SSL to internetowy protokół, który – najprościej rzecz ujmując – zapewnia poufność i bezpieczeństwo danych przesyłanych pomiędzy serwerami. Daje to (a raczej dawało) gwarancję, że dane, które przesyłamy za pośrednictwem internetowych formularzy nie trafią w niepowołane ręce, a nawet jeśli trafią, to taka osoba nie będzie mogła ich odszyfrować. Symbolem, który informuje nas, że dana strona zabezpieczona jest protokołem SSL/TLS, jest symbol kłódki umieszczony w pasku adresu przeglądarki.
Jednym z najpopularniejszych rozwiązań opartych na protokole SSL jest oprogramowanie OpenSSL, z którego korzysta obecnie aż 2/3 serwerów na całym świecie. Dotychczas nikt nie wątpił w to, że OpenSSL właściwie zabezpiecza dane przesyłane pomiędzy serwerami, a ich administratorzy polegali na nim „jak na Zawiszy”. Wszystko zmieniło się w poniedziałek, gdy świat IT obiegła informacja o poważnej luce w zabezpieczeniach OpenSSL.
Heartbleed wykrwawia internet
Heartbleed (ang. „krawiawienie z serca”), to krytyczny błąd, który umożliwia pozyskanie prywatnego klucza używanego do szyfrowania ruchu przez serwer korzystający z oprogramowania OpenSSL. Mówiąc prościej - wykorzystując ten błąd, cyberprzestępca może „podsłuchać” zaszyfrowaną komunikację pomiędzy serwerami i - co za tym idzie - uzyskać dostęp do danych, które są pomiędzy nimi przesyłane (takich jak choćby hasła do poczty e-mail czy numer karty kredytowej).
Co więcej, luka odkryta przez jednego ze specjalistą Google’a, istnieje już od dwóch lat. Oznacza to, że przez ostatnie 24 miesiące ponad 2/3 serwerów na świecie narażone było na ataki wykorzystujące Heartbleed, a prywatne dane użytkowników portali, skrzynek pocztowych czy też instytucji bankowych mogły trafić w niepowołane ręce. Zgodnie z informacjami serwisu „The Verge” ofiarą ataków z wykorzystaniem powyższego błędu mogli paść między innymi użytkownicy popularnego portalu Yahoo. Zagrożone miałyby być również mniejsze serwisy, takie jak Flickr, Imgur czy też LastPast.
„To trochę jak z łowieniem ryb – atakujący nie wiedzą, jakie przydatne informacje mogą zdobyć, ale ponieważ ataki są powtarzane wielokrotnie, to istnieje spore ryzyko, że uzyskają oni dostęp do ważnych danych” – podkreśla Russel Brandom z serwisu The Verge.
Wciąż nie wiadomo, w jakim stopniu, stopniu na ataki narażeni byli użytkownicy polskich stron internetowych. Eksperci z serwisu Niebezpiecznik za pomocą specjalnego narzędzia przetestowali, czy na ataki były podatne m.in. polskie instytucje bankowe. Testu nie zdał „tylko” jeden bank, ale jego nazwa nie została ujawniona.
Jak zabezpieczyć swoje dane?
Niestety internauta nie może zrobić wiele, aby ochronić swoje dane przed cyberatakiem. Za bezpieczeństwo transmisji danych przez OpenSSL odpowiadają administratorzy serwerów i to oni powinni jak najszybciej zainstalować aktualizację, która eliminuje błąd heartbleed.
Ponieważ informacja o istnieniu błędu pojawiła się w sieci w poniedziałek, możemy być pewni, że wielu cyberprzestępców (ale i domorosłych crackerów) stara się obecnie wykorzystać sytuację i przypuszcza ataki na serwery, z nadzieją że ich administratorzy nie zaktualizowali jeszcze oprogramowania.
W sieci pojawia się natomiast mnóstwo ostrzeżeń zachęcających zwykłych internautów do… niekorzystania z internetu. „Jeśli zależy ci na anonimowości i prywatności internetu, to powinieneś trzymać się z daleka od sieci przez najbliższe kilka dni, dopóki ta sprawa się nie wyjaśni” – czytamy na blogu niesławnej sieci Tor.
Być może takie podejście jest zbyt katastroficzne, ale nie zmienia to faktu, że mamy do czynienia z realnym zagrożeniem, którego lekceważyć nie można. Na wszelki wypadek warto więc zmienić hasła do najważniejszych serwisów, z których korzystamy. Nie zaszkodzi również pobieżna analiza ostatnich transakcji na naszej karcie kredytowej. Jeśli nie jesteśmy pewni czy serwer, z którego korzystamy, jest już bezpieczny, to warto skontaktować się z jego administratorem.
Przede wszystkim jednak w najbliższych dniach warto mieć „oczy szeroko otwarte” i zwracać szczególną uwagę na podejrzane wiadomości i linki otrzymywane za pośrednictwem poczty e-mail czy też mediów społecznościowych. Nie ma wątpliwości, że cyberprzestępcy będą kontynuować swoje „łowy”. Luka heartbleed jest dla nich niczym przedwczesny prezent świąteczny.