Image
14.4.2014 0 Comments

Heartbleed: So zmenou hesiel sa veľmi neponáhľajte. Môžete sa prezradiť ešte viac, ako by ste chceli

pasword_heartbleed.jpg V súvislosti s chybou v knižnici OpenSSL s oficiálnym názvom CVE - 2014-0160, ktorá je od utorka známa pod prezývkou Heartbleed, mnohí odporúčajú zmeniť čo najskôr všetky heslá. To by však nemusel byť taký dobrý nápad, ako sa na prvý pohľad zdá.

Niektorí bezpečnostní výskumníci si, naopak, myslia, že by sa ľudia so zmenou hesiel nemali priveľmi ponáhľať. Chyba by totiž mohla odhaliť všetky údaje vrátane hesiel, používateľských mien a kryptografických kľúčov, ktoré sa v súčasnosti spracúvajú na webových serveroch.

Touto chybou sú v súčasnosti okrem iných ohrození používatelia banky Deutsche Bank a Yahoo (vrátane jeho služieb, medzi ktoré patrí Flickr alebo Tumblr) alebo služby na zasielanie fotografií Imgur. Pred kyberzločincami využívajúcimi túto chybu nie sú v bezpečí ani zamestnanci FBI.

Po celom svete je v ohrození približne pol milióna webov. „Katastrofické je to správne slovo," okomentoval situáciu nezávislý bezpečnostný expert Bruce Schneier. „Na stupnici od jednotky do desiatky je toto jedenástka." Výzvy na zmenu hesla, ktoré sa okamžite po zistení existencie tejto chyby objavili, by však mohli narobiť viac škody ako úžitku, pretože ak server zatiaľ nebol aktualizovaný a chybu neopravil, útočníci by mohli nové heslo okamžite získať, myslí si Mark Schloesser, bezpečnostný výskumník zo spoločnosti Rapid7.

Táto chyba v knižnici OpenSSL existuje už od roku 2012, to, či už ju niekto zneužil, nie je isté a ani neexistuje žiadny spôsob, ako to zistiť.

Používatelia môžu zistiť, či je konkrétna stránka stále ohrozená, pomocou nástroja, ktorý dal dohromady vývojár Filippo Vaslorda. Niektoré servery už opravili chybu, ale to neznamená, že sú proti nej úplne zabezpečené. Chyba totiž odhodlaným útočníkom umožňuje ukradnúť súkromný kľúč certifikátu SSL, a tak weby, ktoré sú síce aktualizované, ale stále používajú rovnaké certifikáty ako predtým, zostávajú útočníkom otvorené.

„Riziko pre používateľa pretrváva, kým organizácia s aktualizovanou knižnicou OpenSSL nedostane nové certifikáty a kľúče SSL," hovorí Trey Ford z Rapid7. Útočníci dovtedy majú k všetkým údajom v podstate voľný prístup.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

5 tipov ako vybrať správny firemný firewall

19.09.2019 00:15

Kybernetickú bezpečnosť dnes čoraz viac firiem berie ako prioritu najvyššieho manažmentu. Napriek tomu mnoho organizácií stále nevie, ako správne budovať bezpečnostnú architektúru. Kľúčom k maximálne ...

Bezpečnosť

Google Nest Hub Max s Face Match vás sleduje naozaj stále

18.09.2019 00:10

Google Nest Hub Max sa javí ako pomerne inteligentné zariadenie. Má niekoľko zaujímavých funkcií, okrem iného dokáže zobraziť kalendár alebo obsah prispôsobený osobe, ktorá sa naň pozerá. To všetko b ...

Bezpečnosť

6 najväčších podnikových e-mailových hrozieb

17.09.2019 00:05

V roku 2019 je podľa niektorých odhadov poslaných a prijatých okolo 300 miliárd obchodných a osobných e-mailov každý deň a toto číslo do budúcnosti porastie, hlavne vo firemnej sfére. Rastúca e-mailo ...

q

Žiadne komentáre

Vyhľadávanie

AMCHAM 2019

Najnovšie videá

elearn

IT GALA stvorec 2019