"Heartbleed", czyli "krwawienie z serca" - to termin, który od wczoraj spędza sen z powiek informatykom na całym świecie. Eksperci Google nazwali tak poważny błąd, który wykryli w systemie zabezpieczeń stron internetowych. W związku z nagłośnieniem usterki zagrożenie atakiem hakerów jest bardzo wysokie - ostrzegają eksperci.
Problem istnieje od dwóch lat, jednak wiadomo o nim od niedawna. Chodzi o dziurę w OpenSSL, czyli oparte na protokole SLL narzędzie służące do szyfrowania połączeń z serwera. Korzysta z niego 2/3 serwerów na świecie. Użytkownicy internetu mają z nim do czynienia niemal codziennie przeprowadzając transakcje bankowe, czy przesyłając hasło do poczty e-mail. O tym, że transakcja jest teoretycznie bezpieczna, informuje ikonka - mała kłódka, która pojawia się w lewym górnym rogu ekranu. Teoretycznie transmisja danych na takiej stronie powinna być bezpieczna.
Duże zagrożenie
Jak się jednak okazało, od dwóch lat OpenSSL był podatny na ataki cyberprzestępców. Błąd, który amerykańscy informatycy nazwali "krwawieniem z serca", sprawiał, że powstała luka w szyfrach tego systemu. Dzięki niej cyberprzestępcy z łatwością mogą odczytać zabezpieczoną transmisję danych i bez większego wysiłku uzyskać dostęp nie tylko do haseł internautów, ale i wszystkich plików zapisanych na dysku.
Co gorsza wykorzystanie luki przez hakerów nie pozostawia śladu. Osoby i instytucje, które korzystały z oprogramowania OpenSSL nie były świadome, że mogły ujawniać ważne dane. Problem dotyczy większości użytkowników sieci, bo zdaniem amerykańskich ekspertów z OpenSSL korzysta około 2/3 stron internetowych. Nie wiadomo jednak, czy o błędzie systemu wiedzieli hakerzy i czy go wykorzystywali.
- Sytuacja jest tragiczna, nie przypominam sobie tak rozległego i strasznego błędu - powiedział na antenie TVN24 Biznes i Świat Piotr Konieczny, szef zespołu bezpieczeństwa portalu niebezpiecznik.pl.
- Zawinił człowiek, tu mamy do czynienia z błędem programistycznym. Na jego skutek możemy odczytywać fragmenty pamięci, co do których zazwyczaj nie powinno być dostępu - dodał Konieczny.
Kto jest zagrożony?
Ujawnienie przez ekspertów Google luki Heartbleed wywołało wrzenie w globalnej sieci. Internetowe firmy, które miały problem ruszyły do łatania dziury. Inne zapewniają, że ich systemy były szczelne.
Google wprowadziło już poprawki w swoich podstawowych usługach takich jak Google Search, Gmail, YouTube, Wallet i Play. Google Chrome nie było "dziurawe".
"Regularnie i aktywnie szukamy luk i zachęcamy innych do ich zgłaszania, tak abyśmy mogli naprawić błędy oprogramowania" - napisał Matthew O'Connor z Google na oficjalnym blogu firmy.
To, czy nasze strony zostały dotknięte "krwawieniem z serca" i czy nasze hasła są bezpieczne, możemy sprawdzić korzystając z menedżera haseł LastPass. Za jego pomocą zweryfikujemy, czy certyfikat danej strony został zaktualizowany. Znajdziemy tam także link do witryny, na której możemy zmienić hasło do strony.
A co z polskimi firmami? - Jeżeli chodzi o strony internetowe banków, mogę zapewnić, że zdecydowana większość, jeśli nie wszystkie banki w Polsce, które mają wersję OpenSSL, już tę dziurę zamknęła - powiedział na antenie TVN24 Biznes i Świat Damian Kowalczyk z Laboratorium Informatyki Śledczej Mediarecovery.
Dodał też, że użytkownicy internetu nie mają sposobu, aby bezpośrednio wpłynąć na rozwiązanie problemu. - Ono leży po stronie administratorów serwerów stron internetowych. My tylko możemy sprawdzić, czy strona jest wyposażona w najnowszą wersję oprogramowania - podkreślił.
Amerykański serwis Mashable stworzył listę popularnych stron i serwisów, na której można sprawdzić, które z nich były "dziurawe". Można na niej też sprawdzić, które hasła powinniśmy zmienić.
Autor: ToL/Klim//bgr / Źródło: tvn24bis.pl, TVN24 BiS
Źródło zdjęcia głównego: Shutterstock