Image
14.4.2014 0 Comments

HeartBleed: Ako sú na tom slovenské top weby a poskytovatelia hostingových služieb?

HeartBleed.jpg Len pred niekoľkými dňami sa svet dozvedel šokujúcu správu, že weby využívajúce technológiu OpenSSL sú zraniteľné hackerským útokom. Hackeri mohli odcudziť súkromné kľúče a následne dešifrovať citlivé údaje, ako sú heslá, čísla platobných kariet a podobne. Chybu odhalila bezpečnostná spoločnosť Codenomicon spoločne s bezpečnostným expertom Googlu Neelom Mehtom.

Útočník zneužíva chybu v OpenSSL, kde sa mu môže podariť odcudziť potrebné kľúče bez toho, aby o tom vedel napadnutý, prípadne samotný poskytovateľ. Knižnica, ktorá umožňovala hackerovi takýto prístup, je v OpenSSL len od roku 2011. Išlo o rozšírenie certifikátu s označením Heartbeat, z čoho po odhalení nedostatku vzniklo aj HeartBleed (ako krvácanie srdca). Pôvodne mala knižnica efektívnejšie využívať funkciu keep-alive, vďaka čomu lepšie kontrolovala pretrvávajúce spojenia medzi serverom a používateľom pripojeného na server.

Používatelia by si mali zmeniť heslo

Väčšina spoločností, ktoré poskytujú webhosting, už aktualizovala svoje servery a zabezpečila sa tak proti chybe. Rad je však teraz na samotných používateľoch. Tí musia manuálne navštíviť najnavštevovanejšie stránky, na ktorých sa prihlasujú, a zmeniť si heslo. Výnimkou nie je ani Google či Facebook.

Aktualizované 21:49: K problematike sa nám vyjadril aj konateľ a hlavný administrátor z hostingovej spoločnosti Elbia Jozef Sudolský:

„Certifikát si predstavte ako akési heslo, pomocou ktorého sa dáta šifrujú a dešifrujú. Útok HeartBleed spočíval v tom, že ktokoľvek si mohol zo servera toto heslo proste a jednoducho stiahnuť. Už z toho musí byť hneď jasné, že len odstránenie problému nestačí, je nutná aj zmena hesla (=certifikátu, resp. súkromného kľúča). Samotného hesla sa, ako ste správne uviedli, problém vôbec netýkal, ale aký význam má heslo, ktoré poznajú aj tretie strany? Na úplné odstránenie chyby sú teda nutne tri veci (v tomto poradí)

1. oprava softvéru,
2. výmena certifikátu, resp. súkromného a verejného kľúča,
3. zmena alebo zneplatnenie dát, ktoré mohli byť kradnuté (ak je to možné). Sem spadá napríklad zmena prístupových hesiel.

K celému útoku je podľa mňa nutné ešte uviesť, že jeho zneužitie nie je také triviálne, ako by sa mohlo zdať z informácií podaných médiami. Samotné heslo je útočníkovi vcelku na nič, pokiaľ nemá dáta, ktoré by s ním mohol dešifrovať. Keby ste teda chceli na niekoho naozaj zaútočiť, musíte útok HeartBleed spojiť s nejakým druhom odpočúvania (napr. útok Man In The Middle), aby ste sa dostali aj k samotným zašifrovaným dátam, ktoré by ste následne mohli dešifrovať."

Postihnuté boli aj slovenské weby. Jedným z napadnutých bol aj sme.sk

Medzi postihnuté weby patril aj slovenský populárny denník sme.sk. Jeho používatelia by si mali minimálne zmeniť heslo. Jedným z preverených webov bol aj Azet.sk, ktorý nevyužíva šifrovanie certifikátom SSL. Weby, ktoré používajú certifikát SSL a boli odolné proti chybe, boli cas.sk a aktuality.sk.

