Poważny błąd w zabezpieczeniach bibliotek Open SSL, z których korzysta obecnie ponad 2/3 serwerów na świecie wykryto i upubliczniono w kwietniu 2014 r. Zagrożenie pochodzi od handshake bug.

Open SSL to protokół internetowy, stworzony do zapewniania poufności i bezpieczeństwa danych przesyłanych między serwerami. Do kwietnia tego roku dawała gwarancję, że przesyłane dane nie dostaną się do rąk niepowołanych, skoro wysyłamy je przez formularze internetowe. Nawet gdyby zdarzyło się, że tak się jednak stanie to użytkownik miał zapewnione, że nie będą one odszyfrowane. Mała kłódeczka umieszczona w pasku adresu przeglądarki miała zapewniać całkowite bezpieczeństwo. Bazując z nauce w systemie zabezpieczeń określaną jako Heartbleed (ang. krwawienie z serca), cyberprzestępca miał możliwość „podglądu” komunikacji między serwerami, a następnie mógł uzyskać dostęp do danych, przesyłanych między nimi (np. haseł czy też numerów kont bankowych użytkowników). Aktualizacja do bibliotek Open SSL wypuszczona niezwłocznie po wykryciu Heartbleed miała zneutralizować zagrożenie, również w sieci szeroko ostrzegano użytkowników dużych portali internetowych i właścicieli kont pocztowych o niezbędności zmiany dotychczasowych haseł, z powody tego, ze w rzeczywistości lukę Heartbleed specjaliści wykryli po 24 miesiącach od jej pojawiania się. Niedługo po odzyskaniu poczucia bezpieczeństwa związanego z widokiem – jak się wydawało już bezpiecznej zielonej kłódki w pasku przeglądarki – odkryto nowe zagrożenie związane z Open SSL – tzw. handshake bug.

Luka oznaczona symbolem CVE-2014-0224 jest groźna głównie dla użytkowników otwartych sieci Wi-Fi, ponieważ dzięki „handshake bug” wykorzystuje błąd w zabezpieczeniach, co daje możliwość cyberprzestępcy dokonania czynu nazywanego „Man-in-the-middle” (ang. człowiek pośrodku). Ta forma ataku polega na „podsłuchiwaniu” i modyfikacji danych przesyłanych pomiędzy serwerami, czyli w rzeczywistości korzystając z luki heker może ingerować w wirtualny kontakt jaki nawiązują nasze urządzenia ze stroną internetową, na której chcemy się logować. Ten błąd był obecny w bibliotekach Open SSL od 1998 roku, co oznacza, że przez 16 lat w najpopularniejszym na świecie oprogramowaniu kryptograficznym znajdowała luka, umożliwiająca korzystanie świadomym tego przestępcom internetowym. Nowo odkryta (mimo, że nie nowa) luka stanowi zagrożenia wyłącznie dla systemów Android, nie jest więc tak groźna jak Heartbleed. Zmniejsza również nieco zagrożenie fakt, że powodzenie ataku zależy od tego czy z nieaktualnych bibliotek OpenSSL korzystają oba urządzenia: nasze i serwer, z którym się łączymy. Nie eliminuje to niebezpieczeństwa ataku, ale zmniejsza powodzenie. Dwa – w niewielkich odstępach czasu – wykryte błędy w zabezpieczeniach Open SSL uświadamiają, że otwarte sieci Wi-Fi nigdy nie są i nie będą) bezpiecznym miejscem do sprawdzania stanu konta bankowego czy też dokonywania przelewu, ponieważ na miejsce starych błędów zostaną odkryte nowe.

Wyróżnienia

 

Projekt

Budowa i wdrożenie prototypu systemu bezpieczeństwa przestrzeni publicznej "SM4Public"
Projekt: POIG.01.04.00-32-244/13,
Wartość projektu: 12.936.684,77 zł,
Udział Unii Europejskiej: 6.528.823,81 zł
,
Okres realizacji: 06.2014-10.2015

Innowacyjna gospodarka - logotyp
Unia Europejska logotyp

Fundusze Europejskie - dla rozwoju innowacyjnej gospodarki

 

 

Konkursy

  • 2015.05.08 - Zakończył się konkurs 1/2015 2015-05-08 00:04:30

    Konkurs zakończył się 08.05.2015. Obecnie trwa postępowanie w celu podjęcia decyzji o wyborze...

    Read More ...

  • 2015.04.20 - KONKURS 1/2015 2015-04-20 00:00:10

    W chwili obecnej Smart Monitor sp. z o.o., w drodze konkursu, planuje wyłonić Audytora zgodnie z...

    Read More ...

Aktualności

  • Upewnij się, że twój smartfon jest bezpieczny 2015-04-27 11:01:11

    Pewnie można polegać na tym, że strategia BYOD (bring your own device) może zminimalizować ryzyko...

    Read More ...

  • Bezpieczeństwo w standardzie 2015-03-30 11:02:10

    Ostatnie statystyki FBI pokazują, że liczba przestępstw włamań do domów była w 2014 r. najniższa...

    Read More ...

Skontaktuj się z nami

Smart Monitor sp. z o.o.
ul. Cyfrowa 6
71-441 Szczecin
KRS 0000364680
REGON 320892663
NIP 8513130083
FAX +48 91 85 22 110
email: biuro@smartmonitor.pl


© Copyright 2010-2018 Smart Monitor sp. z o.o. w upadłości
wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy, pod numerem KRS 0000364680, kapitał zakładowy 200.000 zł (w całości wpłacony) z siedzibą w Poznaniu, 60-535, ul. Polna3/5, REGON 320892663, NIP 8513130083