Vážné narušení bezpečnosti na internetu, které se nejspíše týká i Vás

I přes nedávnou aféru s NSA a jejím odposloucháváním celého světa se ještě v neděli dalo spolehnout na to, že dobře nastavené šifrování Vás před NSA a jinými útočníky ochrání. Toto už bohužel není pravda, v pondělí 7.4.2014 byla oznámena kritická zranitelnost openSSL knihovny, umožňující vzdálený útok na libovolné spojení zabezpečené pomocí SSL (např. https spojení, které se běžně používá na zajištění bezpečnosti přenášených dat a nebo Vaši firemní VPN). Tato chyba byla v knihovně už nejméně 2 roky.

Co je to openSSL, jak se mě to týká?

OpenSSL je majoritně rozšířená knihovna, zajišťující šifrovací funkce pro programy, které potřebují zabezpečit svá data a to jak na disku, tak na internetu. Odhadem 2 ze 3 serverů, které používají zabezpečené spojení používají pro jeho implementaci právě openSSL, bez ohledu na operační systém. Pokud provozujete jakýkoliv eshop, fórum, nebo i webovou službu, ve které máte přihlášení zabezečeno pomocí https, pak můžete být zrantelní. Problém můžete mít například i se zabezpečením Vaší firemní VPN.

Mechanismus útoku, jaké informace může útočník získat?

Útočníkovi stačí možnost navázat zabezpečené spojení na Váš server, tzn. například jen zobrazit stránku s přihlašovacím dialogem na https. Následně dokáže přečíst informace z paměti openSSL knihovny, kde jsou uloženy informace o privátním klíči (který je naprosto zásadní, pro správné fungování šifrování musí zůstat vždy tajný), nebo i o jménech a heslech uživatelů.

Útok není jakkoliv logován, neexistuje způsob jak poznat, zda proběhl. Z toho bohužel vyplývá, že je potřeba u všech zranitelných systémů předpokládat, že byly úspěšně napadeny.

Není automatický předpoklad napadení příliš paranoidní? Kdo by chtěl napadnout zrovna nás?

Bohužel, otázka dnes nezní: „Kdo by chtěl napadnout zrovna nás“, ale spíše: „Kdy naposledy na nás útočili?“. Automatizovaný software neustále prochází celý internet a hledá známé zranitelnosti a chyba je více než 2 roky stará. Mohla být už objevena a může být součástí těchto programů. Společně s nemožností ověřit, zda jste nebyli napadeni, je předpoklad, že jste byli napadeni rozumný.

Jak zjistit jestli jsem zranitelný a co je potřeba udělat pro opravu?

Zranitelné verze knihovny jsou 1.0.1 a 1.0.2-beta, verze 1.0.1 je nejméně v následujících distribucích:

  • Debian Wheeze
  • RedHat 6 a jeho klony
  • Ubuntu 12.04 LTS
  • Fedora 18
  • OpenSuse 12.2

Naopak zranitelné nejsou následující distribuce:

  • Debian Squeeze (oldstable)
  • SUSE Linux Enterprise Server
Oprava má dvě části:
  • oprava openSSL, tu lze na většině distribucí nyní provést updatem balíčků
  • revokace a nové generování bezpečnostních certifikátů z důvodu možné kompromitace privátních klíčů

Doporučuji provést opravy co nejdříve, pokud by jste si s něčím nevěděli rady, kontaktujte mě.

P.S: Pro zájemce o více technických informací: Útok má CVE-2014-0160 a je nazván heartbleed, doporučuji:

Komentování je uzavřeno.