Image
14.4.2014 0 Comments

Heartbleed: So zmenou hesiel sa veľmi neponáhľajte. Môžete sa prezradiť ešte viac, ako by ste chceli

pasword_heartbleed.jpg V súvislosti s chybou v knižnici OpenSSL s oficiálnym názvom CVE - 2014-0160, ktorá je od utorka známa pod prezývkou Heartbleed, mnohí odporúčajú zmeniť čo najskôr všetky heslá. To by však nemusel byť taký dobrý nápad, ako sa na prvý pohľad zdá.

Niektorí bezpečnostní výskumníci si, naopak, myslia, že by sa ľudia so zmenou hesiel nemali priveľmi ponáhľať. Chyba by totiž mohla odhaliť všetky údaje vrátane hesiel, používateľských mien a kryptografických kľúčov, ktoré sa v súčasnosti spracúvajú na webových serveroch.

Touto chybou sú v súčasnosti okrem iných ohrození používatelia banky Deutsche Bank a Yahoo (vrátane jeho služieb, medzi ktoré patrí Flickr alebo Tumblr) alebo služby na zasielanie fotografií Imgur. Pred kyberzločincami využívajúcimi túto chybu nie sú v bezpečí ani zamestnanci FBI.

Po celom svete je v ohrození približne pol milióna webov. „Katastrofické je to správne slovo," okomentoval situáciu nezávislý bezpečnostný expert Bruce Schneier. „Na stupnici od jednotky do desiatky je toto jedenástka." Výzvy na zmenu hesla, ktoré sa okamžite po zistení existencie tejto chyby objavili, by však mohli narobiť viac škody ako úžitku, pretože ak server zatiaľ nebol aktualizovaný a chybu neopravil, útočníci by mohli nové heslo okamžite získať, myslí si Mark Schloesser, bezpečnostný výskumník zo spoločnosti Rapid7.

Táto chyba v knižnici OpenSSL existuje už od roku 2012, to, či už ju niekto zneužil, nie je isté a ani neexistuje žiadny spôsob, ako to zistiť.

Používatelia môžu zistiť, či je konkrétna stránka stále ohrozená, pomocou nástroja, ktorý dal dohromady vývojár Filippo Vaslorda. Niektoré servery už opravili chybu, ale to neznamená, že sú proti nej úplne zabezpečené. Chyba totiž odhodlaným útočníkom umožňuje ukradnúť súkromný kľúč certifikátu SSL, a tak weby, ktoré sú síce aktualizované, ale stále používajú rovnaké certifikáty ako predtým, zostávajú útočníkom otvorené.

„Riziko pre používateľa pretrváva, kým organizácia s aktualizovanou knižnicou OpenSSL nedostane nové certifikáty a kľúče SSL," hovorí Trey Ford z Rapid7. Útočníci dovtedy majú k všetkým údajom v podstate voľný prístup.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá