Image
14.4.2014 0 Comments

Heartbleed: So zmenou hesiel sa veľmi neponáhľajte. Môžete sa prezradiť ešte viac, ako by ste chceli

pasword_heartbleed.jpg V súvislosti s chybou v knižnici OpenSSL s oficiálnym názvom CVE - 2014-0160, ktorá je od utorka známa pod prezývkou Heartbleed, mnohí odporúčajú zmeniť čo najskôr všetky heslá. To by však nemusel byť taký dobrý nápad, ako sa na prvý pohľad zdá.

Niektorí bezpečnostní výskumníci si, naopak, myslia, že by sa ľudia so zmenou hesiel nemali priveľmi ponáhľať. Chyba by totiž mohla odhaliť všetky údaje vrátane hesiel, používateľských mien a kryptografických kľúčov, ktoré sa v súčasnosti spracúvajú na webových serveroch.

Touto chybou sú v súčasnosti okrem iných ohrození používatelia banky Deutsche Bank a Yahoo (vrátane jeho služieb, medzi ktoré patrí Flickr alebo Tumblr) alebo služby na zasielanie fotografií Imgur. Pred kyberzločincami využívajúcimi túto chybu nie sú v bezpečí ani zamestnanci FBI.

Po celom svete je v ohrození približne pol milióna webov. „Katastrofické je to správne slovo," okomentoval situáciu nezávislý bezpečnostný expert Bruce Schneier. „Na stupnici od jednotky do desiatky je toto jedenástka." Výzvy na zmenu hesla, ktoré sa okamžite po zistení existencie tejto chyby objavili, by však mohli narobiť viac škody ako úžitku, pretože ak server zatiaľ nebol aktualizovaný a chybu neopravil, útočníci by mohli nové heslo okamžite získať, myslí si Mark Schloesser, bezpečnostný výskumník zo spoločnosti Rapid7.

Táto chyba v knižnici OpenSSL existuje už od roku 2012, to, či už ju niekto zneužil, nie je isté a ani neexistuje žiadny spôsob, ako to zistiť.

Používatelia môžu zistiť, či je konkrétna stránka stále ohrozená, pomocou nástroja, ktorý dal dohromady vývojár Filippo Vaslorda. Niektoré servery už opravili chybu, ale to neznamená, že sú proti nej úplne zabezpečené. Chyba totiž odhodlaným útočníkom umožňuje ukradnúť súkromný kľúč certifikátu SSL, a tak weby, ktoré sú síce aktualizované, ale stále používajú rovnaké certifikáty ako predtým, zostávajú útočníkom otvorené.

„Riziko pre používateľa pretrváva, kým organizácia s aktualizovanou knižnicou OpenSSL nedostane nové certifikáty a kľúče SSL," hovorí Trey Ford z Rapid7. Útočníci dovtedy majú k všetkým údajom v podstate voľný prístup.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Bezpečnosť 1

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá