Image
14.4.2014 0 Comments

HeartBleed: Ako sú na tom slovenské top weby a poskytovatelia hostingových služieb?

HeartBleed.jpg Len pred niekoľkými dňami sa svet dozvedel šokujúcu správu, že weby využívajúce technológiu OpenSSL sú zraniteľné hackerským útokom. Hackeri mohli odcudziť súkromné kľúče a následne dešifrovať citlivé údaje, ako sú heslá, čísla platobných kariet a podobne. Chybu odhalila bezpečnostná spoločnosť Codenomicon spoločne s bezpečnostným expertom Googlu Neelom Mehtom.

Útočník zneužíva chybu v OpenSSL, kde sa mu môže podariť odcudziť potrebné kľúče bez toho, aby o tom vedel napadnutý, prípadne samotný poskytovateľ. Knižnica, ktorá umožňovala hackerovi takýto prístup, je v OpenSSL len od roku 2011. Išlo o rozšírenie certifikátu s označením Heartbeat, z čoho po odhalení nedostatku vzniklo aj HeartBleed (ako krvácanie srdca). Pôvodne mala knižnica efektívnejšie využívať funkciu keep-alive, vďaka čomu lepšie kontrolovala pretrvávajúce spojenia medzi serverom a používateľom pripojeného na server.

Používatelia by si mali zmeniť heslo

Väčšina spoločností, ktoré poskytujú webhosting, už aktualizovala svoje servery a zabezpečila sa tak proti chybe. Rad je však teraz na samotných používateľoch. Tí musia manuálne navštíviť najnavštevovanejšie stránky, na ktorých sa prihlasujú, a zmeniť si heslo. Výnimkou nie je ani Google či Facebook.

Aktualizované 21:49: K problematike sa nám vyjadril aj konateľ a hlavný administrátor z hostingovej spoločnosti Elbia Jozef Sudolský:

„Certifikát si predstavte ako akési heslo, pomocou ktorého sa dáta šifrujú a dešifrujú. Útok HeartBleed spočíval v tom, že ktokoľvek si mohol zo servera toto heslo proste a jednoducho stiahnuť. Už z toho musí byť hneď jasné, že len odstránenie problému nestačí, je nutná aj zmena hesla (=certifikátu, resp. súkromného kľúča). Samotného hesla sa, ako ste správne uviedli, problém vôbec netýkal, ale aký význam má heslo, ktoré poznajú aj tretie strany? Na úplné odstránenie chyby sú teda nutne tri veci (v tomto poradí)

1. oprava softvéru,
2. výmena certifikátu, resp. súkromného a verejného kľúča,
3. zmena alebo zneplatnenie dát, ktoré mohli byť kradnuté (ak je to možné). Sem spadá napríklad zmena prístupových hesiel.

K celému útoku je podľa mňa nutné ešte uviesť, že jeho zneužitie nie je také triviálne, ako by sa mohlo zdať z informácií podaných médiami. Samotné heslo je útočníkovi vcelku na nič, pokiaľ nemá dáta, ktoré by s ním mohol dešifrovať. Keby ste teda chceli na niekoho naozaj zaútočiť, musíte útok HeartBleed spojiť s nejakým druhom odpočúvania (napr. útok Man In The Middle), aby ste sa dostali aj k samotným zašifrovaným dátam, ktoré by ste následne mohli dešifrovať."

Postihnuté boli aj slovenské weby. Jedným z napadnutých bol aj sme.sk

Medzi postihnuté weby patril aj slovenský populárny denník sme.sk. Jeho používatelia by si mali minimálne zmeniť heslo. Jedným z preverených webov bol aj Azet.sk, ktorý nevyužíva šifrovanie certifikátom SSL. Weby, ktoré používajú certifikát SSL a boli odolné proti chybe, boli cas.sk a aktuality.sk.

