heartbleed

Heartbleed je sigurnosna rupa u OpenSSL-u koju je otkrila finska zaštitarska tvrtka Codenomicon i objavila 7. travnja 2014. OpenSSL je šifriranje tehnologija koja se koristi za stvaranje sigurnih veza na web mjestu HTTPS, uspostaviti VPNi šifriraju nekoliko drugih protokoli. Budući da OpenSSL koristi otprilike dvije trećine web poslužitelja, ranjivost se smatra jednom od najznačajnijih sigurnosnih rupa otkrivenih od početka weba.

Kako Heartbleed djeluje?

Iskorištenje Heartbleed koristi prednost početne komunikacije između klijent i server. Ovaj se preliminarni korak obično naziva "rukovanje", iako OpenSSL nudi varijaciju koja se naziva "otkucaji srca". Otkucaji srca koriste se za uspostavljanje sigurne veze, ali podaci koji se prenose tijekom otkucaja srca ne šalju se sigurno.

Slanjem lažnih podataka poslužitelju, a haker može dohvatiti 64 kilobajt dijelovi podataka s poslužitelja predmemorija. Iako je ovo mala količina podataka, dovoljno je sadržavati a korisničko ime, lozinkaili druge povjerljive informacije. Iznoseći nekoliko zahtjeva zaredom, haker potencijalno može uhvatiti velike količine privatnih podataka spremljenih u memoriju poslužitelja.

Krvarenje iz srca buba je specifičan za OpenSSL 1.0.1 kroz 1.0.1f i verzija 1.0.2 beta1. To ne utječe na druge verzije OpenSSL-a i druge vrste implementacija TLS-a (zaštita transportnog sloja). Nakon što je programska pogreška postala poznata 7. travnja, mnogi su web serveri odmah zakrpani verzijom 1.0.1g. Međutim, nepoznato je koliko je poslužitelja pogođeno i koliko ih još uvijek koristi ranjivu verziju OpenSSL-a.

Kako Heartbleed utječe na mene?

Malo je vjerojatno da vas greška Heartbleed izravno utječe. Iako je sigurnosna rupa dvije godine bila neotkrivena, malo je dokaza da se eksploatacija široko koristila. Ipak, da biste bili sigurni, možete se zaštititi ažuriranjem lozinki za web mjesto prijava, računi e-pošte i druge mrežne usluge.