Opis
Programska knjižnica OpenSSL vsebuje resno varnostno pomanjkljivost pri implementaciji razširitve heartbeat protokola TLS in DTLS. S posebej prirejenim zahtevkom lahko napadalec prebere 64kB podatkov iz delov pomnilniškega prostora strežnika, kjer se lahko nahajajo zelo občutljivi podatki, kot so avtentikacijski podatki o uporabnikih – gesla, sejni piškotki, in tudi zasebni ključ strežnika. Napad ne pušča sledi v dnevniških datotekah, zato po trenutno znanih podatkih ne vemo, ali se je ranljivost izkoriščala v napadih že pred 7.4.2014, ko je bila ranljivost javno objavljena.
Ranljive verzije
OpenSSL verzije 1.0.1 do vključno 1.0.1f.
Verzije, ki niso ranljive:
- OpenSSL 1.0.1g,
- OpenSSL 1.0.0 (celotna veja),
- OpenSSL 0.9.8 (celotna veja).
Ranljivi so tako strežniki, kot tudi klienti, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.
Ali je vaš spletni strežnik ranljiv, lahko preverite na spletni strani https://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.
Rešitev
Administratorji
Administratorjem strežnikov, ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).
Administratorjem OpenVPN strežnikov svetujemo namestitev posodobljene verzije strežnika ter zamenjavo ključev na strežniku in odjemalcih (več informacij na https://community.openvpn.net/openvpn/wiki/heartbleed).
Skrbnikom drugih strežnikov in naprav, ki uporabljajo SSL/TLS protokol in morda uporabljajo ranljivo OpenSSL knjižnico, svetujemo, da se obrnejo neposredno na proizvajalca in informacije, objavljene na njihovih spletnih straneh.
Uporabniki storitev
Na spletni strani http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ se nahaja seznam spletnih strani, za katere priporočamo zamenjavo gesla. Gesla za ostale storitve zamenjajte, ko vas o tem pozove ponudnik storitve. Če niste prepričani, ali morate zamenjati geslo, kontaktirajte ponudnika storitve.
Ponudniki storitev
Ponudnike storitev pozivamo, da uporabnike obvestijo, ali je bila njihova storitev ranljiva, ter jih po odpravi ranljivosti (posodobitvi sistema in zamenjavi šifrirnih ključev) pozovejo k zamenjavi avtentikacijskih podatkov (gesla ipd.).
Odgovori na pogosta vprašanja
- Ali je Heartbleed virus?
Ne, ne gre za virus, ki bi okuževal uporabniške računalnike, ampak za programsko pomanjkljivost v knjižnici OpenSSL, ki jo uporabljajo spletni in poštni strežniki za šifriranje komunikacije z uporabnikom. OpenSSL se uporablja tudi za druge šifrirane povezave. - Koliko računalnikov v Sloveniji je ranljivih?
Natančnih podatkov ta trenutek na SI-CERT še nimamo, ocene se gibljejo med 10 % in 20 %, zato so verjetno ocene o tem, da je ogroženih 2/3 spleta, pretirane (vsaj, dokler ne bodo na voljo dovolj zanesljivi podatki, ki bi tako trditev podprli). - Baje so med ranljivimi tudi slovenske banke!
Sklep o ranljivosti e-bančne storitve, ki ste ga morda videli na spletu, je bil kot kaže izpeljan na podlagi testa, ki ni popolnima zanesljiv. Zaenkrat nimamo podatkov o tem, da bi bili ogroženi komitenti kakšne banke, ki opravlja storitve v Sloveniji. - Ali moram zamenjati vsa gesla?
Najprej se pozanimajte pri svojem ponudniku, ali so njegove storitve bile ranljive. Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi.
Povezave
- http://heartbleed.com/,
- https://www.openssl.org/news/secadv_20140407.txt,
- https://sslanalyzer.comodoca.com – obširnejše preverjanje SSL/TLS povezav na spletnih strežnikih,
- http://filippo.io/Heartbleed/ – enostavnejše in ne povsem zanesljivo preverjanje SSL/TLS povezav,
- http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html.
Zadnja posodobitev 11.4.2014