Cyberbezpieczeństwo
Luka w OpenSSL pozwala przechwycić prywatny klucz sesji
Nazwa tej luki to Heartbleed (CVE-2014-0160). OpenSSL to bardzo popularna biblioteka służąca do zabezpieczenia komunikacji, w tym np. transmisji danych pomiędzy użytkownikiem a serwerem jego banku. Luka istnieje od dwóch lat.
OpenSSL to zestaw narzędzi Open Source służący do realizacji protokołów Secure Sockets Layer (SSL v2/v3) i Transport Layer Security (TLS v1), jak i ogólnego przeznaczenia biblioteka kryptograficzna. Jak się okazało, OpenSSL nieprawidłowo obsługuje pamięć w rozszerzeniu TLS, co prowadzi do ujawnienia na żądanie informacji m.in. dotyczących kluczy prywatnych.
Dzięki luce hakerzy są więc w stanie odczytać transmisję zabezpieczoną przez OpenSSL. Podczas testów ustalono, że wykraść można w zasadzie wszystko: hasła, dokumenty, maile. Po ataku nie pozostają zaś jakiekolwiek ślady. Zagrożone mają być setki tysięcy serwerów.
Nie wiadomo jak wiele osób w ciągu 2 lat dowiedziało się o luce i czy została już wykorzystana. Udostępniono już jednak do niej patch. Jak radzi jeden z członków Grupy IT Professionals in Poland, jeżeli serwery uzywaja Forward Secrecy to są odporne na taki atak.