Nie umilkły jeszcze echa Heartbleed - największej luki w zabezpieczeniach sieciowych w ostatnich latach - tymczasem na horyzoncie pojawiło się kolejne zagrożenie związane z bibliotekami Open SSL, które odpowiadają za nasze bezpieczeństwo w sieci. Czym jest tzw. handshake bug i co oznacza dla internautów na całym świecie?

Na początku kwietnia internet obiegła informacja o poważnym błędzie w zabezpieczeniach bibliotek Open SSL, z których korzysta obecnie ponad 2/3 serwerów na świecie. Wykorzystując lukę Heartbleed (ang. krwawienie z serca), cyberprzestępca mógł „podsłuchać” komunikację między serwerami i – co za tym idzie – uzyskać dostęp do danych, które są między nimi przesyłane (np. naszych haseł czy też numerów kont bankowych)

SSL to internetowy protokół, który – najprościej rzecz ujmując – zapewnia poufność i bezpieczeństwo danych przesyłanych pomiędzy serwerami. Daje to (a raczej dawało) gwarancję, że dane, które przesyłamy za pośrednictwem internetowych formularzy, nie trafią w niepowołane ręce, a nawet jeśli trafią, to taka osoba nie będzie mogła ich odszyfrować. Symbolem, który informuje nas, że dana strona zabezpieczona jest protokołem SSL/TLS, jest symbol kłódki umieszczony w pasku adresu przeglądarki

Natychmiastową reakcją na odkrycie luki Heartbleed było wypuszczenie aktualizacji do bibliotek OpenSSL, która miała zneutralizować zagrożenie. W sieci pojawiło się również sporo ostrzeżeń dla użytkowników największych portali internetowych oraz skrzynek pocztowych, których zachęcano do zmienienia dotychczas stosowanych haseł. Powód? Na ślad luki Heartbleed specjaliści wpadli dopiero 24 miesiące po jej pojawianiu się.

Uważaj z kim się witasz

Gdy wydawało się, że najgorsze mamy już za sobą, a „zielona kłódka” w pasku przeglądarki znów może być dla nas symbolem bezpieczeństwa, okazało się, że na internautów czyha kolejne zagrożenie związane z Open SSL – tzw. handshake bug. Luka oznaczona tajemniczym symbolem CVE-2014-0224 jest groźna przede wszystkim dla osób korzystających z otwartych sieci Wi-Fi - np. w centrach handlowych czy też na lotniskach.

Na czym polega zagrożenie związane z „handshake bug”? Wykorzystując błąd w zabezpieczeniach cyberprzestępca może dokonać ataku określanego mianem „Man-in-the-middle” (ang. człowiek pośrodku). Atak ten polega na „podsłuchiwaniu” i modyfikacji informacji przesyłanych pomiędzy dwoma serwerami. Innymi słowy korzystając z odkrytej luki atakujący może zaingerować w wirtualny „uścisk dłoni” pomiędzy naszym urządzeniem a stroną internetową, na której chcemy się zalogować. Co ciekawe błąd umożliwiający taki atak był obecny w bibliotekach Open SSL od… 1998 roku. Oznacza to, że przez 16 lat w najpopularniejszym na świecie oprogramowaniu kryptograficznym funkcjonowała „furtka”, z której korzystać mogli internetowi cyberprzestępcy.

Drugi Heartbleed? Raczej nie, ale…

Jest jednak i dobra wiadomość. Po pierwsze: nowa luka nie stanowi tak dużego zagrożenia jak Heartbleed (obecnie zagrożone są tylko urządzenia z systemem Android). Po drugie: aby atak doszedł do skutku, z nieaktualnych (a przez to narażonych na atak) bibliotek OpenSSL musi korzystać zarówno nasze urządzenie, jak i serwer, z którym się łączymy. Jednak choć znacznie zmniejsza to szansę na powodzenie potencjalnego ataku, to jednak nie eliminuje go w stopniu zupełnym.

W związku z ujawnieniem informacji o kolejnej luce w zabezpieczeniach warto uświadomić sobie, że nawet jeśli twórcy Open SSL szybko uporają się z aktualnymi lukami i błędami, to na ich miejscu pojawią się kolejne – równie groźne. Dlatego warto pamiętać, że otwarte sieci Wi-Fi nigdy nie są (i nigdy nie będą) dobrym miejscem do sprawdzania stanu naszego konta bankowego czy też dokonywania przelewu.