Poważny błąd w zabezpieczeniach bibliotek Open SSL, z których korzysta obecnie ponad 2/3 serwerów na świecie wykryto i upubliczniono w kwietniu 2014 r. Zagrożenie pochodzi od handshake bug.

Open SSL to protokół internetowy, stworzony do zapewniania poufności i bezpieczeństwa danych przesyłanych między serwerami. Do kwietnia tego roku dawała gwarancję, że przesyłane dane nie dostaną się do rąk niepowołanych, skoro wysyłamy je przez formularze internetowe. Nawet gdyby zdarzyło się, że tak się jednak stanie to użytkownik miał zapewnione, że nie będą one odszyfrowane. Mała kłódeczka umieszczona w pasku adresu przeglądarki miała zapewniać całkowite bezpieczeństwo. Bazując z nauce w systemie zabezpieczeń określaną jako Heartbleed (ang. krwawienie z serca), cyberprzestępca miał możliwość „podglądu” komunikacji między serwerami, a następnie mógł uzyskać dostęp do danych, przesyłanych między nimi (np. haseł czy też numerów kont bankowych użytkowników). Aktualizacja do bibliotek Open SSL wypuszczona niezwłocznie po wykryciu Heartbleed miała zneutralizować zagrożenie, również w sieci szeroko ostrzegano użytkowników dużych portali internetowych i właścicieli kont pocztowych o niezbędności zmiany dotychczasowych haseł, z powody tego, ze w rzeczywistości lukę Heartbleed specjaliści wykryli po 24 miesiącach od jej pojawiania się. Niedługo po odzyskaniu poczucia bezpieczeństwa związanego z widokiem – jak się wydawało już bezpiecznej zielonej kłódki w pasku przeglądarki – odkryto nowe zagrożenie związane z Open SSL – tzw. handshake bug.

Luka oznaczona symbolem CVE-2014-0224 jest groźna głównie dla użytkowników otwartych sieci Wi-Fi, ponieważ dzięki „handshake bug” wykorzystuje błąd w zabezpieczeniach, co daje możliwość cyberprzestępcy dokonania czynu nazywanego „Man-in-the-middle” (ang. człowiek pośrodku). Ta forma ataku polega na „podsłuchiwaniu” i modyfikacji danych przesyłanych pomiędzy serwerami, czyli w rzeczywistości korzystając z luki heker może ingerować w wirtualny kontakt jaki nawiązują nasze urządzenia ze stroną internetową, na której chcemy się logować. Ten błąd był obecny w bibliotekach Open SSL od 1998 roku, co oznacza, że przez 16 lat w najpopularniejszym na świecie oprogramowaniu kryptograficznym znajdowała luka, umożliwiająca korzystanie świadomym tego przestępcom internetowym. Nowo odkryta (mimo, że nie nowa) luka stanowi zagrożenia wyłącznie dla systemów Android, nie jest więc tak groźna jak Heartbleed. Zmniejsza również nieco zagrożenie fakt, że powodzenie ataku zależy od tego czy z nieaktualnych bibliotek OpenSSL korzystają oba urządzenia: nasze i serwer, z którym się łączymy. Nie eliminuje to niebezpieczeństwa ataku, ale zmniejsza powodzenie. Dwa – w niewielkich odstępach czasu – wykryte błędy w zabezpieczeniach Open SSL uświadamiają, że otwarte sieci Wi-Fi nigdy nie są i nie będą) bezpiecznym miejscem do sprawdzania stanu konta bankowego czy też dokonywania przelewu, ponieważ na miejsce starych błędów zostaną odkryte nowe.