Protokół SSL jest standardem zapewniającym bezpieczeństwo komunikacji w internecie. Korzystamy z niego codziennie, gdy wchodzimy na strony zabezpieczone „kłódeczką”. Jak się okazuje, jedna z bibliotek instalowanych na serwerach SSL (OpenSSL) była od 2 lat podatna na atak, który mógł doprowadzać do ujawnienia krytycznych informacji.
Odpowiednio spreparowane zapytanie do serwera powoduje, że ujawnia on 64kB danych ze swojej pamięci. W ten sposób można pozyskać np. klucz używany do szyfrowania połączenia, dane dotyczące trwających właśnie sesji i inne istotne informacje. Błąd ten nazwano „Heartbleed”, a wykrył go jeden z pracowników Google Security.
Szyfrowana komunikacja na podsłuchu
Konsekwencje błędu „Heartbleed” mogą być bardzo poważne – atakujący może przechwycić dane wymieniane pomiędzy użytkownikiem a serwerem, zdobyć w ten sposób hasła albo „wcielić” się w zalogowanego na serwerze użytkownika (przechwytując jego sesję). Łatwo sobie wyobrazić, jakie szkody mogłoby spowodować użycie takiej sztuczki np. w przypadku banków oferujących bankowość internetową.
Szczególnie niepokojąca jest możliwość, że błąd był znany wcześniej przestępcom komputerowym. Wykorzystanie dziury nie pozostawia śladu – instytucje, które korzystały z oprogramowania OpenSSL mogły być podsłuchiwane i nie są świadome, że ujawniały krytyczne informacje.
Poważne zagrożenie
W najbliższych dniach można spodziewać się, fali oświadczeń banków, giełd bitcoin i innych instytucji korzystających z protokołu SSL w swoich serwisach o załataniu dziury lub o tym, że nie korzystano w nich z OpenSSL. Taką informację podał m.in. system płatności elektronicznych PayPal, zapewniając swoich użytkowników, że ich dane nigdy nie były narażone na niebezpieczeństwo.
Specjalistyczny blog „Niebezpiecznik” sprawdził już witryny polskich banków i donosi, że nie są one podatne na atak. Problemy mogą jednak mieć inne polskie serwisy, w tym np. administracji rządowej. Wygląda na to, że „Heartbleed” okaże się jednym z najpoważniejszych zagrożeń jakie widział w ostatnim czasie internet.