• Společnost CloudFlare, zabývající se počítačovou bezpečností, se rozhodla otestovat reálnou nebezpečnost HeartBleedu. Prví sami podle svých analýz usoudili, že nebezpečí sice existuje, ale jeho zneužití vyžaduje velmi sofistikovaný přístup. Aby si ale byli úplně jistí, vytvořili testovací server s ještě nezaplátovanou verzí OpenSSL knihovny (přesně Nginx-1.5.13 Web server s OpenSSL 1.0.1.f na Ubuntu 13.10 x86_64), vystavili jej na internet a vyzvali komunitu bezpečnostních geeků, aby jim ten server zkusil „hacknout“ – tedy abych byl přesný, zadání bylo: „Využít chyby v OpenSSL k získání privátního klíče serveru“. A co myslíte, jak to dopadlo? Během pár hodin se to jednotlivě podařilo čtyřem specialistům z různých částí světa, přičemž první byl Fedor Indutny z Moskvy. Já osobně tenhle výsledek považuji spíš za dobrou zprávu, protože
  1. se to podařilo JEN čtyřem extraspecialistům
  2. navíc i ten nejlepší na to potřeboval několik hodin
  3. bylo jasné zadání, vědělo se, že server je napadnutelný a byla jasná jeho adresa
  4. vědělo se, JAKOU NAPADNUTELNOST server obsahuje
  5. humbuk posledních dnů kolem HeartBleed bugu určitě donutil specialisty o tom něco nastudovat.
• DELL, HP, IBM a další výrobci HW už vydali opravené verze HW a SW nástrojů, obsahujících napadnutelnou OpenSSL knihovnu.
• Americký prezident, pan Obama, se vyjádřil ke svému předešlému vyjádření, ve kterém tvrdil, že je v pořádku, když NSA zamlčuje zjištěné bezpečnostní chyby a využívá je k získávání informací. Nyní prohlásil, že americká administrativa upřednostňuje zveřejnění zjištěných potenciálních hrozeb s výjimkou případů, kdy nezveřejnění je v zájmu národní bezpečnosti. Mně teda připadá, že řekl to samé jinými slovy – třeba se ale pletu, protože tohle už je umění politiků, kterému my, ajťáci, moc nerozumíme.

• Zjistilo se (Bloomber z anonymních zdrojů), že v NSA o chybě už pár let věděli a vesele ji využívali, aniž by na ni kohokoli upozornili. Za tohle je ajťáci budou milovat ještě víc, než doposud.
• Humbuk kolem NSA a HeartBleed bugu v OpenSSL dokonce donitil k vyjádření i pana Baracka Obamu. Z úst amerického prezidenta se tak dozvídáme, že je to vlastně v pořádku a že v NSA neudělali víceméně nic špatného.
• Zprávu přinesla on-line verze amerického deníku The New York Times s odvoláním na vysoce postavené vládní zdroje.
• Oficiálně Bílý dům a zpravodajské služby popírají informace médií, že NSA dlouhodobě využívala závažnou bezpečnostní chybu.
• A úplně nejžhavější zpráva z dneška přináší vyjádření samotné NSA kde se praví, že nic z toho není pravda a že se o chybě dozvěděli až nedávno, když byla publikována. Že by americký prezident měl potřebu vyjadřovat se k něčemu, co neexistuje? Tak nevím …

Stručně: Nalezla se chyba v technologii, používané pro SSL šifrování. SSL šifrování slouží pro vytvoření zabezpečeného spojení mezi internetovým prohlížečem a serverem tak, že veškeré následně vyměňované informace nelze „odchytit“. V praxi se toto používá na většině serverů, kde je vyžadování jakékoli přihlášení, vyplnění osobních údajů atd. Podrobněji: Analytici společnosti Google ve spolupráci s bezpečnostní společností Codenomicon během pondělí objevili bezpečnostní chybu v SSL šifrování při použití knihovny OpenSSL. Tato knihovna je pro SSL šifrování používána až dvěma třetinami internetových serverů. Chybu nazvali Heartbleed Bug, což lze volně přeložit jako „chyba krvácejícího srdce“. Kvůli kompromitované OpenSSL knihovně mohl útočník získat náhodné části dat z paměti serverů v nešifrované podobě a z nich získat uživatelská jména, hesla a šifrovací klíče. Jimi pak mohli dešifrovat i zabezpečovanou komunikaci.

Dobré zprávy:

• Na chybu upozornili analytici a ne hackeři, takže je vůbec otázkou, zda tato chyba byla někde zneužita.
• Internetová bankovnictví všech českých bank používají pro SLL šifrování jiné knihovny a tedy tato zneužitelnost se jich netýká.
• I tak je zneužití chyby v OpenSSL díky její komplikovanosti spíše nepravděpodobné
• Naprostá většina serverů již používá aktualizovanou a tedy bezpečnou verzi OpenSSL.

Které široce používané weby BYLY (už vesměs nejsou) touto chybou ohroženy a je vhodné si na nich změnit hesla?

• Facebook
• Instagram
• Twitter
• Google
• Yahoo
• Gmail
• Yahoo Mail
• Dropbox
• Minecraft