Hlavní navigace

Heartbleed Bug: jak se k chybě v OpenSSL staví české i světové firmy

10. 4. 2014
Doba čtení: 4 minuty

Sdílet

 Autor: Codenomicon, podle licence: Public domain
Chyba v zabezpečení serverů zasáhla služby i těch největších provozovatelů internetových služeb. Je potřeba měnit si hesla u všech webových aplikací, které používáte?

Internetem obchází strašidlo zřejmě největší současné bezpečnostní díry – Heartbleed Bug. Chyba v knihovně OpenSSL, kterou podle některých odhadů využívají až dvě třetiny webových serverů a další služby, teoreticky umožňuje odposlechnutí zašifrovaných údajů – včetně například privátních klíčů.

Problém, který byl v kódu OpenSSL přítomný dva roky, než jej někdo veřejně odhalil, přitom zasáhl i služby velkých hráčů jako je Google nebo Amazon. Důkazy o tom, že by chybu někdo skutečně zneužil, zatím nejsou. Případný útočník by při jejím využití ale zřejmě nezanechal žádné stopy.

Uživatelé se proti Heartbleed Bugu v podstatě nemohou bránit, prevence nebo případná oprava je čistě na provozovatelích služeb. Na internetu se sice objevily nástroje, které umožňují přítomnost chyby na serveru ověřit (například zde nebo zde), ty vás ale pouze mohou upozornit na to, že některý provozovatel webu ještě chybu neopravil. Výsledek testu několika tisíc služeb (včetně řady českých) najdete na tomto seznamu na Githubu, informace o jednotlivých firmách nabízí i oficiální seznam amerického vládního CERTu.

Vzhledem k dlouhé době, po kterou byla chyba v OpenSSL obsažena, může být docela rozumné změnit si hesla na klíčových službách, které používáte. Ostatně – pokud to s bezpečností na internetu myslíte vážně, stejně byste to jednou za čas měli udělat.

Jak jsou na tom velké služby v Česku i v cizině?

(seznam průběžně aktualizujeme)

Český portál Seznam.cz OpenSSL na svých službách používá a po zveřejnění chyby provedl patřičné opravy. „Některé služby obsahovaly zranitelnou verzi, proto jsme okamžitě po oznámení chyby nasadili opravu. Nyní necháváme přegenerovat všechny SSL certifikáty postižených služeb u certifikační autority. Abychom měli jistotu, že data našich uživatelů jsou v bezpečí, doporučíme jim po přihlášení do své schránky změnu hesla. Cookies jsou u nás vícenásobně kontrolovány, takže riziko jejich zneužití je minimální,“ řekl Lupě bezpečnostní administrátor Seznamu Štefan Šafár.

Portál Centrum.cz podle ředitele IT vydavatelství Economia Štěpána Burdy chybou ovlivněný nebyl: „Tam, kde jsme používali OpenSSL, to bylo ve verzích, kde chyba nebyla. A hlavně u nás provádíme na HW boxech SSL proxy/offloading, a ty k chybě v OpenSSL náchylné nejsou,“ říká.

České ministerstvo financí podle Terezy Peprníkové z tiskového odboru nebylo chybou v OpenSSL vůbec zasaženo: „O problému v OpenSSL jsme byli na Ministerstvu financí s časovým předstihem informováni. Identifikovaná chyba se webových aplikací ministerstva nedotkla, jelikož jsme zranitelnou verzi nepoužívali a nepoužíváme.“

Google oznámil, že Chrome a Chrome OS nebyly chybou dotčeny. U dalších služeb, které OpenSSL využívaly (vyhledávání, Gmail, YouTube, Wallet, Play, Apps a App Engine), firma aplikovala příslušné opravy. Všechny novější verze mobilního operačního systému Android jsou podle Googlu vůči problému imunní, výjimkou je Android 4.1.1, ke kterému Google vydal patch a rozeslal jej jednotlivým výrobcům smartphonů.

Facebook kolem Heartbleed Bugu trochu mlží. Firma v oficiálním vyjádření (např. na Mashable.com) potvrdila, že na svých službách nainstalovala ochranná opatření „…ještě než byla tato chyba veřejně odhalena.“ Problém ale v kódu existoval dva roky, takže je bezpečnější předpokládat, že i Facebook mohl být zranitelný. I mluvčí nakonec doporučuje, aby uživatelé na Facebooku používali jiné heslo než na dalších službách. 

Twitter nebyl chybou postižen, oznámila firma v krátkém sdělení na blogu. Bug se podle něj nedotkl ani twitter.com, ani api.twitter.com.

Mikroblogovací služba Tumblr přiznala, že její služba chybu obsahovala a vydala doporučení, aby si uživatelé pro jistotu změnili svá hesla – nejen na Tumblru, ale pokud možno na všech službách, které používají.

Amazon vydal prohlášení týkající se jeho cloudových služeb Amazon Web Services. Podrobně v něm vyjmenovává komponenty a služby, které byly zranitelné, a opatření, která přijal. Přihlašování do e-shopu na Amazon.com se chyba údajně nedotkla.

Microsoft oznámil, že jeho služby (přihlašování k Microsoft Acount ani Microsoft Azure) OpenSSL nepoužívají, takže se jich chyba nedotkla. Windows mají vlastní kryptovací komponentu Secure Channel, vysvětluje firma na blogu.

Chybu neobsahují ani servery IBM, píše firma na svém webu. Její servery IBM HTTP Server ani IBM WebSphere Application Server totiž nepoužívají OpenSSL.

Platební systém Paypal oznámil, že jeho uživatelé nemusí měnit hesla, protože jejich údaje nebyly chybě vystaveny. Zajímavé je, že v oficiálním vyjádření přímo nepíše, že by OpenSSL vůbec nevyužíval, uvádí jen, že „údaje, zadávané při přihlášení k PayPalu jménem a heslem, nebyly vystaveny chybě v OpenSSL“.

BRAND24

Anonymizační služba Tor vydala vyjádření, ve kterém detailně popisuje, které její součásti využívají OpenSSL a mohly být chybou ovlivněny.

Knihovny OpenSSL používají také bitcoinové peněženky. Některé bitcoinové burzy (například Bitstamp) po oznámení chyby oznámily dočasné zmražení většiny operací, než provedly update svých systémů. Opravy se dočkal také oficiální klient Bitcoin Core, jehož verze 0.9.1 je podle vývojářů vůči chybě imunní. „Vytvořte si zcela novou peněženku a pošlete do ní všechny peníze. Starou peněženku nemažte,“ radí. Podrobněji na serveru Root.cz.

Byl pro vás článek přínosný?

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).