HeartBleed: Ako sú na tom slovenské top weby a poskytovatelia hostingových služieb?

Len pred nie­koľ­ký­mi dňa­mi sa svet doz­ve­del šo­ku­jú­cu sprá­vu, že weby vy­uží­va­jú­ce tech­no­ló­giu OpenSSL sú zra­ni­teľ­né hac­ker­ským úto­kom. Hac­ke­ri moh­li od­cu­dziť súk­rom­né kľú­če a nás­led­ne de­šif­ro­vať cit­li­vé úda­je, ako sú hes­lá, čís­la pla­tob­ných ka­riet a po­dob­ne. Chy­bu od­ha­li­la bez­peč­nos­tná spo­loč­nosť Co­de­no­mi­con spo­loč­ne s bez­peč­nos­tným exper­tom Goog­lu Nee­lom Meh­tom.

Útoč­ník zneu­ží­va chy­bu v OpenSSL, kde sa mu mô­že po­da­riť od­cu­dziť pot­reb­né kľú­če bez to­ho, aby o tom ve­del na­pad­nu­tý, prí­pad­ne sa­mot­ný pos­ky­to­va­teľ. Kniž­ni­ca, kto­rá umož­ňo­va­la hac­ke­ro­vi ta­ký­to prís­tup, je v OpenSSL len od ro­ku 2011. Iš­lo o roz­ší­re­nie cer­ti­fi­ká­tu s ozna­če­ním Hear­tbeat, z čo­ho po od­ha­le­ní ne­dos­tat­ku vznik­lo aj HeartBleed (ako kr­vá­ca­nie sr­dca). Pô­vod­ne ma­la kniž­ni­ca efek­tív­nej­šie vy­uží­vať fun­kciu keep-ali­ve, vďa­ka čo­mu lep­šie kon­tro­lo­va­la pretr­vá­va­jú­ce spo­je­nia me­dzi server­om a pou­ží­va­te­ľom pri­po­je­né­ho na server.

Pou­ží­va­te­lia by si ma­li zme­niť hes­lo

Väč­ši­na spo­loč­nos­tí, kto­ré pos­ky­tu­jú web­hos­ting, už ak­tua­li­zo­va­la svo­je server­y a za­bez­pe­či­la sa tak pro­ti chy­be. Rad je však te­raz na sa­mot­ných pou­ží­va­te­ľoch. Tí mu­sia ma­nuál­ne nav­ští­viť naj­nav­šte­vo­va­nej­šie strán­ky, na kto­rých sa prih­la­su­jú, a zme­niť si hes­lo. Vý­nim­kou nie je ani Goog­le či Fa­ce­book.

Ak­tua­li­zo­va­né 21:49: K prob­le­ma­ti­ke sa nám vy­jad­ril aj ko­na­teľ a hlav­ný ad­mi­nis­trá­tor z hos­tin­go­vej spo­loč­nos­ti El­bia Jo­zef Su­dol­ský:

„Cer­ti­fi­kát si pred­stav­te ako aké­si hes­lo, po­mo­cou kto­ré­ho sa dá­ta šif­ru­jú a de­šif­ru­jú. Útok HeartBleed spo­čí­val v tom, že kto­koľ­vek si mo­hol zo server­a to­to hes­lo pros­te a jed­no­du­cho stiah­nuť. Už z to­ho mu­sí byť hneď jas­né, že len od­strá­ne­nie prob­lé­mu nes­ta­čí, je nut­ná aj zme­na hes­la (=cer­ti­fi­ká­tu, resp. súk­rom­né­ho kľú­ča). Sa­mot­né­ho hes­la sa, ako ste správ­ne uvied­li, prob­lém vô­bec ne­tý­kal, ale aký vý­znam má hes­lo, kto­ré poz­na­jú aj tre­tie stra­ny? Na úpl­né od­strá­ne­nie chy­by sú te­da nut­ne tri ve­ci (v tom­to po­ra­dí)

1. op­ra­va sof­tvé­ru,
2. vý­me­na cer­ti­fi­ká­tu, resp. súk­rom­né­ho a ve­rej­né­ho kľú­ča,
3. zme­na ale­bo znep­lat­ne­nie dát, kto­ré moh­li byť krad­nu­té (ak je to mož­né). Sem spa­dá nap­rík­lad zme­na prís­tu­po­vých he­siel.

