Hlavní navigace

Heartbleed Bug: jak se k chybě v OpenSSL staví české i světové firmy

 Autor: Codenomicon, podle licence: Public domain
David Slížek 10. 4. 2014

Chyba v zabezpečení serverů zasáhla služby i těch největších provozovatelů internetových služeb. Je potřeba měnit si hesla u všech webových aplikací, které používáte?

Internetem obchází strašidlo zřejmě největší současné bezpečnostní díry – Heartbleed Bug. Chyba v knihovně OpenSSL, kterou podle některých odhadů využívají až dvě třetiny webových serverů a další služby, teoreticky umožňuje odposlechnutí zašifrovaných údajů – včetně například privátních klíčů.

Problém, který byl v kódu OpenSSL přítomný dva roky, než jej někdo veřejně odhalil, přitom zasáhl i služby velkých hráčů jako je Google nebo Amazon. Důkazy o tom, že by chybu někdo skutečně zneužil, zatím nejsou. Případný útočník by při jejím využití ale zřejmě nezanechal žádné stopy.

Uživatelé se proti Heartbleed Bugu v podstatě nemohou bránit, prevence nebo případná oprava je čistě na provozovatelích služeb. Na internetu se sice objevily nástroje, které umožňují přítomnost chyby na serveru ověřit (například zde nebo zde), ty vás ale pouze mohou upozornit na to, že některý provozovatel webu ještě chybu neopravil. Výsledek testu několika tisíc služeb (včetně řady českých) najdete na tomto seznamu na Githubu, informace o jednotlivých firmách nabízí i oficiální seznam amerického vládního CERTu.

Vzhledem k dlouhé době, po kterou byla chyba v OpenSSL obsažena, může být docela rozumné změnit si hesla na klíčových službách, které používáte. Ostatně – pokud to s bezpečností na internetu myslíte vážně, stejně byste to jednou za čas měli udělat.

Jak jsou na tom velké služby v Česku i v cizině?

(seznam průběžně aktualizujeme)

Český portál Seznam.cz OpenSSL na svých službách používá a po zveřejnění chyby provedl patřičné opravy. „Některé služby obsahovaly zranitelnou verzi, proto jsme okamžitě po oznámení chyby nasadili opravu. Nyní necháváme přegenerovat všechny SSL certifikáty postižených služeb u certifikační autority. Abychom měli jistotu, že data našich uživatelů jsou v bezpečí, doporučíme jim po přihlášení do své schránky změnu hesla. Cookies jsou u nás vícenásobně kontrolovány, takže riziko jejich zneužití je minimální,“ řekl Lupě bezpečnostní administrátor Seznamu Štefan Šafár.

Portál Centrum.cz podle ředitele IT vydavatelství Economia Štěpána Burdy chybou ovlivněný nebyl: „Tam, kde jsme používali OpenSSL, to bylo ve verzích, kde chyba nebyla. A hlavně u nás provádíme na HW boxech SSL proxy/offloading, a ty k chybě v OpenSSL náchylné nejsou,“ říká.

České ministerstvo financí podle Terezy Peprníkové z tiskového odboru nebylo chybou v OpenSSL vůbec zasaženo: „O problému v OpenSSL jsme byli na Ministerstvu financí s časovým předstihem informováni. Identifikovaná chyba se webových aplikací ministerstva nedotkla, jelikož jsme zranitelnou verzi nepoužívali a nepoužíváme.“

Google oznámil, že Chrome a Chrome OS nebyly chybou dotčeny. U dalších služeb, které OpenSSL využívaly (vyhledávání, Gmail, YouTube, Wallet, Play, Apps a App Engine), firma aplikovala příslušné opravy. Všechny novější verze mobilního operačního systému Android jsou podle Googlu vůči problému imunní, výjimkou je Android 4.1.1, ke kterému Google vydal patch a rozeslal jej jednotlivým výrobcům smartphonů.

