»Programska knjižnica OpenSSL se uporablja za večino šifriranja na internetu. Ko se denimo prijavite v spletno banko in se vam v naslovni vrstici izpiše https in nariše ključavnica, pomeni, da so podatki, ki se pretakajo med vašim brskalnikom in spletnim strežnikom banke šifrirani in jih načeloma nihče ne more prestreči - zadaj v večini primerov stoji ravno program OpenSSL. V tem programu pa je bila najdena zelo resna varnostna pomankljivost pri implementaciji protokola z imenom Heartbleed. Po domače povedano - program OpenSSL je bil slabo napisan. Posledica izrabe te ranljivosti je, da napadalec lahko iz strežnika pridobi šifrirne ključe, kar mu omogoča, da razbije šifriranje – se pravi da povezava med brskalnikom in strežnikom ni več varna,« pojasnjujejo na portalu varninainternetu.si
»Danes je dober dan, da v službo sporočite, da ste bolni in se lotite spreminjanja vseh svojih gesel – predvsem tistih, ki vam omogočajo dostop do najbolj osebnih strani, kot so elektronska pošta, portali za shranjevanje podatkov v oblaku, spletno bančništvo,« je Tumblr sporočil svojim uporabnikom.
»Mala ključavnica v opravilni vrstici poleg ''https'' začetnice, v katero smo vsi tako verjeli, da nas varuje, je pravzaprav razkrivala naše podatke vsem, ki so to znali izkoristiti,« so še dodali. Ranljivost so odkrili prejšnji teden v skripti, ki poganja dve tretjini svetovnega spleta. »Heartbleed je kot pokvarjen del v avtomobilu, ki je bil vstavljen v skoraj vsakega, ki se vozi po cesti,« so ga opisali v podjetju Stealthbits Technologies.
Kaj lahko naredimo uporabniki?
»Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi. Na srečo je bil že izdan popravek za OpenSSL, ki opisano ranljivost odpravlja, tako da lahko administratorji strežnikov zelo hitro odpravijo ranljivost. Ker pa obstaja možnost, da so šifrirni ključi strežnikov tudi zlorabljeni, vsem administratorjem priporočamo tudi zamenjavo šifrirnih ključev. Domači uporabniki zaenkrat ne moremo nič storiti, zamenjava gesel (npr. za spletno banko, elektronski predal) trenutno ni smiselna, počakajmo vsaj dokler nam ponudniki ne sporočijo, da so odpravili ranljivost! Sicer pa gre za eno izmed najhujših varnostnih pomankljivostih v zadnjih letih,« še pojasnjujejo na portalu Varni na internetu.
