Image
14.4.2014 0 Comments

HeartBleed: Ako sú na tom slovenské top weby a poskytovatelia hostingových služieb?

Len pred niekoľkými dňami sa svet dozvedel šokujúcu správu, že weby využívajúce technológiu OpenSSL sú zraniteľné hackerským útokom. Hackeri mohli odcudziť súkromné kľúče a následne dešifrovať citlivé údaje, ako sú heslá, čísla platobných kariet a podobne. Chybu odhalila bezpečnostná spoločnosť Codenomicon spoločne s bezpečnostným expertom Googlu Neelom Mehtom.

Útočník zneužíva chybu v OpenSSL, kde sa mu môže podariť odcudziť potrebné kľúče bez toho, aby o tom vedel napadnutý, prípadne samotný poskytovateľ. Knižnica, ktorá umožňovala hackerovi takýto prístup, je v OpenSSL len od roku 2011. Išlo o rozšírenie certifikátu s označením Heartbeat, z čoho po odhalení nedostatku vzniklo aj HeartBleed (ako krvácanie srdca). Pôvodne mala knižnica efektívnejšie využívať funkciu keep-alive, vďaka čomu lepšie kontrolovala pretrvávajúce spojenia medzi serverom a používateľom pripojeného na server.

Používatelia by si mali zmeniť heslo

Väčšina spoločností, ktoré poskytujú webhosting, už aktualizovala svoje servery a zabezpečila sa tak proti chybe. Rad je však teraz na samotných používateľoch. Tí musia manuálne navštíviť najnavštevovanejšie stránky, na ktorých sa prihlasujú, a zmeniť si heslo. Výnimkou nie je ani Google či Facebook.

Aktualizované 21:49: K problematike sa nám vyjadril aj konateľ a hlavný administrátor z hostingovej spoločnosti Elbia Jozef Sudolský:

„Certifikát si predstavte ako akési heslo, pomocou ktorého sa dáta šifrujú a dešifrujú. Útok HeartBleed spočíval v tom, že ktokoľvek si mohol zo servera toto heslo proste a jednoducho stiahnuť. Už z toho musí byť hneď jasné, že len odstránenie problému nestačí, je nutná aj zmena hesla (=certifikátu, resp. súkromného kľúča). Samotného hesla sa, ako ste správne uviedli, problém vôbec netýkal, ale aký význam má heslo, ktoré poznajú aj tretie strany? Na úplné odstránenie chyby sú teda nutne tri veci (v tomto poradí)

1. oprava softvéru,
2. výmena certifikátu, resp. súkromného a verejného kľúča,
3. zmena alebo zneplatnenie dát, ktoré mohli byť kradnuté (ak je to možné). Sem spadá napríklad zmena prístupových hesiel.

K celému útoku je podľa mňa nutné ešte uviesť, že jeho zneužitie nie je také triviálne, ako by sa mohlo zdať z informácií podaných médiami. Samotné heslo je útočníkovi vcelku na nič, pokiaľ nemá dáta, ktoré by s ním mohol dešifrovať. Keby ste teda chceli na niekoho naozaj zaútočiť, musíte útok HeartBleed spojiť s nejakým druhom odpočúvania (napr. útok Man In The Middle), aby ste sa dostali aj k samotným zašifrovaným dátam, ktoré by ste následne mohli dešifrovať."

Postihnuté boli aj slovenské weby. Jedným z napadnutých bol aj sme.sk

Medzi postihnuté weby patril aj slovenský populárny denník sme.sk. Jeho používatelia by si mali minimálne zmeniť heslo. Jedným z preverených webov bol aj Azet.sk, ktorý nevyužíva šifrovanie certifikátom SSL. Weby, ktoré používajú certifikát SSL a boli odolné proti chybe, boli cas.sk a aktuality.sk.

Medzi odolné weby sa zaradila napríklad heureka.sk a hnonline.sk. Niektoré testované slovenské weby nevyužívajú zabezpečenie SSL.

sme.sk - bol napadnuteľný (chyba už bola odstránená)
google.sk - odolný proti chybe
azet.sk - bez certifikátu SSL
topky.sk - be certifikátu SSL
zoznam.sk - bez certifikátu SSL
cas.sk - odolný proti chybe
aktuality.sk - odolný proti chybe
bazos.sk - bez certifikátu SSL
pravda.sk - bez certifikátu SSL
heureka.sk - odolný proti chybe
atlas.sk - bez certifikátu SSL
hnonline.sk - odolný proti chybe
pluska.sk - bez certifikátu SSL

