Moving Menu

Heartbleed - poważna luka w OpenSSL

corner Krzysztof Konieczka
Krzysztof Konieczka
2014-06-03
corner Heartbleed - poważna luka w OpenSSL

Krwawienie z serca

Jak niedawno odkryto, nawet szyfrowane połączenie z serwerem nie zapewnia 100% bezpieczeństwa przesyłanych danych. Na początku kwietnia specjaliści od spraw bezpieczeństwa w sieci odkryli bład w bibliotece OpenSSL, któremu nadali wymowną nazwę Heartbleed (ang. Krwawienie z serca). W naszym artykule opiszemy Wam czym jest ten błąd i jak się przed nim uchronić.

Czym jest Heartbleed?

Heartbleed Bug to poważna luka, która została wykryta w popularnej bibliotece kryptograficznej OpenSSL. Umożliwia ona kradzież informacji chronionych szyfrowaniem SSL/ TLS, które to wykorzystywane jest do zapewnienia bezpieczeństwa komunikacji i prywatności podczas surfowania po sieci, korzystania z aplikacji Internatowych takich jak poczta e-mail, komunikatory i sieci VPN. Wykorzystując błąd Heartbleed można przeglądać informacje zawarte w pamięci systemów, które są chronione przez słabsze wersje oprogramowania OpenSSL. W praktyce, dzięki wykorzystaniu tej luki cyberprzestępcy mogą uzyskać dostęp do prywatnych danych, takich jak hasła do kont bankowych, poufne dokumenty, poczta e-mail etc. Podczas testów błędu zespołowi, który odkrył tę lukę udało się uzyskać dostęp do takich danych jak klucze do certyfikatów X.509, nazwy i hasła użytkowników, wiadomości komunikatorów, e-maile i poufne dokumenty biznesowe. Błąd został wykryty 7 kwietnia 2014 roku, jednak był on obecny w sieci od około 2 lat, przez co ciężko stwierdzić, czy crackerzy nie wykorzystywali go wcześniej.

Kto jest zagrożony?

Heartbleed zagraża bibliotekom OpenSSL w wersji od 1.0.1 do 1.0.1 F. Starsze wersje biblioteki OpenSSL 0.9.8 i 1.0.0 są bezpieczne. Co za tym idzie, zagrożone są następujące, przedstawione niżej systemy operacyjne, ponieważ ich dystrybucje zostały dostarczone z dziurawymi wersjami biblioteki OpenSSL:

  • Debian Wheezy (wersja stabilna) + OpenSSL 1.0.1e-2 + deb7u4
  • Ubuntu 12.04.4 LTS + OpenSSL 1.0.1-4 ubuntu5.11
  • CentOS 6.5 + OpenSSL 1.0.1e-15
  • Fedora 18 + OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c z 10 maja 2012) i 5.4 (OpenSSL 1.0.1c z 10 maja 2012)
  • FreeBSD 10,0 + OpenSSL 1.0.1e z 11 lutego 2013
  • NetBSD 5.0.2 + OpenSSL 1.0.1e
  • OpenSUSE 12.2 + OpenSSL 1.0.1c

Jak zabezpieczyć się przed krwawieniem z serca?

Aby uniknąć problemów, które mogą być wygenerowane przez dziurawe biblioteki OpenSSL należy przede wszystkim przeprowadzić błyskawiczną aktualizację swojej biblioteki do zabezpieczonej przed Heartbleed wersji OpenSSL 1.01 G. Dodatkowo, przed logowaniem się do strony/ aplikacji wykorzystującej połączenie szyfrowane należy sprawdzić, czy jest to strona bezpieczna, niepodatna na ataki. Aby to zrobić, należy skorzystać ze strony https://filippo.io/Heartbleed/, przy pomocy której sprawdzimy, czy na danym serwerze nie jest wykorzystywana dziurawa biblioteka OpenSSL 1.0.1 – 1.0.1 F.  

comments powered by Disqus

Powiązane

photo corner
Konfiguracja routera bezprzewodowego

Macie problem z konfiguracją routera bezprzewodowego? W moim wpisie pokazuję jak poradzić sobie z tym poradzić.

Czytaj więcej
photo corner
Konfiguracja sieci lokalnej, część I (Windows)

Macie problem ze skonfigurowaniem sieci lokalnej? W moim wpisie pokazuję, jak poradzić sobie z tym poradzić!

Czytaj więcej
photo corner
Co oznacza pojęcie IP?

Każdy z Was na pewno spotkał się już z pojęciem adres IP, ale czy tak naprawdę każdy z Was wie, pod jakim adresem strona jest identyfikowany w sieci Internet? Czy wiecie, jak sprawdzić IP swojej strony WWW oraz jak dowiedzieć się, jak wiele domen jest zarejestrowanych na tym samym adresie IP? Jeżeli chcecie się tego dowiedzieć, to zapraszam do lektury.

Czytaj więcej