News Odkryto bardzo poważną lukę w OpenSSL

Otwarte oprogramowanie ma swoje wady i zalety, a jedną z tych ostatnich jest szybka reakcja społeczności na wszelkiego rodzaju błędy w kodzie. Jak się okazuje, nie zawsze jest to prawidłowość, co potwierdza przykład Heartbleed Bug – bardzo poważną lukę odkryto dopiero po ponad dwóch latach.

Bezpieczeństwo naszych danych to temat bardzo ważny, a dla wielu użytkowników wręcz priorytetowy. Choć społeczeństwo przywiązuje coraz mniejszą wagę do swojej prywatności, np. publikując większość danych na portalach społecznościowych, to jednak chyba nikt nie chce, aby jego loginy i hasła wpadły w niepowołane ręce. Przez ponad dwa lata byliśmy jednak nieświadomi zagrożenia, w zdawałoby się bezpiecznej bibliotece kryptograficznej OpenSSL.

Luka znaleziona przez firmy Google i Codenomicon umożliwiała kradzież chronionych informacji, które w normalnej sytuacji powinny być chronione przez szyfrowanie TLS/DTLS. Jest to o tyle istotne, że protokół SSL i jego rozwinięcie służą zapewnieniu bezpieczeństwa i prywatności całej masie aplikacji i usług internetowych, takich jak np. e-mail, komunikatory, wirtualne sieci prywatne (VPN) czy niektóre serwery WWW.

Heartbleed Bug pozwalał na odczytanie z pamięci informacji chronionych przez OpenSSL. Nie trzeba tłumaczyć, że przez ten błąd można było bez problemu dostać się do nazw użytkowników i ich haseł, podglądać rozmowy czy wreszcie podszywać się pod inne osoby, by zdobyć dostęp do konkretnych usług. Najbardziej problematyczne jest to, że sam atak nie pozostawia żadnych śladów, więc nie da się go namierzyć i do tej pory skutecznie zablokować.

Problem z OpenSSL dotyczył przede wszystkim popularnych dystrybucji systemów Linux i BSD. Na szczęście wczoraj pojawiła się w repozytoriach odpowiedzenia poprawka, która uniemożliwia wykorzystanie Heartbleed Bug. Szkoda jedynie, że wykrycie błędu, który prawdopodobnie powstał już w 2011 roku zajęło tyle czasu.