OpenSSL je jakožto bezplatná alternativa pro implementaci šifrování využíváno obrovským počtem institucí po celém světě. Před několika dny popsaná chyba CVE-2014–0160 s přezdívkou The Hearthbleed Bug se tak týkala přibližně jedné třetiny serverů, běžících třeba i na půdě finančních společností apod. Bez nadsázky lze říci, že tak jde o jednu z největších bezpečnostních chyb v historii internetu. Open source aplikace OpenSSL slouží ke generování certifkátů a zajištění šifrovaného provozu skrze protokol https na webových serverech, přičemž takováto komunikace přes web byla doposud pokládána za natolik bezpečnou, aby skrze ni probíhal přenos hesla k internetovému bankovnictví, ale i e-mailů, dat ve VPN sítích atd. Jak se však ukázalo, od verze 1.0.1 obsahovalo OpenSSL bezpečnostní chybu, která umožnila případným útočníkům získat tzv. privátní klíč, a to bez zanechání jakýchkoli stop.
Šifrování na webu – ilustrační obrázek
V důsledku toho mohla být přibližně po dva roky nepozorovaně odposlouchávána komunikace s mnoha servery a navíc nemusel být pro útočníky velký problém ani získat přístupová hesla uživatelů. Chybu odstranila až aktualizace OpenSSL 1.0.1g ze 7. dubna 2014, takže v současnosti má značná část IT správců velký úkol – co nejdříve provést update a preventivně i vygenerovat nové certifikáty. Uživatelům internetu lze pak doporučit, aby buď několik dnů s přihlašováním do služeb vyčkali a posléze provedli změnu hesla nebo heslo změnili ihned a pak s určitým časovým odstupem znovu. Aby měl krok v tomto kontextu smysl, musí totiž nejdříve dojít k patřičným operacím na straně provozovatele serveru. Zda vůbec a kolikrát byla daná zranitelnost zneužita, však asi nikdo nezjistí. Pro ověření, jestli daná webová stránka již používá opravenou verzi OpenSSL či jiný bezpečný software, můžou uživatelé Google Chrome použít např. doplněk Chromebleed, jenž na „provinilé“ stránky upozorní.
Zdroj: techcrunch.com
