heartbleed

Heartbleed je bezpečnostní díra v OpenSSL, která byla objevena finskou bezpečnostní firmou Codenomicon a zveřejněna 7. dubna 2014. OpenSSL je šifrování technologie použitá k vytvoření zabezpečeného připojení k webu HTTPS, založit VPNa zašifrovat několik dalších protokoly. Vzhledem k tomu, OpenSSL je používán zhruba dvě třetiny webových serverů, zranitelnost je považována za jednu z nejvýznamnějších bezpečnostních mezer objevených od začátku webu.

Jak funguje Heartbleed?

Využití Heartbleed využívá počáteční komunikaci mezi zákazník a Server. Tento předběžný krok se běžně nazývá „handshake“, ačkoli OpenSSL poskytuje variantu zvanou „tep“. Prezenční signál se používá k navázání zabezpečeného připojení, ale data přenášená během prezenčního signálu se neposílají bezpečně.

Odesláním nepravdivých informací na server, a hacker může načíst 64 kilobyte kousky dat ze serveru Cache. I když se jedná o malé množství dat, stačí obsahovat a uživatelské jméno, heslonebo jiné důvěrné informace. Díky několika žádostem za sebou může hacker potenciálně zachytit velké množství soukromých dat uložených v paměti serveru.

Srdce štěnice je specifický pro OpenSSL 1.0.1 přes 1.0.1f a verze 1.0.2-beta1. Ostatní verze OpenSSL a dalších typů implementací TLS (zabezpečení transportní vrstvy) nejsou ovlivněny. Poté, co byla chyba oznámena 7. dubna, bylo mnoho webových serverů okamžitě opraveno verzí 1.0.1g. Není však známo, kolik serverů bylo ovlivněno a kolik z nich stále používá zranitelnou verzi OpenSSL.

Jak na mě Heartbleed působí?

Je nepravděpodobné, že by vás chyba Heartbleed přímo ovlivnila. Přestože byla bezpečnostní díra po dobu dvou let nezjištěna, existuje jen málo důkazů o tom, že by se tato exploitace široce využívala. V bezpečí se však můžete chránit aktualizací hesel pro webové stránky přihlášení, e-mailové účty a další online služby.