Facebook kolem Heartbleed Bugu trochu mlží. Firma v oficiálním vyjádření (např. na Mashable.com) potvrdila, že na svých službách nainstalovala ochranná opatření „…ještě než byla tato chyba veřejně odhalena.“ Problém ale v kódu existoval dva roky, takže je bezpečnější předpokládat, že i Facebook mohl být zranitelný. I mluvčí nakonec doporučuje, aby uživatelé na Facebooku používali jiné heslo než na dalších službách. 

Twitter nebyl chybou postižen, oznámila firma v krátkém sdělení na blogu. Bug se podle něj nedotkl ani twitter.com, ani api.twitter.com.

Mikroblogovací služba Tumblr přiznala, že její služba chybu obsahovala a vydala doporučení, aby si uživatelé pro jistotu změnili svá hesla – nejen na Tumblru, ale pokud možno na všech službách, které používají.

Amazon vydal prohlášení týkající se jeho cloudových služeb Amazon Web Services. Podrobně v něm vyjmenovává komponenty a služby, které byly zranitelné, a opatření, která přijal. Přihlašování do e-shopu na Amazon.com se chyba údajně nedotkla.

Microsoft oznámil, že jeho služby (přihlašování k Microsoft Acount ani Microsoft Azure) OpenSSL nepoužívají, takže se jich chyba nedotkla. Windows mají vlastní kryptovací komponentu Secure Channel, vysvětluje firma na blogu.

Chybu neobsahují ani servery IBM, píše firma na svém webu. Její servery IBM HTTP Server ani IBM WebSphere Application Server totiž nepoužívají OpenSSL.

Platební systém Paypal oznámil, že jeho uživatelé nemusí měnit hesla, protože jejich údaje nebyly chybě vystaveny. Zajímavé je, že v oficiálním vyjádření přímo nepíše, že by OpenSSL vůbec nevyužíval, uvádí jen, že „údaje, zadávané při přihlášení k PayPalu jménem a heslem, nebyly vystaveny chybě v OpenSSL“.

Anonymizační služba Tor vydala vyjádření, ve kterém detailně popisuje, které její součásti využívají OpenSSL a mohly být chybou ovlivněny.

Knihovny OpenSSL používají také bitcoinové peněženky. Některé bitcoinové burzy (například Bitstamp) po oznámení chyby oznámily dočasné zmražení většiny operací, než provedly update svých systémů. Opravy se dočkal také oficiální klient Bitcoin Core, jehož verze 0.9.1 je podle vývojářů vůči chybě imunní. „Vytvořte si zcela novou peněženku a pošlete do ní všechny peníze. Starou peněženku nemažte,“ radí. Podrobněji na serveru Root.cz.

Našli jste v článku chybu?

10. 4. 2014 18:24

Netrápí je proto, protože zranitelnost je dána kódem na serveru, nikoli obsahem hlavičky, kterou server vrací. A kód zpracovávající SSL je na klient1 až klient4.rb.cz v pořádku.

Je možné, že hlavička vracená serverem je vymyšlená a server je něco úplně jiného. Je možné, že před serverem je nějaká brána, na které je SSL zakončeno. Je možné, že mají na serveru OpenSSL 1.0.1e s patchem. Je možné, že mají na serveru OpenSSL 1.0.1e s vypnutým heartbeats. Vzhledem k tomu, že servery mají čerstvé cert…

10. 4. 2014 19:00

Michal (neregistrovaný)

Když jsem se o téhle chybě dočetl na BBC, tak jsem šel na Lupu, kde jsem čekal nějaký detailnější rozbor, ale nenašel jsem nic. Postupně se objevil předchozí i tenhle článek. Oba mě ale dost zklamaly, protože takovýhle článek bych čekal spíše na IDNES, než na Lupě.

Technických detailů je pomálu, vlastně jen "Chyba v knihovně OpenSSL, ..., teoreticky umožňuje odposlechnutí zašifrovaných údajů – včetně například privátních klíčů." a v předchozím článku "Chyba umožňuje útočníkům bez omezení číst ú…

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá