Co je Heartbleed?
Heartbleed je bezpečnostní díra v OpenSSL, kterou objevila finská bezpečnostní firma Codenomicon a zveřejnila 7. dubna 2014. OpenSSL je šifrovací technologie používaná k vytváření bezpečných připojení k webovým stránkám přes HTTPS, vytváření VPN a šifrování několika dalších protokolů. Vzhledem k tomu, že OpenSSL používají zhruba dvě třetiny webových serverů, je zranitelnost považována za jednu z nejvýznamnějších bezpečnostních děr objevených od počátku webu.
Jak Heartbleed funguje?
Zneužití Heartbleed využívá počáteční komunikaci mezi klientem a serverem. Tento úvodní krok se běžně nazývá „handshake“, i když OpenSSL poskytuje variantu zvanou „heartbeat“. Srdeční tep slouží k navázání zabezpečeného spojení, ale data přenášená během srdečního tepu se neposílají bezpečně.
Posláním falešných informací na server může hacker získat 64 kilobyte kusů dat z cache serveru. To je sice malé množství dat, ale stačí na to, aby obsahovalo uživatelské jméno, heslo nebo jiné důvěrné informace. Provedením několika požadavků za sebou může hacker potenciálně zachytit velké množství soukromých údajů uložených v paměti serveru.
Chybu Heartbleed specifikuje OpenSSL 1.0.1 až 1.0.1f a verze 1.0.2-beta1. Ostatní verze OpenSSL a jiné typy implementací TLS (transport layer security) nejsou ovlivněny. Po zveřejnění chyby 7. dubna bylo mnoho webových serverů okamžitě opraveno verzí 1.0.1g. Není však známo, kolik serverů bylo postiženo a kolik jich stále používá zranitelnou verzi OpenSSL.
Jak se mě Heartbleed týká?
Je nepravděpodobné, že by se vás chyba Heartbleed přímo týkala. Přestože bezpečnostní díra nebyla po dva roky odhalena, existuje jen málo důkazů o tom, že by se zneužití široce používalo. Přesto se pro jistotu můžete chránit aktualizací hesel pro přihlašovací údaje na webových stránkách, e-mailové účty a další online služby.
Definice Heartbleed na této stránce je původní definice na SharTec.eu. Pokud chcete na tuto stránku odkázat, nezapomeňte uvést zdroj článku.
Cílem webu SharTec.eu je srozumitelně vysvětlit počítačovou terminologii. Snažíme se o jednoduchost a přesnost každé definice, kterou zveřejňujeme. Pokud máte připomínky k definici jazyka Heartbleed nebo chcete navrhnout nový technický termín, kontaktujte nás.
Cieľom stránky SharTec.eu je vysvetľovať počítačovú terminológiu zrozumiteľným spôsobom. Pri každej uverejnenej definícii sa snažíme o jednoduchosť a presnosť. Ak máte pripomienky k definícii jazyka Heartbleed alebo chcete navrhnúť nový technický termín, kontaktujte nás.