heartbleed

Heartbleed to luka w zabezpieczeniach w OpenSSL, która została odkryta przez fińską firmę Codenomicon i opublikowana 7 kwietnia 2014 r. OpenSSL jest szyfrowanie technologia używana do tworzenia bezpiecznych połączeń z serwisem WWW HTTPS, ustalić VPNi zaszyfruj kilka innych protokoły. Ponieważ OpenSSL jest używany przez około dwie trzecie serwery internetowe, luka ta jest uważana za jedną z najważniejszych luk w zabezpieczeniach odkrytych od początku istnienia sieci.

Jak działa Heartbleed?

Exploit Heartbleed wykorzystuje początkową komunikację między klient i serwer. Ten wstępny krok jest powszechnie nazywany „uzgadnianiem”, chociaż OpenSSL zapewnia odmianę zwaną „biciem serca”. Puls jest używany do ustanowienia bezpiecznego połączenia, ale dane przesyłane podczas bicia serca nie są bezpiecznie przesyłane.

Wysyłając fałszywe informacje do serwera, a haker może pobrać 64 kilobajt fragmenty danych z serwera Pamięć podręczna. Chociaż jest to niewielka ilość danych, wystarczy zawierać plik nazwa użytkownika, hasłolub inne informacje poufne. Wysyłając kilka żądań z rzędu, haker może potencjalnie przechwycić duże ilości prywatnych danych w pamięci podręcznej serwera.

Heartbleed pluskwa jest specyficzne dla OpenSSL 1.0.1 przez 1.0.1f i wersja 1.0.2-beta1. Nie ma to wpływu na inne wersje OpenSSL i inne typy implementacji TLS (zabezpieczenia warstwy transportowej). Po ujawnieniu błędu 7 kwietnia wiele serwerów WWW zostało natychmiast załatanych za pomocą wersji 1.0.1g. Jednak nie wiadomo, ile serwerów zostało dotkniętych i ile nadal korzysta z podatnej wersji OpenSSL.

Jak wpływa na mnie Heartbleed?

Jest mało prawdopodobne, że zarazisz się zarazą Heartbleed. Chociaż luka w zabezpieczeniach pozostawała niewykryta przez dwa lata, niewiele jest dowodów na to, że exploit był szeroko stosowany. Mimo to, aby być bezpiecznym, możesz się zabezpieczyć, aktualizując hasła do witryn internetowych loginy, konta e-mail i inne usługi online.