K ce­lé­mu úto­ku je pod­ľa mňa nut­né eš­te uviesť, že je­ho zneu­ži­tie nie je ta­ké tri­viál­ne, ako by sa moh­lo zdať z in­for­má­cií po­da­ných mé­dia­mi. Sa­mot­né hes­lo je útoč­ní­ko­vi vcel­ku na nič, po­kiaľ ne­má dá­ta, kto­ré by s ním mo­hol de­šif­ro­vať. Ke­by ste te­da chce­li na nie­ko­ho nao­zaj za­úto­čiť, mu­sí­te útok HeartBleed spo­jiť s ne­ja­kým dru­hom od­po­čú­va­nia (napr. útok Man In The Midd­le), aby ste sa dos­ta­li aj k sa­mot­ným za­šif­ro­va­ným dá­tam, kto­ré by ste nás­led­ne moh­li de­šif­ro­vať."

Pos­tih­nu­té bo­li aj slo­ven­ské weby. Jed­ným z na­pad­nu­tých bol aj sme.sk

Me­dzi pos­tih­nu­té weby pat­ril aj slo­ven­ský po­pu­lár­ny den­ník sme.sk. Je­ho pou­ží­va­te­lia by si ma­li mi­ni­mál­ne zme­niť hes­lo. Jed­ným z pre­ve­re­ných webov bol aj Azet.sk, kto­rý ne­vyu­ží­va šif­ro­va­nie cer­ti­fi­ká­tom SSL. Weby, kto­ré pou­ží­va­jú cer­ti­fi­kát SSL a bo­li od­ol­né pro­ti chy­be, bo­li cas.sk a ak­tua­li­ty.sk.

Me­dzi od­ol­né weby sa za­ra­di­la nap­rík­lad heu­re­ka.sk a hnon­li­ne.sk. Niek­to­ré tes­to­va­né slo­ven­ské weby ne­vyu­ží­va­jú za­bez­pe­če­nie SSL.

sme.sk - bol na­pad­nu­teľ­ný (chy­ba už bo­la od­strá­ne­ná)
goog­le.sk
- od­ol­ný pro­ti chy­be
azet.sk
- bez cer­ti­fi­ká­tu SSL
top­ky.sk
- be cer­ti­fi­ká­tu SSL
zoz­nam.sk
- bez cer­ti­fi­ká­tu SSL
cas.sk
- od­ol­ný pro­ti chy­be
ak­tua­li­ty.sk
- od­ol­ný pro­ti chy­be
ba­zos.sk
- bez cer­ti­fi­ká­tu SSL
prav­da.sk
- bez cer­ti­fi­ká­tu SSL
heu­re­ka.sk
- od­ol­ný pro­ti chy­be
at­las.sk
- bez cer­ti­fi­ká­tu SSL
hnon­li­ne.sk
- od­ol­ný pro­ti chy­be
plus­ka.sk
- bez cer­ti­fi­ká­tu SSL

Pos­ky­to­va­te­lia hos­tin­go­vých slu­žieb OpenSSL ak­tua­li­zo­va­li

To, či bol da­ný web zra­ni­teľ­ný ale­bo nie, zá­vi­se­lo naj­mä od pos­ky­to­va­te­ľov da­ných hos­tin­gov, vir­tuál­nych server­ov. Zis­ťo­va­li sme pre­to si­tuáciu u vy­bra­ných hos­tin­go­vých pos­ky­to­va­te­ľov. Niek­to­rí sa nám eš­te stá­le neoz­va­li. Vy­jad­re­nia uvá­dza­me v úpl­nom zne­ní bez náš­ho zá­sa­hu. V prí­pa­de od­po­ve­de niek­to­rých z os­lo­ve­ných hos­tin­go­vých pos­ky­to­va­te­ľov ak­tua­li­zu­je­me člá­nok o ich vy­jad­re­nie:

Web­Sup­port.sk: Ur­či­te ste za­chy­ti­li in­for­má­cie tý­ka­jú­ce sa váž­nej chy­by v SSL za­bez­pe­če­ní, tzv. Heartbleed bu­gu. Bo­la to chy­ba v sa­mot­nej kniž­ni­ci OpenSSL, nie v SSL cer­ti­fi­ká­toch - tie sú na­ďa­lej bez­peč­né, po­kiaľ sú in­šta­lo­va­né u nás. Jed­ná sa o glo­bál­ny prob­lém, keď­že kniž­ni­ca je pou­ží­va­ná na ce­lom sve­te. Kniž­ni­cu sme ak­tua­li­zo­va­li na naj­nov­šiu a op­ra­ve­nú ver­ziu už v deň oh­lá­se­nia tej­to chy­by.