Medzi odolné weby sa zaradila napríklad heureka.sk a hnonline.sk. Niektoré testované slovenské weby nevyužívajú zabezpečenie SSL.

sme.sk - bol napadnuteľný (chyba už bola odstránená)
google.sk
- odolný proti chybe
azet.sk
- bez certifikátu SSL
topky.sk
- be certifikátu SSL
zoznam.sk
- bez certifikátu SSL
cas.sk
- odolný proti chybe
aktuality.sk
- odolný proti chybe
bazos.sk
- bez certifikátu SSL
pravda.sk
- bez certifikátu SSL
heureka.sk
- odolný proti chybe
atlas.sk
- bez certifikátu SSL
hnonline.sk
- odolný proti chybe
pluska.sk
- bez certifikátu SSL

Poskytovatelia hostingových služieb OpenSSL aktualizovali

To, či bol daný web zraniteľný alebo nie, záviselo najmä od poskytovateľov daných hostingov, virtuálnych serverov. Zisťovali sme preto situáciu u vybraných hostingových poskytovateľov. Niektorí sa nám ešte stále neozvali. Vyjadrenia uvádzame v úplnom znení bez nášho zásahu. V prípade odpovede niektorých z oslovených hostingových poskytovateľov aktualizujeme článok o ich vyjadrenie:

WebSupport.sk: Určite ste zachytili informácie týkajúce sa vážnej chyby v SSL zabezpečení, tzv. Heartbleed bugu. Bola to chyba v samotnej knižnici OpenSSL, nie v SSL certifikátoch - tie sú naďalej bezpečné, pokiaľ sú inštalované u nás. Jedná sa o globálny problém, keďže knižnica je používaná na celom svete. Knižnicu sme aktualizovali na najnovšiu a opravenú verziu už v deň ohlásenia tejto chyby.

Active24: Open SSL je námi hojně využívaný, proto jsme zamezení dopadu na naše zákazníky věnovali okamžitou pozornost a byli jsme jedni z prvních, kdo oznámili opatchování našich systémů. Viz naše posty na FB nebo twitteru ze včera. Používáme různé verze open SSL podle verzí samotného systému. Zranitelné jsou verze 1.0.1 až 1.0.1f. V tomto případě se to tedy týkalo paradoxně novějších systémů (Debian 7, Ubuntu 12.4) a naopak se to netýkalo systémů starších. (používáme např. stále podporované Debian 6 či Ubuntu 10.4). Průřezově jsme tak update prováděli na všech našich službách, tedy na sdíleném hostingu, virtuálních managed serverech, ale i managed serverech. Zde všude jsme bez prodlení provedli potřebné updaty. Zákazníky VPS jsme o této hrozbě ihned informovali, oprava je ale v tomto případě na nich, protože jsou správci svých serverů.

Elbia: V súčasnosti na väčšine serveroch (fyzických aj virtuálnych) používame OpenSSL verziu 1.0.1e, ktorá ale obsahuje potrebne záplaty na Heartbleed bug, viď napr. http://possible.lv/tools/hb/?domain=elbiahosting.sk.

Softvér bol do pár dní od vydania záplaty aktualizovaný na všetkých našich serveroch (aktualizácie sme dokončili včera). Pre zaručenie čo najvyššej bezpečnosti našich serverov používame aj rôzne iné technológie, ktoré potenciálne zabraňujú zneužitiu aj zatiaľ (verejne) neznámym softvérovým chybám, napr. grsecurity (www.grsecurity.net) a apparmor (wiki.apparmor.net). Pravidelná inštalácia bezpečnostných záplat je samozrejmosťou.

WebHouse: Používame iba také verzie OpenSSL, ktoré nie sú zraniteľné.

EXO Hosting: Servery, na ktorých beží zdieľaný webhosting, používajú verziu OpenSSL, ktorá neobsahovala Heartbleed bug, a preto nebol žiaden zásah potrebný. Pre virtuálne servery bol vykonaný potrebný update na samotných fyzických serverov, na ktorých virtuálne servery bežia. Rovnako tak bol vykonaný update na jednotlivých virtuálnych serveroch.

Zdroj: Svet IT


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá