“Heartbleed”, překládána jako chyba krvácejícícho srdce, je názvem jedné z aktuálně nejdiskutovanějších chyb knihovny OpenSSL, tedy základny většiny šifrované komunikace v prostředí internetu. Ne nadarmo je tak označována mnohdy jako nejzávažnější bezpečnostní trhlina v dějinách internetu. Název je odvozen od principu, jak tato chyba, nebo lépe řečeno zranitelnost SSL protokolu, funguje. Heartbeat, neboli úder srdce, je označení pro sérii informací, které si vymění server s koncovým zařízením příjemce, aby se vzájemně informovali, zda mezi nimi navázané spojení stále trvá. Při zneužití této chyby pak server krom informace o tom, že spojení trvá může odeslat i dalších několik bytů informací, které by standardně zasílány být neměly.
Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.
Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.
Heartbleed v akci
V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)
CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.
SparkTECH a Hearthbleed
I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.
Nadto veškeré využívané technologie pravidelně revidujeme.
Zajímavé je, že chyba byla do protokolu zanesena již před dvěma lety, ale teprve nyní ji nezávisle na sobě objevily dva subjekty - Neel Mehta (Google) a finská bezpečnostní agentura Codenomicon. Využití této chyby nezanechává jakoukoliv stopu v interních záznamech počítače, proto není možné zjistit, zda-li za tak dlouhou dobu někdo aktivně využil zranitelnost ke krádeži citlivých informací.
Z hlediska uživatele je možné, že při takovém útoku mohlo být odkryto heslo či privátní část bezpečnostního certifikátu, se kterým komunikuje s různými službami (elektronické bankovnictví, e-mailová služba či jiný zabezpečený informančí systém). Proto silně doporučujeme, aby si nejprve každý zkontroloval stav opravy chyby u svého poskytovatele e-mailových služeb, elektronického bankovnictví a jiných, které nejsou umístěny na vlastním serveru, jestli provozovatel již chybu záplatoval a poté si změnil heslo či vyžádal nový certifikát.
Heartbleed v akci
V Kanadě se již objevil první případ zneužití této zranitelnosti v praxi a to 19ti letým Stephenem Solis-Reysem, který zcizil osobní data daňových poplatníků kanadského finančního úřadu (Canada Revenue Agency, CRA). (http://www.reuters.com/article/2014/04/16/us-cybersecurity-heartbleed-arrest-idUSBREA3F1KS20140416)
CRA oznámila, že zhruba 900 čísel sociálního pojištění a další možné informace byly kompromitovány. Policie zatkla v této souvislosti Stephena v jeho domě v Londýně v Ontariu a zabavila mu počítačové vybavení.
SparkTECH a Hearthbleed
I SparkTECH využívá při tvorbě informačních systémů a webových aplikací šifrovanou komunikaci přes protokol SSL - obvykle ji doporučujeme jakmile se jedná o systém s přihlášením uživatelů nebo přenosem citlivých dat. I my využíváme knihovnu OpenSSL, ale námi využívaná verze nebyla mezi postiženými verzemi a veškerá šifrovaná komunikace našich produktů je i nadále bezpečná.
Nadto veškeré využívané technologie pravidelně revidujeme.