O portalu    Avtorji    Kontakt


 

Hrošč Heartbleed, ena največjih spletnih nevarnosti doslej

Kategorija: Amerika | Datum objave: Monday, 14. 04. 2014 | Avtor:

Napadalci se lahko zaradi varnostne luknje v protokolu openssl dokopljejo do šifrirnih ključen in zavarovanih podatkov. Upravljavci spletnih strani, še posebej tistih, ki temeljijo na varnih povezavah, so se v zadnjih dneh znašli pred zahtevno preizkušnjo.

Razvijalci odprtokodnega šifrirnega protokola openssl so namreč opozorili na varnostno luknjo, imenovano okrvavljeno srce (heartbleed – heartbleed.com).

Poznavalci so hrošča takoj označili za eno največjih spletnih nevarnosti doslej, saj ta protokol za šifriranje prijav uporablja približno dve tretjini spletnih strani.

Varnostna luknja, ki so jo odkrili nedavno – glavno vlogo je odigral Googlovec Neel Mehta -, prisotna pa je menda že dve leti, omogoča napadalcu, da iz delovnega pomnilnika strežnika, na katerem teče spletna stran, pretežno naključno pobere 64 kilobajtov podatkov.

V teh podatkih so lahko uporabniška imena in gesla, šifrirni ključi in še marsikaj. In ker napadalec lahko vajo ponovi neštetokrat, se lahko dokoplje do marsičesa in ogrozi varnost komunikacije in osebnih podatkov uporabnikov posamezne spletne strani.

Vse te informacije, ki jih napadel lahko ukrade, so sicer šifrirane ravno s protokoloma ssl in tls, ki ju uporablja projekt openssl. To šifriranje zagotavlja varno komunikacijo – če ni hroščev – pri storitvah, kot so spletne strani, elektronska pošta, takojšnje sporočanje in nekatere navidezna zasebna omrežja (vpn).

V projektu openssl so takoj objavili zasilen popravek, ki onemogoči tovrsten napad, ampak ga marsikateri upravljavec spletne strani še ni namestil. Na tem protokolu pa temeljijo tudi marsikatere priljubljene spletne storitve, denimo Yahoo in njegove storitve (tumblr, flickr), Imgur in tudi nekatere slovenske elektronske banke.

Določeni upravljavci so popravek že namestili in zakrpali varnostno luknjo, drugi pa še ne, ali vsaj ne v celoti za vse svoje storitve. Do takrat je zato treba biti previden, saj je nevarnost zdaj javno znana in jo napadalci še lahko poskušajo izkoristiti.

Vir: Delo


Arhiv:


Vse vsebine © E-demokracija.si | Avtorji | Kontakt