Heartbleed - poważna luka w OpenSSL

Krwawienie z serca

Jak niedawno odkryto, nawet szyfrowane połączenie z serwerem nie zapewnia 100% bezpieczeństwa przesyłanych danych. Na początku kwietnia specjaliści od spraw bezpieczeństwa w sieci odkryli bład w bibliotece OpenSSL, któremu nadali wymowną nazwę Heartbleed (ang. Krwawienie z serca). W naszym artykule opiszemy Wam czym jest ten błąd i jak się przed nim uchronić.

Czym jest Heartbleed?

Heartbleed Bug to poważna luka, która została wykryta w popularnej bibliotece kryptograficznej OpenSSL. Umożliwia ona kradzież informacji chronionych szyfrowaniem SSL/ TLS, które to wykorzystywane jest do zapewnienia bezpieczeństwa komunikacji i prywatności podczas surfowania po sieci, korzystania z aplikacji Internatowych takich jak poczta e-mail, komunikatory i sieci VPN. Wykorzystując błąd Heartbleed można przeglądać informacje zawarte w pamięci systemów, które są chronione przez słabsze wersje oprogramowania OpenSSL. W praktyce, dzięki wykorzystaniu tej luki cyberprzestępcy mogą uzyskać dostęp do prywatnych danych, takich jak hasła do kont bankowych, poufne dokumenty, poczta e-mail etc. Podczas testów błędu zespołowi, który odkrył tę lukę udało się uzyskać dostęp do takich danych jak klucze do certyfikatów X.509, nazwy i hasła użytkowników, wiadomości komunikatorów, e-maile i poufne dokumenty biznesowe. Błąd został wykryty 7 kwietnia 2014 roku, jednak był on obecny w sieci od około 2 lat, przez co ciężko stwierdzić, czy crackerzy nie wykorzystywali go wcześniej.

Kto jest zagrożony?

Heartbleed zagraża bibliotekom OpenSSL w wersji od 1.0.1 do 1.0.1 F. Starsze wersje biblioteki OpenSSL 0.9.8 i 1.0.0 są bezpieczne. Co za tym idzie, zagrożone są następujące, przedstawione niżej systemy operacyjne, ponieważ ich dystrybucje zostały dostarczone z dziurawymi wersjami biblioteki OpenSSL:

• Debian Wheezy (wersja stabilna) + OpenSSL 1.0.1e-2 + deb7u4
• Ubuntu 12.04.4 LTS + OpenSSL 1.0.1-4 ubuntu5.11
• CentOS 6.5 + OpenSSL 1.0.1e-15
• Fedora 18 + OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c z 10 maja 2012) i 5.4 (OpenSSL 1.0.1c z 10 maja 2012)
• FreeBSD 10,0 + OpenSSL 1.0.1e z 11 lutego 2013
• NetBSD 5.0.2 + OpenSSL 1.0.1e
• OpenSUSE 12.2 + OpenSSL 1.0.1c

Jak zabezpieczyć się przed krwawieniem z serca?

Aby uniknąć problemów, które mogą być wygenerowane przez dziurawe biblioteki OpenSSL należy przede wszystkim przeprowadzić błyskawiczną aktualizację swojej biblioteki do zabezpieczonej przed Heartbleed wersji OpenSSL 1.01 G. Dodatkowo, przed logowaniem się do strony/ aplikacji wykorzystującej połączenie szyfrowane należy sprawdzić, czy jest to strona bezpieczna, niepodatna na ataki. Aby to zrobić, należy skorzystać ze strony https://filippo.io/Heartbleed/, przy pomocy której sprawdzimy, czy na danym serwerze nie jest wykorzystywana dziurawa biblioteka OpenSSL 1.0.1 – 1.0.1 F.