Image
14.4.2014 0 Comments

Heartbleed: So zmenou hesiel sa veľmi neponáhľajte. Môžete sa prezradiť ešte viac, ako by ste chceli

pasword_heartbleed.jpg V súvislosti s chybou v knižnici OpenSSL s oficiálnym názvom CVE - 2014-0160, ktorá je od utorka známa pod prezývkou Heartbleed, mnohí odporúčajú zmeniť čo najskôr všetky heslá. To by však nemusel byť taký dobrý nápad, ako sa na prvý pohľad zdá.

Niektorí bezpečnostní výskumníci si, naopak, myslia, že by sa ľudia so zmenou hesiel nemali priveľmi ponáhľať. Chyba by totiž mohla odhaliť všetky údaje vrátane hesiel, používateľských mien a kryptografických kľúčov, ktoré sa v súčasnosti spracúvajú na webových serveroch.

Touto chybou sú v súčasnosti okrem iných ohrození používatelia banky Deutsche Bank a Yahoo (vrátane jeho služieb, medzi ktoré patrí Flickr alebo Tumblr) alebo služby na zasielanie fotografií Imgur. Pred kyberzločincami využívajúcimi túto chybu nie sú v bezpečí ani zamestnanci FBI.

Po celom svete je v ohrození približne pol milióna webov. „Katastrofické je to správne slovo," okomentoval situáciu nezávislý bezpečnostný expert Bruce Schneier. „Na stupnici od jednotky do desiatky je toto jedenástka." Výzvy na zmenu hesla, ktoré sa okamžite po zistení existencie tejto chyby objavili, by však mohli narobiť viac škody ako úžitku, pretože ak server zatiaľ nebol aktualizovaný a chybu neopravil, útočníci by mohli nové heslo okamžite získať, myslí si Mark Schloesser, bezpečnostný výskumník zo spoločnosti Rapid7.

Táto chyba v knižnici OpenSSL existuje už od roku 2012, to, či už ju niekto zneužil, nie je isté a ani neexistuje žiadny spôsob, ako to zistiť.

Používatelia môžu zistiť, či je konkrétna stránka stále ohrozená, pomocou nástroja, ktorý dal dohromady vývojár Filippo Vaslorda. Niektoré servery už opravili chybu, ale to neznamená, že sú proti nej úplne zabezpečené. Chyba totiž odhodlaným útočníkom umožňuje ukradnúť súkromný kľúč certifikátu SSL, a tak weby, ktoré sú síce aktualizované, ale stále používajú rovnaké certifikáty ako predtým, zostávajú útočníkom otvorené.

„Riziko pre používateľa pretrváva, kým organizácia s aktualizovanou knižnicou OpenSSL nedostane nové certifikáty a kľúče SSL," hovorí Trey Ford z Rapid7. Útočníci dovtedy majú k všetkým údajom v podstate voľný prístup.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

DARPA pripravuje v rámci programu Gunslinger projekt „lietajúcej zbrane“

20.02.2020 00:03

V rámci programu Gunslinger sa budú vyvíjať a demonštrovať technológie, ktoré umožnia vytvoriť vzdušný taktický raketový systém, schopný podporiť rôzne misie. Mal by spájať vysokú ovládateľnosť raketo ...

Bezpečnosť

Hackeri by mohli odstaviť satelity alebo ich premeniť na zbrane

17.02.2020 00:04

V januári sa spoločnosť SpaceX stala prevádzkovateľom najväčšej aktívnej satelitnej konštelácie na svete. Tá pozostáva z 242 satelitov obiehajúcich okolo planéty, v nasledujúcom desaťročí ich chce fir ...

Bezpečnosť 2

Počítač s Windows je vraj menej náchylný na infikovanie malvérom ako Mac

14.02.2020 00:20

Antivírusová spoločnosť Malwarebytes v týchto dňoch zverejnila rozsiahlu správu o výskyte rôznych typov škodlivého softvéru v rôznych operačných systémoch. Najzaujímavejšie zistenie je to, že počítače ...

Žiadne komentáre

Vyhľadávanie

Gopas .Net DevDays 2020 - 24.4.2020

Najnovšie videá