Wielka dziura w zabezpieczeniach! Strony narażone na ataki. Sprawdź czy nie lepiej zmienić hasło

Chodzi o dziurę w OpenSSL, czyli oparte na protokole SLL narzędzie służące do szyfrowania połączeń z serwera. Korzysta z niego 2/3 serwerów na świecie. Użytkownicy internetu mają z nim do czynienia niemal codziennie przeprowadzając transakcje bankowe, czy przesyłając hasło do poczty e-mail. O tym, że transakcja jest teoretycznie bezpieczna, informuje ikonka - mała kłódka, która pojawia się w lewym górnym rogu ekranu. Teoretycznie transmisja danych na takiej stronie powinna być bezpieczna.

Błąd został odkryty niezależnie od siebie przez specjalistów z fińskiej firmy Codenomicon oraz pracowników Google. Pojawił się on we wprowadzonej w roku 2011 implementacji rozszerzenia protokołów TLS/DTLS o nazwie RFC6520 hearbeat (stąd potoczna nazwa błędu). Luka potencjalnie pozwala każdemu doprowadzić do wycieku pamięci RAM hostów, które stosują podatną wersję OpenSSL. W partii o wielkości 64 kB nie będzie zbyt dużo informacji, ale procedurę można powtarzać bez ograniczeń, co może potencjalnie doprowadzić do przejęcia haseł, loginów czy nawet kluczy prywatnych z takich serwerów.

Niestety luka została zauważona dopiero po dwóch latach. Nie wiadomo czy w tym czasie ktoś, kto nie był zainteresowany ujawnieniem informacji o niej (cyberprzestępcy, agencje rządowe), nie korzystał z niej. Dlatego obecnie jedynym pewnym sposobem ponownego pełnego zabezpieczenia wszystkich połączeń SSL/TLS jest aktualizacja OpenSSL do wersji 1.0.1g oraz wygenerowanie nowych certyfikatów.