Je to pár dní, co se svět dozvěděl o bezpečnostní hrozbě, která tu dlouho nebyla. Může za ní featura Heartbeat zakomponovaná v populární knihovně OpenSSL ve verzích 1.0.1 – 1.0.1f, která měla podobně jako ICMP ping odpovídat na dotaz. Chybu opravuje až verze OpenSSL 1.0.1g, ve které byla neošetřená featura úplně odebrána.

Bezpečnostní chybu (CVE-2014-0160) v SSL šifrování objevili analytici společnosti Google ve spolupráci s bezpečnostní společností Codenomicon již během pondělí. Na veřejnost však tuto informaci pustili později, čímž nechali správcům serverů čas na opravu. Podle výše zmíněné problematické featury Heartbeat (tlukot srdce) nazvali chybu Heartbleed Bug, což v překladu znamená „chyba krvácejícího srdce“. Kolem celého problému vznikla i velká mediální kampaň, která má na tuto chybu opozornit.

Podle některých bezpečnostních odborníků jde doslova o katastrofální chybu, která tu dlouho nebyla. Navíc problematické verze OpenSSL existovaly 2 roky bez povšimnutí, a tak nelze odhadnout zda na chybu nepřišel nějaký hacker dříve než analitici Googlu a nezneužil ji pro svůj prospěch.

Podle statistik, které jsem vyštrachal na internetu, bylo chybou zasažano zhruba 15% domén v TOP 10.000 podle Alexa ranku. Mezi takto postiženými byl například i Yahoo.com, StackOverflow.com, PHP.net či český Seznam.cz.

Jestli je i váš server potencionálně napadnutelný pomocí Heartbleed bugu lze jednoduše zjistit v utilitce na webu http://filippo.io/Heartbleed/. Do textováho políčka vložíte název domény nebo IP adresu, případně i port služby, a máte hned jasno, jestli se bezpečnostní problém týká i vašeho serveru.

Princip fungování Heartbleed bugu

Chyba je tak banální, že se divím, že programátor nepoužil trochu více svých mozkových závitů. Jednoduše řečeno – podobně jako ping mělo OpenSSL odpovídač na dotazy. Uživatel poslal dotaz s nějakým řetězcem a počtem znaků tohoto dotazu. Když si ale za počet znaků dosadíme větší číslo, tak nám OpenSSL ochotně vrátí obsah RAM, ve které mohou být uloženy velice citlivé informace jako hesla uživatelů, firemní dokumenty nebo třeba i klíče k databázi.

Kdyby jste probrali zdrojové kódy OpenSSL, tak zjistíte v jakém je neutěšeném a doslova šíleném stavu. Přitom je využívána téměř na každém linuxovém serveru.

Oprava chyby nemusí být jednoduchá

Správci serverů by měli okamžitě nahrát opravenou verzi OpenSSL 1.0.1g, zkompilovat jí a pozměnit nebo upravit klíč. Důležté je zneplatnit i stávající certifikáty. Například u kupovaných certifikátů je zapotřebí požádat certifikační autoritu, aby vytvořila nový certifikát s novým klíčem a ten je potřeba následně na server nahrát.

Pokud máte účet na některém z ohrožených serverů, tak se všeobecně doporučuje změnit hesla. To ale nemusí stačit, pokud je server stále nezabezpečený. Údajně nebyly zasaženy české vládní servery ani servery bankovních institucí.

Osobně jsem chybou nebyl poznamenán, používám ještě starší verzi knihovny, která je bez této featury/chyby.