Ac­ti­ve24: Open SSL je ná­mi hojně vy­uží­va­ný, pro­to jsme za­me­ze­ní do­pa­du na na­še zá­kaz­ní­ky věno­va­li okam­ži­tou po­zor­nost a by­li jsme jed­ni z pr­vních, kdo ozná­mi­li opat­cho­vá­ní na­šich sys­témů. Viz na­še pos­ty na FB ne­bo twit­te­ru ze vče­ra. Pou­ží­vá­me různé ver­ze open SSL pod­le ver­zí sa­mot­né­ho sys­té­mu. Zra­ni­tel­né jsou ver­ze 1.0.1 až 1.0.1f. V tom­to případě se to te­dy tý­ka­lo pa­ra­doxně novějších sys­témů (De­bian 7, Ubun­tu 12.4) a nao­pak se to ne­tý­ka­lo sys­témů star­ších. (pou­ží­vá­me např. stá­le pod­po­ro­va­né De­bian 6 či Ubun­tu 10.4). Průřezově jsme tak up­da­te pro­vádě­li na všech na­šich služ­bách, te­dy na sdí­le­ném hos­tin­gu, vir­tuál­ních ma­na­ged server­ech, ale i ma­na­ged server­ech. Zde všu­de jsme bez prod­le­ní pro­ved­li potřeb­né up­da­ty. Zá­kaz­ní­ky VPS jsme o té­to hrozbě ih­ned in­for­mo­va­li, op­ra­va je ale v tom­to případě na nich, pro­to­že jsou správ­ci svých serverů.

El­bia: V sú­čas­nos­ti na väč­ši­ne server­och (fy­zic­kých aj vir­tuál­nych) pou­ží­va­me OpenSSL ver­ziu 1.0.1e, kto­rá ale ob­sa­hu­je pot­reb­ne zá­pla­ty na Heartbleed bug, viď napr. http://pos­sib­le.lv/tools/hb/?do­main=el­bia­hos­ting.sk.

Sof­tvér bol do pár dní od vy­da­nia zá­pla­ty ak­tua­li­zo­va­ný na všet­kých na­šich server­och (ak­tua­li­zá­cie sme do­kon­či­li vče­ra). Pre za­ru­če­nie čo naj­vyš­šej bez­peč­nos­ti na­šich server­ov pou­ží­va­me aj rôz­ne iné tech­no­ló­gie, kto­ré po­ten­ciál­ne za­bra­ňu­jú zneu­ži­tiu aj za­tiaľ (ve­rej­ne) nez­ná­mym sof­tvé­ro­vým chy­bám, napr. gr­se­cu­ri­ty (www.gr­se­cu­ri­ty.net) a ap­par­mor (wiki.ap­par­mor.net). Pra­vi­del­ná in­šta­lá­cia bez­peč­nos­tných zá­plat je sa­moz­rej­mos­ťou.

Web­Hou­se: Pou­ží­va­me iba ta­ké ver­zie OpenSSL, kto­ré nie sú zra­ni­teľ­né.

EXO Hos­ting: Ser­ve­ry, na kto­rých beží zdie­ľa­ný web­hos­ting, pou­ží­va­jú ver­ziu OpenSSL, kto­rá neob­sa­ho­va­la Heartbleed bug, a pre­to ne­bol žia­den zá­sah pot­reb­ný. Pre vir­tuál­ne server­y bol vy­ko­na­ný pot­reb­ný up­da­te na sa­mot­ných fy­zic­kých server­ov, na kto­rých vir­tuál­ne server­y bež­ia. Rov­na­ko tak bol vy­ko­na­ný up­da­te na jed­not­li­vých vir­tuál­nych server­och.

Zdroj: Svet IT


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter