejzajímavější a jejich zprovoznění je otázkou chvilky.


1) Hlasování v pollu

Jeden z největších problémů, co jsme řešili po přestěhování do nových kanceláří, bylo rozhodování, kam půjdeme na oběd. Máme v okolí velké množství stravovacích zařízení, ale domluvit se na tom, kam se společně zajdeme najíst, byl většinou task na celé dopoledne. Určitě to taky znáte. Chodíte po kanclu, ptáte se kolegů kam by rádi, jenže ne každý má zrovna čas nebo kapacitu vám věnovat pozornost. Jeden má call, druhému něco hoří, takže to hotfixuje, dva jsou zavření …

Dubnový #hrajsnami SparkTECH planning

Pravidelně první středu v měsíci máme ve SparkTECHu planning. Pravidelně, abychom se nemohli vymlouvat, že jsme na to zapomněli. První středu, abychom se nemuseli dohadovat kdy (dost stačí dohadovat se na CO?) a protože cvičně hučí sirény (kdybychom přeci jen zapomněli a chtěli se vymlouvat). A planning, protože původní záměr byl, že půjde opravdu o typický planning dle agilních metodik. To, že to nakonec dopadlo jinak a jedná se zkrátka o informativní setkání, kde se probírá kde co, je už jiná pohádka.

Pro představu fotky z toho nedávného, dubnového, po kterém jsme vyrazili do Endorfinu. Tam nás čekal Freddy Krueger a pokojíček ve stylu Saw.
Jelikož se někde v budoucnu v téhle vybrané společnosti vyměníme, bylo nejhorší si o průběhu nevyprávět.













#hrajsnami softball - Dejvická slowpitchová liga 2018

Fotoreportáž ze zápasu Dejvické slowpitchové ligy, který se konal 27.-28.10. na Vypichu a SparkTECH se ho účastnil s #hrajsnami týmem.