Varnostni strokovnjaki so v odprtokodni knjižnici OpenSSL, ki jo večina spletnih strani uporablja za kodiranje občutljivih podatkov, odkrili ranljivost, ki so jo poimenovali Heartbleed.
Kaj je knjižnica OpenSSL?
Tadej Hren iz slovenskega nacionalnega odzivnega centra za obravnavo varnostnih incidentov na internetu SI-CERT je za 24ur.com pojasnil, da se programska knjižnica OpenSSL uporablja za večino šifriranja na internetu. Ko se denimo uporabnik prijavi v spletno banko, se v naslovni vrstici izpiše https in nariše ključavnica, kar pomeni, da so podatki, ki se pretakajo med brskalnikom in spletnim strežnikom banke, šifrirani in jih načeloma nihče ne more prestreči. Zadaj v večini primerov stoji program OpenSSL.
"V tem programu pa je bila najdena zelo resna varnostna pomanjkljivost pri implementaciji protokola z imenom Heartbleed (zato tudi tako ime). Po domače povedano je bil program OpenSSL slabo napisan," je razložil Hren.
Ranljivost napadalcu omogoča, da iz strežnika pridobi šifrirne ključe, kar mu omogoča, da razbije šifriranje. Povezava med brskalnikom in strežnikom ni več varna. "Velika težava je v tem, da tak napad ni viden v nobenih dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi," je pojasnil Hren.
Tudi programer Matej Balantič je za 24ur.com komentiral, da gre za resno zadevo. Po njegovem mnenju je to celo najhujša programska ranljivost v sodobni zgodovini računalništva. Opozoril je, da je programski hrošč Heartbleed v knjižnici OpenSSL že od marca 2012 omogočal dostop do zaščitenih vsebin na internetu vsem, ki so za ranljivost vedeli. Dodal je, da je še huje to, da ni mogoče ugotoviti, ali je bil hrošč kdaj uporabljen, saj ranljivosti ni možno izslediti.
Tudi on je opozoril, da napadalec lahko s pomočjo ranljivosti pridobi dostop do občutljivih podatkov ali s pomočjo ukradenih zasebnih ključev izvede tako imenovan "man in the middle attack", kjer s pretvarjanjem, da je nekdo drug, spremlja in spreminja komunikacijo med uporabnikom in ciljno storitvijo, ne da bi to kdo lahko opazil.
Sicer je bil za OpenSSL že izdan popravek. Hren pravi, da administratorji strežnikov tako lahko zelo hitro odpravijo ranljivost. "Ker pa obstaja možnost, da so šifrirni ključi strežnikov tudi zlorabljeni, vsem administratorjem priporočamo tudi zamenjavo šifrirnih ključev," je dodal Hren. Strinja se, da gre za eno najhujših varnostnih pomanjkljivostih v zadnjih letih.
KOMENTARJI (22)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.