Hlavní navigace

Postřehy z bezpečnosti: krvácení srdce (Heartbleed)

Lukáš Malý 14. 4. 2014

Panika nebo reálná hrozba? Chyba nazvaná Heartbleed postihující knihovnu OpenSSL doslova lomcuje bezpečností internetu. V bezpečnostních kuloárech se nepíše o ničem jiném. Podle mnohých je to největší hrozba v historii. Legendárnímu operačnímu systému Windows XP byla ukončena podpora, ale ne pro všechny.

Minulý týden byl ve znamení krvácení srdce (Heartbleed). Což je označení vážné zranitelnosti knihovny OpenSSL – CVE-2014–0160. Analýza tohoto problému byla již na našem serveru podrobně prezentována ve článku Ondřeje Caletky – Heartbleed bug: vážná zranitelnost v OpenSSL. Nástrojů pro online kontrolu je hnedle několik, např. známý komplexní online SSL Server Test od ssllabs Heartbleed též experimentálně kontroluje. Objevují se seznamy postižených serverů na GitHubu dberkholzmusalbas. Tato zranitelnost se netýká jen open-source projektů, ale i těch komerčních, které implementovaly OpenSSL. Proto je nutno tu chybu nepodceňovat. Živé projekty a distribuce nespí a již tuto chybu opravili např. Red Hat, Ubuntu/DebianFreeBSD, problém se týká samozřejmě i všech klonů těchto systémů, např. CentOS nebo pfSense.

Blackberry a Cisco analyzují dopady zranitelnosti v OpenSSL na své zákazníky. Kontrolují své produkty. A budou následovat další a další výrobci SW. Cisco již uvedlo seznam svých produktů, které jsou potenciálně napadnutelné.

Vědci nacházejí tisíce potenciálních cílů pro chybu Heartbleed v OpenSSL. Tým bezpečnostních výzkumníků z University of Michigan používá svůj síťový skener ZMap a vyhledávají na internetu servery zranitelné na Heartbleed. Zde uvádějí svůj report, který se stále aktualizuje.

Dnem 8. dubna 2014 společnost Microsoft ukončila podporu pro 13 let starý operační systém Windows XP. Nutno dodat, že tento OS je stále přítomen na mnoha počítačích. Konec podpory nebude patrně platit pro nizozemskou a britskou vládu, které si údajně za nemalou úplatu podporu o rok prodlouží. Většina antivirových společností bude prý Windows XP nějakou dobu podporovat. Bezpečnostní rizika tohoto OS budou ovšem s přibývajícím časem vzrůstat!

Ve zkratce

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

15. 4. 2014 23:06

Kaacz (neregistrovaný)

Pokud některé servery tvrdí, že to je virus .. a s přihlédnutím k faktu, že openssl je věc Linuxu .. pánové a dámy: máme na Linuxu velký vir. :)
zdroj: Twitter
@mikko: NO. Heartbleed is NOT a virus. The hashtag is not #HeartbleedVirus http://t.co/Uh6dgumlmg



14. 4. 2014 10:57

jarmil (neregistrovaný)

Živé projekty a distribuce nespí a již tuto chybu opravilY.

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu