Strokovnjaki so napako odkrili v šifrirnem mehanizmu OpenSSL, ki se uporablja za šifriranje spletnih strani, elektronske pošte, programov za sporočanje, bančnih aplikacij in navideznih zasebnih omrežjih.
Z zlorabo premakljivosti je raziskovalcem že uspelo pridobiti uporabniška gesla in šifrirne ključe, s katerimi je mogoče ponarediti identiteto določenega strežnika. Napaka po njihovih besedah odpira skoraj neomejene možnosti zlorabe podatkov na internetu.
Ranljivost napadalcu omogoča pridobitev zasebnih ključev za šifriranje iz strežnika, pojasnjujejo v nacionalnem odzivnem centru za obravnavo varnostnih incidentov na internetu (SI-CERT). S temi podatki lahko napadalec nato razbije šifriranje med napravo uporabnika in strežnikom, se pravi da lahko pridobi vse podatke, ki bi načeloma morali biti varni.
"Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v nobenih dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi," je za STA dejal varnostni strokovnjak Tadej Hren.
Mehanizem OpenSSL po nekaterih ocenah uporablja več kot polovica vseh strežnikov na svetu, a na srečo vse različice niso ranljive. Koliko strežnikov je ranljivih, zaenkrat še ni jasno.
"Točnih informacij zaenkrat še nimamo. Po nekaterih podatkih naj bi bilo ranljivih 17 odstotkov oz. približno pol milijona spletnih strežnikov, ki uporabljajo ta mehanizem. Vendar je tu govora samo o spletnih strežnikih - OpenSSL se uporablja tudi za druge internetne storitve, kot so elektronska pošta in hipno sporočanje," je dejal Hren.
Skupina programerjev, ki skrbi za razvoj odprtokodnega mehanizma, je sicer že pripravila popravek ter pozvala upravljavce spletnih strežnikov, naj ga čim prej naložijo.
Domači uporabniki po besedah Hrena zaenkrat ne morejo storiti nič. "Zamenjava gesel, npr. za spletno banko ali elektronski predal, trenutno ni smiselna, počakajmo vsaj dokler nam ponudniki ne sporočijo, da so odpravili ranljivost."
Napaka v mehanizmu naj bi neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega Googla. Na napako so v torek opozoril tudi v centru SI-CERT.
O resnosti napake priča tudi dejstvo, da so avtorji omrežja za anonimno uporabo interneta Tor svojim uporabnikom svetovali, naj nekaj dni sploh ne uporabljajo interneta. Omenjeno omrežje uporabljajo tako hekerji in spletni aktivisti kot uporabniki v državah s strogim nadzorom nad telekomunikacijami.
»Ranljivost desetletja«: Napaka v sistemu šifriranja ogroža velik del svetovnega spleta
9. apr. 2014 12:41 Osveženo: 10:00 / 09. 8. 2017
Računalniški strokovnjaki so odkrili resno napako v priljubljenem mehanizmu za šifriranje internetnega prometa. Napaka hekerjem omogoča, da brez težav preberejo sicer šifrirane podatke, ki se pretakajo med strežnikom in napravo uporabnika. V slovenskem centru za internetno varnost so napako označili za "ranljivost desetletja".
Privoščite si nemoteno branje
Prijavljeni uporabniki Trafike24 z izpolnjenimi podatki profila berejo stran brez oglasov.
Še nimate Trafika24 računa? Registrirajte se
Prijavljeni uporabniki z izpolnjenimi podatki profila berejo vsebine brez oglasov.
- preverjen e-naslov
- preverjena tel. številka
- popolni osebni podatki
- prijava na e-novice
Ste pravkar uredili podatke? Osveži podatke