Přeskočit na hlavní obsah

Heartbleed - jedna z největších bezpečnostních chyb šifrované komunikace

“Heartbleed”, překládána jako chyba krvácejícícho srdce, je názvem jedné z aktuálně nejdiskutovanějších chyb knihovny OpenSSL, tedy základny většiny šifrované komunikace v prostředí internetu. Ne nadarmo je tak označována mnohdy jako nejzávažnější bezpečnostní trhlina v dějinách internetu. Název je odvozen od principu, jak tato chyba, nebo lépe řečeno zranitelnost SSL protokolu, funguje. Heartbeat, neboli úder srdce, je označení pro sérii informací, které si vymění server s koncovým zařízením příjemce, aby se vzájemně informovali, zda mezi nimi navázané spojení stále trvá. Při zneužití této chyby pak server krom informace o tom, že spojení trvá může odeslat i dalších několik bytů informací, které by standardně zasílány být neměly.


Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.

Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.

Heartbleed v akci

V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)

CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.

SparkTECH a Hearthbleed

I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale  námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.

Nadto veškeré využívané technologie pravidelně revidujeme.

Populární příspěvky z tohoto blogu

#softwareAmaso v Rokytnici

Na říjnovém planningu jsme, poměrně na poslední chvíli, zpískali podzimní akci v Rokytnici (nad Jizerou - to neplést s Rokytnicí v Orlických horách, což se někomu, a přiznejme si že mě, povedlo). Rozhodli jsme se věc pojmout jako všeSparkTECHáckou akci, takže včetně dětí, manželů a manželek, přítelů a přítelkyň a dalších domácích mazlíčků. Jako na každé #softwareAmaso akci nesměla chybět tuna jídla a zajímavé prostředí. První bod jsme s Matějem pokryli čtvrtečním nákupem a zajistili jídlo nejen na víkend, ale i na následnou Toasťáko-vraždu prvního stupně v týdnu a dnech dalších. O další bod se postaralo z velké míry počasí, které nabídlo podzim ve své nejkrásnější podobě. Chajdu máme celou pro sebe. První večer byly na pořadu dne degustace vánočních vín a hry. Chybou bylo nechat intelektuálnější hry na pozdější fáze degustace. Není na hanbě, čeká na koupelnu.  Vše utichlo, jdeme spát.  Přilehlá restaurace otevřená od brzkého rána zachránila mnohým život, prot

#SparkTrip do Izraele - Israel PyCon

Když jsme letos plánovali konference pro #python, byl PyCon jasná volba. No a protože v termínu toho českého se nashromáždily různé jiné akce (především vzhledem k tomu, že je o víkendu), hledali jsme  v zahraničí.  Volba to nakonec nebyla těžká, protože Mára byl začátkem roku na homeofficu v Izraeli a místní PyCon mu byl doporučen. A jelikož my ostatní jsme do té doby v Izraeli nebyli, tak bylo rozhodnuto. 
  20. 10. 2020 objevil SparkTECH Eluvii . Po deseti letech putování našli programátoři ze SparkTECHu prostředí, které je jim blízké a rozhodli se v něm zůstat. Proto je od nynějška SparkTECH známý jako Eluvia , místo, kde platí dané slovo, dohodnuté termíny a profesní standardy, stejně spolehlivě jako zákony vesmíru. Sledujte www.eluvia.com On the October 20th, 2020, SparkTECH has discovered Eluvia . After ten years of wandering, SparkTECH programmers have found an environment close to them and have decided to stay in it. That's why SparkTECH is now known as Eluvia , a place, where the given word, agreed terms and professional standards apply as reliably as the laws of the Universe. Follow www.eluvia.com  #eluvia #eluvialand #eluviacloud #codemustflow