A hírek szerint a világ népszerű webszájtjai közül nagyon sok érintett az OpenSSL titkosítás nyílt forráskódú könyvtárait érintő Heart Bleed hiba által. A biztonsági rés meglehetősen technikai, az átlagfelhasználó számára nehezen érthető, ezért megpróbáljuk össszefoglalni a legfontosabbb tudnivalókat.
Milyen webszájtok érintettek?
Elsősoban azok a webszájtok adatforgalma forog veszélyben, amik a https biztonságos protokollt használják – ezt mi is látjuk a böngészőben, hogy az url http:// vagy https:// előtaggal kezdődik-e. Ezeknek a szájtoknak durván fele sebezhető. Nem érintett a Google, a Foursquare vagy az Evernote, de a Facebook, a Twitter, az Airbnb, a Yahoo vagy a WordPress.com igen.
Itt található egy hosszú lista a kérdéses szájtokról. Van azonban egy gyorsabb módja is annak, hogy megnézzük, hogy az általunk használt szolgáltatás szenved-e a biztonsági réstől, ezen a címen beírhatjuk tetszőleges szájt címét, az oldal pedig megmondja, fut-e olyan szoftver a szerveren, ami gondot okozhat.
Persze ez még nem jelent túl sokat, hiszen ahol fut sebezhető szoftver, ott elméletben fennáll ugyan annak a veszélye, hogy az elmúlt két évben történt rosszindulatú támadás, de ezt nem lehet biztosan tudni.
Milyen kárt okozhat a hiba?
A titkosító kulcsok sérültek, azaz egy érintett webszájt és a felhasználó közötti kommunikáció lehallgathatóvá válik. Normál esetben az internet nem ad védelmet az ellen, hogy valaki a hálózati forgalmat figyelve belehallgasson a kommunikációba, ezért a forgalmat titkosítják, erre szolgál az OpenSSL. Ha azonban a titkosítás kijátszható, az adatforgalomba gond nélkül bele lehet hallgatni. Tehát ha pl. hitelkártyával vásároltunk valamit egy lehallgatott szájton, akkor elméletben a kártyaadatokat egy lehallgató megtudta szerezni.
Milyen konkrét támadásokról tudunk?
Bár a hiba az érintett szoftverek széles elterjedtsége miatt elég súlyos, egyelőre nem találtak bizonyítékot arra, hogy valahol rosszindulatú támadók ki is használták volna azt. A hibát biztonsági szakemberek fedezték fel és hozták nyilvánosságra, a javítása pedig gyorsan megtörtént. A probléma az, hogy nem minden szájt alkalmazza a javításokat azonnal, így az átmeneti időszakban ezek továbbra is rosszindulatú támadások célpontjai lehettek.
Mit kell tennie a mezei felhasználónak?
A hibát a webszájtok tulajdonosainak kell kijavítanuk, a felhasználóknak ezzel nincs dolguk.
Először is érdemes meggyőződni arról, hogy használunk-e olyan szájtot, ami érintett. Ha igen, akkor meg kell várnunk, hogy a szájt javítsa a hibát. Ezután érdemes jelszót változtatni ezeken a szájtokon, előbb felesleges.
A legtöbb fontos szájt a javítás után valószínűleg levélben vagy a következő belépéskor megkéri majd a felhasználóit, hogy változtassák meg jeszavukat. Ez persze nem segít azon, hogy az elmúlt két évben elméletben hozzáérhettek adatainkhoz. A jó hír az, hogy egyelőre erre nincs konkrét bizonyíték egyik szájt esetében sem, a rossz pedig az, hogy lehet, hogy volt ilyen támadás, de nem maradt nyoma.