Poskytovatelia hostingových služieb OpenSSL aktualizovali

To, či bol daný web zraniteľný alebo nie, záviselo najmä od poskytovateľov daných hostingov, virtuálnych serverov. Zisťovali sme preto situáciu u vybraných hostingových poskytovateľov. Niektorí sa nám ešte stále neozvali. Vyjadrenia uvádzame v úplnom znení bez nášho zásahu. V prípade odpovede niektorých z oslovených hostingových poskytovateľov aktualizujeme článok o ich vyjadrenie:

WebSupport.sk: Určite ste zachytili informácie týkajúce sa vážnej chyby v SSL zabezpečení, tzv. Heartbleed bugu. Bola to chyba v samotnej knižnici OpenSSL, nie v SSL certifikátoch - tie sú naďalej bezpečné, pokiaľ sú inštalované u nás. Jedná sa o globálny problém, keďže knižnica je používaná na celom svete. Knižnicu sme aktualizovali na najnovšiu a opravenú verziu už v deň ohlásenia tejto chyby.

Active24: Open SSL je námi hojně využívaný, proto jsme zamezení dopadu na naše zákazníky věnovali okamžitou pozornost a byli jsme jedni z prvních, kdo oznámili opatchování našich systémů. Viz naše posty na FB nebo twitteru ze včera. Používáme různé verze open SSL podle verzí samotného systému. Zranitelné jsou verze 1.0.1 až 1.0.1f. V tomto případě se to tedy týkalo paradoxně novějších systémů (Debian 7, Ubuntu 12.4) a naopak se to netýkalo systémů starších. (používáme např. stále podporované Debian 6 či Ubuntu 10.4). Průřezově jsme tak update prováděli na všech našich službách, tedy na sdíleném hostingu, virtuálních managed serverech, ale i managed serverech. Zde všude jsme bez prodlení provedli potřebné updaty. Zákazníky VPS jsme o této hrozbě ihned informovali, oprava je ale v tomto případě na nich, protože jsou správci svých serverů.

Elbia: V súčasnosti na väčšine serveroch (fyzických aj virtuálnych) používame OpenSSL verziu 1.0.1e, ktorá ale obsahuje potrebne záplaty na Heartbleed bug, viď napr. http://possible.lv/tools/hb/?domain=elbiahosting.sk.

Softvér bol do pár dní od vydania záplaty aktualizovaný na všetkých našich serveroch (aktualizácie sme dokončili včera). Pre zaručenie čo najvyššej bezpečnosti našich serverov používame aj rôzne iné technológie, ktoré potenciálne zabraňujú zneužitiu aj zatiaľ (verejne) neznámym softvérovým chybám, napr. grsecurity (www.grsecurity.net) a apparmor (wiki.apparmor.net). Pravidelná inštalácia bezpečnostných záplat je samozrejmosťou.

WebHouse: Používame iba také verzie OpenSSL, ktoré nie sú zraniteľné.

EXO Hosting: Servery, na ktorých beží zdieľaný webhosting, používajú verziu OpenSSL, ktorá neobsahovala Heartbleed bug, a preto nebol žiaden zásah potrebný. Pre virtuálne servery bol vykonaný potrebný update na samotných fyzických serverov, na ktorých virtuálne servery bežia. Rovnako tak bol vykonaný update na jednotlivých virtuálnych serveroch.

Zdroj: Svet IT

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

5 tipov ako vybrať správny firemný firewall

19.09.2019 00:15

Kybernetickú bezpečnosť dnes čoraz viac firiem berie ako prioritu najvyššieho manažmentu. Napriek tomu mnoho organizácií stále nevie, ako správne budovať bezpečnostnú architektúru. Kľúčom k maximálne ...

Bezpečnosť

Google Nest Hub Max s Face Match vás sleduje naozaj stále

18.09.2019 00:10

Google Nest Hub Max sa javí ako pomerne inteligentné zariadenie. Má niekoľko zaujímavých funkcií, okrem iného dokáže zobraziť kalendár alebo obsah prispôsobený osobe, ktorá sa naň pozerá. To všetko b ...

Bezpečnosť

6 najväčších podnikových e-mailových hrozieb

17.09.2019 00:05

V roku 2019 je podľa niektorých odhadov poslaných a prijatých okolo 300 miliárd obchodných a osobných e-mailov každý deň a toto číslo do budúcnosti porastie, hlavne vo firemnej sfére. Rastúca e-mailo ...

q

Žiadne komentáre

Vyhľadávanie

AMCHAM 2019

Najnovšie videá

SlovakiaTech 2019

IT GALA stvorec 2019