Přeskočit na hlavní obsah

Heartbleed - jedna z největších bezpečnostních chyb šifrované komunikace

“Heartbleed”, překládána jako chyba krvácejícícho srdce, je názvem jedné z aktuálně nejdiskutovanějších chyb knihovny OpenSSL, tedy základny většiny šifrované komunikace v prostředí internetu. Ne nadarmo je tak označována mnohdy jako nejzávažnější bezpečnostní trhlina v dějinách internetu. Název je odvozen od principu, jak tato chyba, nebo lépe řečeno zranitelnost SSL protokolu, funguje. Heartbeat, neboli úder srdce, je označení pro sérii informací, které si vymění server s koncovým zařízením příjemce, aby se vzájemně informovali, zda mezi nimi navázané spojení stále trvá. Při zneužití této chyby pak server krom informace o tom, že spojení trvá může odeslat i dalších několik bytů informací, které by standardně zasílány být neměly.


Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.

Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.

Heartbleed v akci

V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)

CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.

SparkTECH a Hearthbleed

I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale  námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.

Nadto veškeré využívané technologie pravidelně revidujeme.

Populární příspěvky z tohoto blogu

#softwareAmaso v Rokytnici

Na říjnovém planningu jsme, poměrně na poslední chvíli, zpískali podzimní akci v Rokytnici (nad Jizerou - to neplést s Rokytnicí v Orlických horách, což se někomu, a přiznejme si že mě, povedlo). Rozhodli jsme se věc pojmout jako všeSparkTECHáckou akci, takže včetně dětí, manželů a manželek, přítelů a přítelkyň a dalších domácích mazlíčků. Jako na každé #softwareAmaso akci nesměla chybět tuna jídla a zajímavé prostředí. První bod jsme s Matějem pokryli čtvrtečním nákupem a zajistili jídlo nejen na víkend, ale i na následnou Toasťáko-vraždu prvního stupně v týdnu a dnech dalších. O další bod se postaralo z velké míry počasí, které nabídlo podzim ve své nejkrásnější podobě. Chajdu máme celou pro sebe. První večer byly na pořadu dne degustace vánočních vín a hry. Chybou bylo nechat intelektuálnější hry na pozdější fáze degustace. Není na hanbě, čeká na koupelnu.  Vše utichlo, jdeme spát.  Přilehlá restaurace otevřená od brzkého rána zachránila mnohým život, prot

Brněnský #sparktrip aneb microservice hackathon

Namísto standardních vánočních večírků, které se již od listopadu sypaly jak objednávky na Teslu v Alze, jsme se rozhodli vybočit ze standardního shonu na konci roku a udělat si výlet. Resp. výlet - hackathon. Řekli jsme si, že se na dva dny omluvíme všem klientům a budeme se věnovat jen vlastním projektům (Eventitu, PickTimu, Networkuj, potažmo Notee a Budgetteru). A tak jsme v pondělí 4.12. sedli do vlaku Českých drah a zamířili do Brna. Plán bylo málo spát, ale o to víc programovat za pečlivého dodržování pitného režimu. A jak to nakonec dopadlo? Podívejte se sami.  Vyrážíme z Prahy v pondělí v 10:52, abychom neměli ztráty vinou zaspání hned na začátku.  Cestu si krom plánování vývoje krátíme i černými historkami.  Po příjezdu do Brna se kocháme místními pamětihodnostmi.  První veledůležitou věcí je oběd.... ...ihned následovaný svařákem.  Bydlíme v podstatě přímo na náměstí. Svařák tak máme po ruce.  Naše útočiště na příští dva dny.  Nejd

Tři způsoby jak ve SparkTECHu využíváme Slack, o kterých jste (možná) nevěděli + bonus

Slack je mezi vývojářskými týmy pravděpodobně nejvyužívanějším komunikačním nástrojem a poměrně s jistotou si dovolím tvrdit, že právem. Nabízí totiž spoustu rozšíření a nástrojů, které dokáží ulehčit a zjednodušit rutinní práci. O to víc mi příjde škoda, že toho lidé nevyužívají a berou Slack jenom jako další chatovací aplikaci, kterých jsou k dispozici desítky. V tomto krátkém příspěvku popíšu několik funkcí, které jsou z pohledu nás, SparkTECHu, nejzajímavější a jejich zprovoznění je otázkou chvilky. 1) Hlasování v pollu Jeden z největších problémů, co jsme řešili po přestěhování do nových kanceláří, bylo rozhodování, kam půjdeme na oběd. Máme v okolí velké množství stravovacích zařízení, ale domluvit se na tom, kam se společně zajdeme najíst, byl většinou task na celé dopoledne. Určitě to taky znáte. Chodíte po kanclu, ptáte se kolegů kam by rádi, jenže ne každý má zrovna čas nebo kapacitu vám věnovat pozornost. Jeden má call, druhému něco hoří, takže to hotfixuje, dva jsou za