''Heartbleed bag'' čini OpenSSL ranjivim, milioni web sajtova podložni napadima

Vesti, 09.04.2014, 09:03 AM

Stručnjaci su otkrili Heartbleed bag, ranjivost u OpenSSL koja može biti iskorišćena za presretanje privatnih ključeva, korisničkih imena, lozinki i drugih poverljivih informacija, a informacije o tome su postale javno dostupne u ponedeljak kada je objavljena najnovija verzija OpenSSL.

Takvi napadi ne ostavljaju fizičke tragove u logovima, tako da je nemoguće reći da li je Heartbleed bag ikada iskorišćen s obzirom da je prisutan već dve godine.

Stručnjaci savetuju administratorima da isprave ovaj propust u OpenSLL koji koriste milioni web sajtova za šifrovanje poverljivih komunikacija.

Heartbleed je prisutan u nekoliko verzija OpenSSL, open-source kriptografskoj biblioteci koja omogućava SSL (Secure Socket Layer) ili TLS (Transport Security Layer) enkripciju. Većina sajtova koristi ili SSL ili TLS, što je korisnicima u browserima predstavljeno oznakom katanca.

Propust koji je prisutan od decembra 2011., ispravljen je u OpenSSL 1.0.1g koji je objavljen ponedeljak.

Propust omogućava napadačima da nadziru sve informacije koje se prenose između korisnika i web servisa pa čak i dešifrovanje proteklog, prikupljenog saobraćaja.

On omogućava napadačima da prisluškuju komunikacije, kradu podatke direktno od servisa i korisnika i da oponašaju servise i korisnike, kažu istraživači iz kompanije Codenomicon koji su zajedno sa Nil Metom iz Googlea otkrili bag.

Problem je veliki i zbog toga što mnogi moderni operativni sistemi verovatno imaju ranjivu verziju OpenSSL.

Operativni sistemi koji mogu imati ranjivu verziju OpenSSL uključuju Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 i OpenSUSE 12.2.

OpenSSL imaju i dva najkorišćenija open-source web servera, Apache i nginx.

Osim toga OpenSSL se koristi za zaštitu email servera (SMTP, POP i IMAP protokoli), chat servera (XMPP protokol), VPN i mrežnih uređaja.

Mnogi proizvođači su požurili da isprave svoje instalacije, ali u međuvremenu, stručnjaci za bezbednost pokušavaju da otkriju koji servisi su i dalje ranjivi.

Tako je Filipo Valsorda razvio jednostavan online program koji omogućava korisnicima da provere da li je određeni server ranjiv na Heartbleed napade. Korisnici samo treba da unesu hostname servera da bi dobili odgovor da li servis koristi ranjivu verziju OpenSSL.

Mustafa Al-Basam, bivši član nekadašnje neformalne hakerske grupe LulzSec, sasatvio je listu ranjivih sajtova među Alexa top 1000 sajtovima.

Od 1000 sajtova, 512 nemaju SSL, 440 nisu ranjivi, dok 48 jesu. Na listi ranjivih sajtova su Yahoo, Imgur, Stackoverflow, Kickass Torrents, Flickr, Web.de, OKCupid, XDA Developers, Scoop.it, DuckDuckGo, Eventbrite, WeTransfer i brojni pornografski sajtovi.

Samo 5 sajtova sa top 100 Alexa su ranjivi i to su Yahoo, Imgur, Stackoverflow, Kickass.to i Flickr.

Proizvođači operativnih sistema i distributeri, proizvođači uređaja, proizvođači softvera moraju da implementiraju ispravku za bag i da obaveste svoje korisnike, kažu istraživači koji su otkrrili bag.

Sledeći korak za vlasnike servisa je da osim ispravljanja propusta, povuku kompromitovane ključeve i izdaju nove ključeve. Čak i ako to urade sav saobraćaj koji su napadači možda presretali nekada, ostaje ranjiv i moguće ga je dešifrovati.

Pošto vlasnici servisa preduzmu ove korake, tek onda korisnici mogu započeti promenu lozinki i enkripcionih ključeva po uputstvima vlasnika servisa koji su kompromitovani. Sve ključeve sesija i sve kolačiće trebalo bi smatrati kompromitovanim.

Poslednja verzija OpenSSL je dostupna za preuzimanje na sajtu OpenSSL projekta.

Više detalja o ovome možete naći na namenskom sajtu Heartbleed.com koji su pokrenuli istraživači koji su otkrili Heartbleed bag.