Panika na spletu zaradi napake v šifriranju
Slovenija
10. 04. 2014, 16.12
, posodobljeno: 31. 10. 2017, 05.53
Računalniški strokovnjaki so odkrili resno napako v priljubljenem mehanizmu za šifriranje internetnega prometa. Napaka hekerjem omogoča, da brez težav preberejo sicer šifrirane podatke, ki se pretakajo med strežnikom in napravo uporabnika.
Fotografija je simbolična Foto: STA
SAN FRANCISCO
> V slovenskem centru za internetno varnost so napako označili za “ranljivost desetletja”.
Strokovnjaki so napako odkrili v šifrirnem mehanizmu OpenSSL, ki se uporablja za šifriranje spletnih strani, elektronske pošte, programov za sporočanje, bančnih aplikacij in navideznih zasebnih omrežjih.
Domači uporabniki po besedah Hrena zaenkrat ne morejo storiti nič. “Zamenjava gesel, npr. za spletno banko ali elektronski predal, trenutno ni smiselna, počakajmo vsaj dokler nam ponudniki ne sporočijo, da so odpravili ranljivost.”Napaka v mehanizmu naj bi neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega Googla. Na napako so v torek opozoril tudi v centru SI-CERT. O resnosti napake priča tudi dejstvo, da so avtorji omrežja za anonimno uporabo interneta Tor svojim uporabnikom svetovali, naj nekaj dni sploh ne uporabljajo interneta. Omenjeno omrežje uporabljajo tako hekerji in spletni aktivisti kot uporabniki v državah s strogim nadzorom nad telekomunikacijami.
Z zlorabo premakljivosti je raziskovalcem že uspelo pridobiti uporabniška gesla in šifrirne ključe, s katerimi je mogoče ponarediti identiteto določenega strežnika. Napaka po njihovih besedah odpira skoraj neomejene možnosti zlorabe podatkov na internetu.
Ranljivost napadalcu omogoča pridobitev zasebnih ključev za šifriranje iz strežnika, pojasnjujejo v nacionalnem odzivnem centru za obravnavo varnostnih incidentov na internetu (SI-CERT). S temi podatki lahko napadalec nato razbije šifriranje med napravo uporabnika in strežnikom, se pravi da lahko pridobi vse podatke, ki bi načeloma morali biti varni.
“Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v nobenih dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi,” je dejal varnostni strokovnjak Tadej Hren.
Mehanizem OpenSSL po nekaterih ocenah uporablja več kot polovica vseh strežnikov na svetu, a na srečo vse različice niso ranljive. Koliko strežnikov je ranljivih, zaenkrat še ni jasno.
“Točnih informacij zaenkrat še nimamo. Po nekaterih podatkih naj bi bilo ranljivih 17 odstotkov oz. približno pol milijona spletnih strežnikov, ki uporabljajo ta mehanizem. Vendar je tu govora samo o spletnih strežnikih - OpenSSL se uporablja tudi za druge internetne storitve, kot so elektronska pošta in hipno sporočanje,” je dejal Hren.
Skupina programerjev, ki skrbi za razvoj odprtokodnega mehanizma, je že pripravila popravek ter pozvala upravljavce spletnih strežnikov, naj ga čim prej naložijo.
Več o tem si lahko preberete: http://heartbleed.com/
STA