Medzi odolné weby sa zaradila napríklad heureka.sk a hnonline.sk. Niektoré testované slovenské weby nevyužívajú zabezpečenie SSL.

sme.sk - bol napadnuteľný (chyba už bola odstránená)
google.sk
- odolný proti chybe
azet.sk
- bez certifikátu SSL
topky.sk
- be certifikátu SSL
zoznam.sk
- bez certifikátu SSL
cas.sk
- odolný proti chybe
aktuality.sk
- odolný proti chybe
bazos.sk
- bez certifikátu SSL
pravda.sk
- bez certifikátu SSL
heureka.sk
- odolný proti chybe
atlas.sk
- bez certifikátu SSL
hnonline.sk
- odolný proti chybe
pluska.sk
- bez certifikátu SSL

Poskytovatelia hostingových služieb OpenSSL aktualizovali

To, či bol daný web zraniteľný alebo nie, záviselo najmä od poskytovateľov daných hostingov, virtuálnych serverov. Zisťovali sme preto situáciu u vybraných hostingových poskytovateľov. Niektorí sa nám ešte stále neozvali. Vyjadrenia uvádzame v úplnom znení bez nášho zásahu. V prípade odpovede niektorých z oslovených hostingových poskytovateľov aktualizujeme článok o ich vyjadrenie:

WebSupport.sk: Určite ste zachytili informácie týkajúce sa vážnej chyby v SSL zabezpečení, tzv. Heartbleed bugu. Bola to chyba v samotnej knižnici OpenSSL, nie v SSL certifikátoch - tie sú naďalej bezpečné, pokiaľ sú inštalované u nás. Jedná sa o globálny problém, keďže knižnica je používaná na celom svete. Knižnicu sme aktualizovali na najnovšiu a opravenú verziu už v deň ohlásenia tejto chyby.

Active24: Open SSL je námi hojně využívaný, proto jsme zamezení dopadu na naše zákazníky věnovali okamžitou pozornost a byli jsme jedni z prvních, kdo oznámili opatchování našich systémů. Viz naše posty na FB nebo twitteru ze včera. Používáme různé verze open SSL podle verzí samotného systému. Zranitelné jsou verze 1.0.1 až 1.0.1f. V tomto případě se to tedy týkalo paradoxně novějších systémů (Debian 7, Ubuntu 12.4) a naopak se to netýkalo systémů starších. (používáme např. stále podporované Debian 6 či Ubuntu 10.4). Průřezově jsme tak update prováděli na všech našich službách, tedy na sdíleném hostingu, virtuálních managed serverech, ale i managed serverech. Zde všude jsme bez prodlení provedli potřebné updaty. Zákazníky VPS jsme o této hrozbě ihned informovali, oprava je ale v tomto případě na nich, protože jsou správci svých serverů.

Elbia: V súčasnosti na väčšine serveroch (fyzických aj virtuálnych) používame OpenSSL verziu 1.0.1e, ktorá ale obsahuje potrebne záplaty na Heartbleed bug, viď napr. http://possible.lv/tools/hb/?domain=elbiahosting.sk.

Softvér bol do pár dní od vydania záplaty aktualizovaný na všetkých našich serveroch (aktualizácie sme dokončili včera). Pre zaručenie čo najvyššej bezpečnosti našich serverov používame aj rôzne iné technológie, ktoré potenciálne zabraňujú zneužitiu aj zatiaľ (verejne) neznámym softvérovým chybám, napr. grsecurity (www.grsecurity.net) a apparmor (wiki.apparmor.net). Pravidelná inštalácia bezpečnostných záplat je samozrejmosťou.

WebHouse: Používame iba také verzie OpenSSL, ktoré nie sú zraniteľné.

EXO Hosting: Servery, na ktorých beží zdieľaný webhosting, používajú verziu OpenSSL, ktorá neobsahovala Heartbleed bug, a preto nebol žiaden zásah potrebný. Pre virtuálne servery bol vykonaný potrebný update na samotných fyzických serverov, na ktorých virtuálne servery bežia. Rovnako tak bol vykonaný update na jednotlivých virtuálnych serveroch.

Zdroj: Svet IT


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá