Heartbleed: Se změnou hesel příliš nespěchejte

V souvislosti s chybou v knihovně OpenSSL s oficiálním názvem CVE-2014-0160, která je od úterý známá pod přezdívkou Heartbleed, mnozí doporučují změnit co nejdříve všechna hesla. To by však nemusel být tak dobrý nápad, jak se na první pohled zdá.

Heartbleed: Se změnou hesel příliš nespěchejte


Někteří bezpečnostní výzkumníci si naopak myslí, že by lidé se změnou hesel příliš spěchat neměli. Chyba by totiž mohla odhalit veškeré údaje včetně hesel, uživatelských jmen a kryptografických klíčů, které se v současnosti zpracovávají na webových serverech.

Touto chybou jsou v současnosti mimo jiných ohrožení uživatelé banky Deutsche Bank a Yahoo (včetně jeho služeb, mezi které patří Flickr nebo Tumblr), nebo služby na sílení fotografií Imgur. Před kyberzločinci využívajícími této chyby nejsou v bezpečí ani zaměstnanci FBI.

Po celém světě je v ohrožení přibližně půl milionu webů. „Katastrofické je to správné slovo,“ okomentoval situaci nezávislý bezpečnostní expert Bruce Schneier. „Na stupnici od jedničky do desítky je tohle jedenáctka.“ Výzvy na změnu hesla, které se okamžitě po zjištění existence této chyby objevily, by však mohly nadělat více škody než užitku, protože pokud server zatím nebyl aktualizován a chybu neopravil, útočníci by mohli nové heslo okamžitě získat, myslí si Mark Schloesser, bezpečnostní výzkumník ze společnosti Rapid7.

Takto chyba v knihovně OpenSSL existuje již od roku 2012, to, zda už ho někdo zneužil, není jisté a ani neexistuje žádný způsob, jak to zjistit.

Uživatelé mohou zjistit, zda je konkrétní stránka stále ohrožená, pomocí nástroje, který dal dohromady vývojář Filippo Vaslorda. Některé servery už chybu opravily, ale to neznamená, že jsou proti ní plně zabezpečené. Chyba totiž odhodlaným útočníkům umožňuje ukrást soukromý klíč SSL certifikátu a tak weby, které jsou sice aktualizované, avšak stále používají stejné certifikáty jako předtím, zůstávají útočníkům otevřené.

„Riziko pro uživatele přetrvává, dokud organizace s aktualizovanou knihovnou OpenSSL neobdrží nové certifikáty a klíče SSL,“ říká Trey Ford z Rapid7. Útočníci do té doby mají ke všem údajům v podstatě volný přístup.

 

Úvodní foto: © Nmedia - Fotolia.com










Komentáře