Přeskočit na hlavní obsah

Heartbleed - jedna z největších bezpečnostních chyb šifrované komunikace

“Heartbleed”, překládána jako chyba krvácejícícho srdce, je názvem jedné z aktuálně nejdiskutovanějších chyb knihovny OpenSSL, tedy základny většiny šifrované komunikace v prostředí internetu. Ne nadarmo je tak označována mnohdy jako nejzávažnější bezpečnostní trhlina v dějinách internetu. Název je odvozen od principu, jak tato chyba, nebo lépe řečeno zranitelnost SSL protokolu, funguje. Heartbeat, neboli úder srdce, je označení pro sérii informací, které si vymění server s koncovým zařízením příjemce, aby se vzájemně informovali, zda mezi nimi navázané spojení stále trvá. Při zneužití této chyby pak server krom informace o tom, že spojení trvá může odeslat i dalších několik bytů informací, které by standardně zasílány být neměly.


Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.

Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.

Heartbleed v akci

V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)

CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.

SparkTECH a Hearthbleed

I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale  námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.

Nadto veškeré využívané technologie pravidelně revidujeme.

Populární příspěvky z tohoto blogu

#softwareAmaso v Rokytnici

Na říjnovém planningu jsme, poměrně na poslední chvíli, zpískali podzimní akci v Rokytnici (nad Jizerou - to neplést s Rokytnicí v Orlických horách, což se někomu, a přiznejme si že mě, povedlo). Rozhodli jsme se věc pojmout jako všeSparkTECHáckou akci, takže včetně dětí, manželů a manželek, přítelů a přítelkyň a dalších domácích mazlíčků. Jako na každé #softwareAmaso akci nesměla chybět tuna jídla a zajímavé prostředí. První bod jsme s Matějem pokryli čtvrtečním nákupem a zajistili jídlo nejen na víkend, ale i na následnou Toasťáko-vraždu prvního stupně v týdnu a dnech dalších. O další bod se postaralo z velké míry počasí, které nabídlo podzim ve své nejkrásnější podobě. Chajdu máme celou pro sebe. První večer byly na pořadu dne degustace vánočních vín a hry. Chybou bylo nechat intelektuálnější hry na pozdější fáze degustace. Není na hanbě, čeká na koupelnu.  Vše utichlo, jdeme spát.  Přilehlá restaurace otevřená od brzkého rána zachránila mnohým život, prot

Brněnský #sparktrip aneb microservice hackathon

Namísto standardních vánočních večírků, které se již od listopadu sypaly jak objednávky na Teslu v Alze, jsme se rozhodli vybočit ze standardního shonu na konci roku a udělat si výlet. Resp. výlet - hackathon. Řekli jsme si, že se na dva dny omluvíme všem klientům a budeme se věnovat jen vlastním projektům (Eventitu, PickTimu, Networkuj, potažmo Notee a Budgetteru). A tak jsme v pondělí 4.12. sedli do vlaku Českých drah a zamířili do Brna. Plán bylo málo spát, ale o to víc programovat za pečlivého dodržování pitného režimu. A jak to nakonec dopadlo? Podívejte se sami.  Vyrážíme z Prahy v pondělí v 10:52, abychom neměli ztráty vinou zaspání hned na začátku.  Cestu si krom plánování vývoje krátíme i černými historkami.  Po příjezdu do Brna se kocháme místními pamětihodnostmi.  První veledůležitou věcí je oběd.... ...ihned následovaný svařákem.  Bydlíme v podstatě přímo na náměstí. Svařák tak máme po ruce.  Naše útočiště na příští dva dny.  Nejd

K definici pojmu osobní údaje

Publikováno | 16. Listopad, 2011 Jak vyplývá z příspěvků účastníků Konference evropských komisařů ochrany dat a soukromí, uskutečněné 29. – 30. dubna 2010 v Praze a zveřejněné v Informačním bulletinu č. 1/2010 Úřadu pro ochranu osobních údajů, je základním úskalím chování uživatelů na Internetu fakt, že ač jejich počet stoupá, stále chybí základní povědomí o tom, jak se v tomto relativně novém prostředí chovat [1]. Tento fakt je umocněn za předpokladu, že je vztažen ke společensko-právnímu fenoménu tak novému, jako je ochrana osobních údajů. Lze jistě souhlasit s myšlenkou, že jen ve společnosti, která nemusí jako palčivý problém den ze dne řešit fyzické přežití svých členů, je prostor zabývat se takovými detaily, jako je vyvažování různých práv lidí a vztahu jednotlivce a soukromoprávních a veřejnoprávních společenských struktur a že nastolování problému ochrany osobních údajů je výrazem relativně velmi dobrého fungování [...] modelu demokratické společnosti [2] .