Hlavní navigace

Heartbleed Bug: jak se k chybě v OpenSSL staví české i světové firmy

 Autor: Codenomicon, podle licence: Public domain
David Slížek 10. 4. 2014

Chyba v zabezpečení serverů zasáhla služby i těch největších provozovatelů internetových služeb. Je potřeba měnit si hesla u všech webových aplikací, které používáte?

Internetem obchází strašidlo zřejmě největší současné bezpečnostní díry – Heartbleed Bug. Chyba v knihovně OpenSSL, kterou podle některých odhadů využívají až dvě třetiny webových serverů a další služby, teoreticky umožňuje odposlechnutí zašifrovaných údajů – včetně například privátních klíčů.

Problém, který byl v kódu OpenSSL přítomný dva roky, než jej někdo veřejně odhalil, přitom zasáhl i služby velkých hráčů jako je Google nebo Amazon. Důkazy o tom, že by chybu někdo skutečně zneužil, zatím nejsou. Případný útočník by při jejím využití ale zřejmě nezanechal žádné stopy.

Uživatelé se proti Heartbleed Bugu v podstatě nemohou bránit, prevence nebo případná oprava je čistě na provozovatelích služeb. Na internetu se sice objevily nástroje, které umožňují přítomnost chyby na serveru ověřit (například zde nebo zde), ty vás ale pouze mohou upozornit na to, že některý provozovatel webu ještě chybu neopravil. Výsledek testu několika tisíc služeb (včetně řady českých) najdete na tomto seznamu na Githubu, informace o jednotlivých firmách nabízí i oficiální seznam amerického vládního CERTu.

Vzhledem k dlouhé době, po kterou byla chyba v OpenSSL obsažena, může být docela rozumné změnit si hesla na klíčových službách, které používáte. Ostatně – pokud to s bezpečností na internetu myslíte vážně, stejně byste to jednou za čas měli udělat.

Jak jsou na tom velké služby v Česku i v cizině?

(seznam průběžně aktualizujeme)

Český portál Seznam.cz OpenSSL na svých službách používá a po zveřejnění chyby provedl patřičné opravy. „Některé služby obsahovaly zranitelnou verzi, proto jsme okamžitě po oznámení chyby nasadili opravu. Nyní necháváme přegenerovat všechny SSL certifikáty postižených služeb u certifikační autority. Abychom měli jistotu, že data našich uživatelů jsou v bezpečí, doporučíme jim po přihlášení do své schránky změnu hesla. Cookies jsou u nás vícenásobně kontrolovány, takže riziko jejich zneužití je minimální,“ řekl Lupě bezpečnostní administrátor Seznamu Štefan Šafár.

Portál Centrum.cz podle ředitele IT vydavatelství Economia Štěpána Burdy chybou ovlivněný nebyl: „Tam, kde jsme používali OpenSSL, to bylo ve verzích, kde chyba nebyla. A hlavně u nás provádíme na HW boxech SSL proxy/offloading, a ty k chybě v OpenSSL náchylné nejsou,“ říká.

České ministerstvo financí podle Terezy Peprníkové z tiskového odboru nebylo chybou v OpenSSL vůbec zasaženo: „O problému v OpenSSL jsme byli na Ministerstvu financí s časovým předstihem informováni. Identifikovaná chyba se webových aplikací ministerstva nedotkla, jelikož jsme zranitelnou verzi nepoužívali a nepoužíváme.“

Google oznámil, že Chrome a Chrome OS nebyly chybou dotčeny. U dalších služeb, které OpenSSL využívaly (vyhledávání, Gmail, YouTube, Wallet, Play, Apps a App Engine), firma aplikovala příslušné opravy. Všechny novější verze mobilního operačního systému Android jsou podle Googlu vůči problému imunní, výjimkou je Android 4.1.1, ke kterému Google vydal patch a rozeslal jej jednotlivým výrobcům smartphonů.

Facebook kolem Heartbleed Bugu trochu mlží. Firma v oficiálním vyjádření (např. na Mashable.com) potvrdila, že na svých službách nainstalovala ochranná opatření „…ještě než byla tato chyba veřejně odhalena.“ Problém ale v kódu existoval dva roky, takže je bezpečnější předpokládat, že i Facebook mohl být zranitelný. I mluvčí nakonec doporučuje, aby uživatelé na Facebooku používali jiné heslo než na dalších službách. 

Twitter nebyl chybou postižen, oznámila firma v krátkém sdělení na blogu. Bug se podle něj nedotkl ani twitter.com, ani api.twitter.com.

Mikroblogovací služba Tumblr přiznala, že její služba chybu obsahovala a vydala doporučení, aby si uživatelé pro jistotu změnili svá hesla – nejen na Tumblru, ale pokud možno na všech službách, které používají.

Amazon vydal prohlášení týkající se jeho cloudových služeb Amazon Web Services. Podrobně v něm vyjmenovává komponenty a služby, které byly zranitelné, a opatření, která přijal. Přihlašování do e-shopu na Amazon.com se chyba údajně nedotkla.

Microsoft oznámil, že jeho služby (přihlašování k Microsoft Acount ani Microsoft Azure) OpenSSL nepoužívají, takže se jich chyba nedotkla. Windows mají vlastní kryptovací komponentu Secure Channel, vysvětluje firma na blogu.

Chybu neobsahují ani servery IBM, píše firma na svém webu. Její servery IBM HTTP Server ani IBM WebSphere Application Server totiž nepoužívají OpenSSL.

Platební systém Paypal oznámil, že jeho uživatelé nemusí měnit hesla, protože jejich údaje nebyly chybě vystaveny. Zajímavé je, že v oficiálním vyjádření přímo nepíše, že by OpenSSL vůbec nevyužíval, uvádí jen, že „údaje, zadávané při přihlášení k PayPalu jménem a heslem, nebyly vystaveny chybě v OpenSSL“.

KL_HLASOVANI

Anonymizační služba Tor vydala vyjádření, ve kterém detailně popisuje, které její součásti využívají OpenSSL a mohly být chybou ovlivněny.

Knihovny OpenSSL používají také bitcoinové peněženky. Některé bitcoinové burzy (například Bitstamp) po oznámení chyby oznámily dočasné zmražení většiny operací, než provedly update svých systémů. Opravy se dočkal také oficiální klient Bitcoin Core, jehož verze 0.9.1 je podle vývojářů vůči chybě imunní. „Vytvořte si zcela novou peněženku a pošlete do ní všechny peníze. Starou peněženku nemažte,“ radí. Podrobněji na serveru Root.cz.

Našli jste v článku chybu?
Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: V říjnu se rozšíří režim reverse-charge

V říjnu se rozšíří režim reverse-charge

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

120na80.cz: Na různou rýmu různá homeopatie

Na různou rýmu různá homeopatie

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu