Místo aby se komunikace mezi vaším počítačem a například internetovým obchodem šifrovala číslem, jehož délku nelze do článku ani napsat a na počet jeho kombinací ani pomyslet, použité kódy byly podstatně kratší a sestávaly pouze z několika málo tisíc možností. Silný počítač pak potřebuje na jejich prolomení pár sekund - a zabezpečení jako by ani nebylo.
Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL, který používají některé banky, internetové obchody, e-mailové servery apod. způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.
"S chybou se lze setkat při jakémkoliv použití šifrování. Uživatel přitom vůbec nemusí vědět, že šifrování používá," říká o problému odborník na internetovou bezpečnost Tomáš Přibyl. "Například vždy při ověřování certifikátu nebo při navazování některých typů komunikace," dodává Přibyl.
Například na odčerpání peněz z cizího účtu však využití této chyby naštěstí nestačí. Útočník může s její pomocí "odposlechnout" komunikaci zákazníka s bankou, ale peníze ukrást nedokáže. "Čistě teoreticky se tato chyba k odcizení peněz využít dá. Útočník však potřebuje ještě daší informace/atributy," vysvětluje Přibyl.
Data běžně nechrání pouze šifrovací klíč, ale například i heslo. Pokud je klíč slabý (jako v tomto případě), záleží na síle hesla. Pokud má útočník k dispozici zašifrovaná data a ta jsou šifrována slabým klíčem, může heslo snadno získat. Pokud je heslo nedokonalé, útočník jej snadněji překoná a je u cíle... "Jde o to, že slabý klíč zeslabuje celou bezpečnost," vysvětluje Přibyl.
Chybu v komponentě Debian OpenSSL nikdo neobjevil dva roky, což dalo čas k rozšíření jejích nemocných dětí - chybně vygenerovaných klíčů. Nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux.
Náprava je poměrně jednoduchá a ve většině případů k ní již pravděpodobně došlo. Problém však zůstává například u drobných uživatelů, kterým byl certifikát vygenerován chybně a klíč, jenž jim je na základě toho přidělován (například pro komunikaci s e-shopem) je slabý a snadno prolomitelný. Každý takto postižený zákazník by si musel nechat certifikát změnit.
"Ohrožený je každý uživatel zasažených distribucí. Chyby v programech neznají hranice (výjimkou jsou jen chyby týkající se lokalizace nebo lokalizovaných verzí, což ale není tento případ)," dodává bezpečnostní odborník Tomáš Přibyl.
Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx - další informace v článku Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené.
Dva roky se nic nedělo...
Sám fakt, že chyba je stará již dva roky a celou dobu se pravděpodobně nic zásadního nedělo, neznamená, že není nebezpečná. Právě naopak. To nejhorší může teprve přijít. Dokud se totiž o chybě nevědělo, pravděpodobnost zneužití byla výrazně nižší.
"Problém může nastat právě v tuto chvíli, kdy je chyba již známá a kdy by nekteří uživatelé mohli vlastní neznalostí nebo z jiného důvodu zůstat nechráněni. Jinými slovy, doteď byla její nebezpečnost nízká, od této chvíle je vysoká," upozorňuje Přibyl. "Problémy mohou nastat i zpětně u dat zašifrovaných nebo vytvořených s její pomocí dosud," dodává.
Týká se to i mě?. Využíváte-li programy a software s vyšším důrazem na bezpečnost, informujte se u jejich provozovatele/tvůrce, zda se vás tato chyba týká. Pokud ano, nechte si přegenerovat klíč a modifikovat certifikát. V každém případě je vhodné změnit stávající heslo a zvolit dostatečně silné, tedy: dlouhé, komplikované a nic neznamenající. |
