Co se vlastně přihodilo?
Stručně: Nalezla se chyba v technologii, používané pro SSL šifrování. SSL šifrování slouží pro vytvoření zabezpečeného spojení mezi internetovým prohlížečem a serverem tak, že veškeré následně vyměňované informace nelze „odchytit“. V praxi se toto používá na většině serverů, kde je vyžadování jakékoli přihlášení, vyplnění osobních údajů atd. Podrobněji: Analytici společnosti Google ve spolupráci s bezpečnostní společností Codenomicon během pondělí objevili bezpečnostní chybu v SSL šifrování při použití knihovny OpenSSL. Tato knihovna je pro SSL šifrování používána až dvěma třetinami internetových serverů. Chybu nazvali Heartbleed Bug, což lze volně přeložit jako „chyba krvácejícího srdce“. Kvůli kompromitované OpenSSL knihovně mohl útočník získat náhodné části dat z paměti serverů v nešifrované podobě a z nich získat uživatelská jména, hesla a šifrovací klíče. Jimi pak mohli dešifrovat i zabezpečovanou komunikaci.
Dobré zprávy:
- Na chybu upozornili analytici a ne hackeři, takže je vůbec otázkou, zda tato chyba byla někde zneužita.
- Internetová bankovnictví všech českých bank používají pro SLL šifrování jiné knihovny a tedy tato zneužitelnost se jich netýká.
- I tak je zneužití chyby v OpenSSL díky její komplikovanosti spíše nepravděpodobné
- Naprostá většina serverů již používá aktualizovanou a tedy bezpečnou verzi OpenSSL.
Které široce používané weby BYLY (už vesměs nejsou) touto chybou ohroženy a je vhodné si na nich změnit hesla?
- Yahoo
- Gmail
- Yahoo Mail
- Dropbox
- Minecraft
