Heartbleed – niebezpieczna luka w zabezpieczeniu szyfrowania SSL

Zdrowy rozsądek internautów to podstawa przy unikaniu wszelkiego rodzaju wirtualnych zagrożeń. Odwiedzanie stron zawierających nieprzyzwoite treści (pornografia, przemoc) albo klikanie w podejrzane linki z interesującą treścią (prezentujące rzekome odnalezienie malezyjskiego Boeinga czy nadpłatę od ZUS itp.) w najlepszym wypadku może zakończyć się zainfekowaniem komputera groźnym wirusem. Gorzej, jeśli trafiliśmy na cyberprzestępców, którzy w ten sposób mogą zdobyć dostęp do naszych haseł e-mailowych, a nawet do konta bankowego. W ostatnich miesiącach nie ma praktycznie tygodnia bez informacji o coraz wymyślniejszych sposobach nabrania niczego nie podejrzewających internautów. Należy przede wszystkim mądrze korzystać z Internetu, a przy tym nie zapominać o najnowszych wersjach programów antywirusowych. Przyjrzyjmy się Heartbleed - luce w protokole SSL, o której jest ostatnio bardzo głośno.

Heartbleed - protokół bezpieczeństwa SSL zagrożony?

Sytuacja wygląda nieco inaczej w przypadku dostępu do płatności internetowych. Placówki bankowe oraz sklepy internetowe korzystają z protokołu bezpieczeństwa SSL. Jego obecność można rozpoznać po tym, że adres rozpoczyna się od 'https://', zaś po lewej stronie znajduje się kłódka oraz informacja o szyfrowanym połączeniu. Protokół bezpieczeństwa SSL został stworzony w 1994 roku przez firmę Netscape – ówczesnego lidera na rynku przeglądarek internetowych oraz systemów zabezpieczeń. O ile już po kilku latach producent musiał ustąpić Microsoftowi pierwsze miejsce na podium w sektorze przeglądarek, tak SSL utrzymało się do dziś, stanowiąc jeden z najważniejszych systemów zabezpieczeń odnoszących się do transakcji i zakupów w sieci.

Dotychczas system ten nie sprawiał problemów – od lat ceniony jest przez największe przedsiębiorstwa prowadzące działalność handlową w sieci. Wszystko zmieniło się w pierwszych dniach kwietnia bieżącego roku, kiedy to poinformowano o wykryciu niebezpiecznej luki w zabezpieczeniach protokołu SSL. Problem okazał się o tyle poważny, że luka umożliwia hakerom dostęp do dotychczas chronionych danych. Omawiane zagrożenie nosi nazwę "Heartbleed" i na dziś trudno wywnioskować, jakie skutki może pociągnąć za sobą. Medialny szum czy największy od wielu lat problem w zabezpieczeniach, jaki spotkał branżę IT? Przyjrzyjmy się temu bliżej.

Heartbleed – największa luka w zabezpieczeniach połączeń internetowych od lat

Heartbleed to nazwa błędu występującego w protokole bezpieczeństwa OpenSSL. Jest to narzędzie odpowiadające za szyfrowanie połączeń internetowych. Dziś korzysta z niego już ponad 2/3 serwerów na świecie, zaś użytkownicy codziennie wykorzystują ten rodzaj logowania przy wykonywaniu transakcji bankowych. Heartbleed omija dotychczasowe zabezpieczenia, przez co może wykraść ukryte informacje znajdujące się na zaszyfrowanych witrynach. Wygląda to w ten sposób, że w wyniku omawianego błędu w momencie połączenia z serwerem oprogramowanie użytkownika może (choć nie musi) mieć dostęp zarówno do udostępnionej pamięci, jak i obszaru znajdującego się poza nim. Dostęp do dodatkowej pamięci nie jest już zaszyfrowany, co może prowadzić do zagrożenia bezpieczeństwa naszych danych. W związku z powyższym pojawiły się obawy dotyczące stopnia ochrony pieniędzy na kontach internautów.

Jak podkreślają eksperci od zabezpieczeń, korzystanie z Heartbleed nie zostawia śladów, przez co trudniej jest wykryć poziom zagrożenia. Po raz kolejny należy przypomnieć o zdrowym rozsądku. Warto przynajmniej raz w tygodniu zmieniać hasło logowania oraz obserwować, czy na koncie nie pojawiły się podejrzane transakcje – warto dodatkowo zabezpieczyć transakcje potwierdzeniem SMS, aby szybciej zareagować w razie próby ataku na konto. Należy podkreślić, że w momencie wykrycia luki na początku kwietnia bieżącego roku większość instytucji i banków wyeliminowało zagrożenie już w ciągu jednego dnia. Szybko jednak wyszło na jaw, że Heartbleed pojawił się już dwa lata temu. Dlaczego informacja ta wyszła na światło dzienne dopiero teraz? Odpowiedź póki co nie została sprecyzowana.

Sprawdź czy Twój bank jest narażony na Heartbleed

Eksperci od OpenSSL również zareagowali natychmiastowo, dzięki czemu dostępna jest już nowa wersja oprogramowania, pozbawiona dotychczasowych luk w zabezpieczeniach. Osoby, które mają wątpliwości, czy ich placówka bankowa jest bezpieczna, mogą to sprawdzić, przechodząc na stronę Heartbleed test. Wpisując adres naszego banku – zaczynając od "https://", można sprawdzić, czy jesteśmy narażeni na omawianą lukę. Jeśli pojawi się komunikat w zielonej ramce o treści "All good, xxx seems fixed or unaffected!", to znak, że możemy wykonywać bezpieczne transakcje przez Internet. Mimo wszystko radzimy zachować szczególną ostrożność, rozważnie korzystać z zasobów sieciowych i pod żadnym pozorem nie pozostawiać na komputerze ważnych haseł.