Eksperci ds. bezpieczeństwa internetowego nadal próbują załatać dziurę pozostawioną przez wirus Heartbleed czyli błąd w protokole OpenSSL. To narzędzie służące do szyfrowania połączeń w internecie. Teraz doszło im nowe zmartwienie, bowiem zespół tworzący bibliotekę OpenSSL poinformował o wykryciu nowej luki w kodzie.

OpenSSL

– Sam atak wygląda następująco: Atakujący przechwytuje komunikację pomiędzy użytkownikiem, a serwerem (pamiętać należy, że obydwie wersje – kliencka i serwerowa, muszą być podatne na atak), a następnie jest w stanie odszyfrować komunikację, czego skutkiem może być utrata danych, loginów i haseł – ostrzega Maciej Ziarko z Kaspersky Lab Polska.

Pierwsze informacje o luce „Heartbleed”, zaklasyfikowanej jako „krytyczna”, pojawiły się na początku kwietnia. „Krwawienie z serca” to błąd w protokole OpenSSL, czyli narzędziu służącym do szyfrowania połączeń w internecie. Korzysta z niego 2/3 serwerów na świecie.

Użytkownicy internetu mają z nim do czynienia niemal codziennie, przeprowadzając transakcje bankowe, czy przesyłając hasło do poczty e-mail. Dziura pozwala na wykradanie danych ukrytych na zaszyfrowanych stronach.

 

Przez Wi-Fi

Teraz internauci mają nowy problem, bo nową dziurę w kodzie biblioteki OpenSSL, oznaczoną enigmatyczną sygnaturą CVE-2014-0224, odkrył japoński programista Masashi Kikuchi.

W przeciwieństwie do „Heartbleed”, który może być wykorzystany do bezpośredniego ataku na serwer używający protokołu OpenSSL, nowa luka wymaga od atakującego, aby znalazł się on pomiędzy dwoma komunikującymi się komputerami. Potencjalnym celem hakera może być np osoba korzystająca z Wi-Fi na lotnisku, kawiarni lub innym publicznym miejscu.

 

Od 16 lat

Luka może być wykorzystana do ataku Man-in-the-middle (MITM), gdzie atakujący może odszyfrować i zmodyfikować ruch pomiędzy klientem i serwerem. Dziura umożliwia przechwytywanie i odszyfrowywanie zaszyfrowanych za pomocą OpenSSL informacji, ale tylko w przypadku jeśli obie strony używają podatnego OpenSSL, a atakujący może przechwycić ruch sieciowy przez, który odbywa się łączność.

– Heartbleed to luka, której wykorzystanie byłoby dla internauty gorsze w skutkach, a do ataku nie musiały zaistnieć szczególne warunki. W przypadku nowej dziury podatne są osoby, których komunikacja zostanie przejęta przez atakującego. Dodatkowo zarówno użytkownik (klient), jak i serwer muszą wykorzystywać wersję OpenSSL, która jest podatna na atak. Jak widać, takie wymagania skutecznie ograniczają możliwość wykorzystania luki, co nie oznacza, że problemu nie ma. Każdy powinien jak najszybciej zainstalować stosowną aktualizację – mówi Maciej Ziarko z Kaspersky Lab Polska.

Nowy błąd został wprowadzony do Open SSL w 1998 roku, a więc ponad 10 lat przed „Heartbleed”, który po raz pierwszy został wprowadzony do aktualizacji kodu w Sylwestra 2011 roku. Fakt, że luka pozostawała niewykryta przez 16 lat kładzie się cieniem na zarządzających protokołem OpenSSL.

– E-bankowość jest moim zdaniem bezpieczna, gdyż banki bardzo szybko aktualizują oprogramowanie, a dodatkowo część z nich nie wykorzystuje w ogóle OpenSSL – uspokaja Maciej Ziarko z Kaspersky Lab Polska.

Polecane: