Április hetedikén a nettörténelem eddigi legnagyobb biztonsági résének felfedezését jelentette be az OpenSSL.org. A CVE-2014-0160 elnevezésű hiba két éve létezik, rengeteg weboldalt és szolgáltatást, köztük bankokat is érint, ráadásul a javítás sem megy gyorsan. A hiba természete miatt azt sem tudja senki megmondani, hogy az elmúlt két évben bárki kihasználta-e, és ha igen, mihez fért hozzá. Abban viszont egészen biztosak lehetünk, hogy a bejelentés óta sokan megpróbálták kihasználni a hibát.
A Heartbleed bug néven emlegetett sérülékenység a népszerű OpenSSL titkosítási szoftverkönyvtárat érinti, melyet fejlesztők, rendszergazdák használnak fel munkájuk során. Egy számítás szerint a https címen elérhető biztonságos weboldalak a web 56 százalékát teszik ki, és ezeknek nagyjából a felét érinti a hiba. Ennek következtében a támadók hozzá tudnak férni olyan információkhoz, amiket egyébként SSL/TLS titkosítás védene. Az SSL/TLS a kommunikáció és az adatok biztonságát garantálja például a weben, a levelezésben, azonnali üzenetküldőknél és jó pár virtuális magánhálózaton (VPN).
A Heartbleed kihasználásával az interneten bárki kiolvashatja az érintett szerverek memóriájának titkosítatlan tartalmát: felhasználóneveket, jelszavakat vagy bármi mást. A hiba kihasználásával lehallgatható a kommunikáció, a támadók adatokat lophatnak közvetlenül a szolgáltatóktól és felhasználóktól. Meg is személyesíthetnek felhasználókat, amikor a támadó úgy csinál, mintha ő lenne a másik személy, az adatlopás áldozata.
Az alábbi rendszereket alapértelmezetten olyan OpenSSL-verzióval szállítják, amelyekben kihasználható a hiba. Ha ilyeneket futtatunk, érdemes megtenni a megfelelő lépéseket. A lista csak irányadó, más rendszer is érintett lehet.
Varga-Perke Bálint, a Silent Signal IT-biztonsági szakembere szerint az biztos, hogy még mindig vannak fontos weboldalak, ahol nincs javítva a probléma. „Miután kiderült, hogy ez a hiba létezik, nagy eséllyel a komolyabb oldalakra rengetegen rászálltak. A hiba segítségével, ha a támadó beküldött egy csomagot, visszakapott egy darabot a szerver memóriájából, az tartalmazhatott ember által is olvasható, nem titkosított részleteket a webes kéréseinkből. Például, ha indítok egy tranzakciót a bankomban, annak az adatait láthatóvá válhatnak” – mondja a szakember.
Leegyszerűsítve: bárki beülhetett egy gyorsétterembe, a nyilvános wifire felcsatlakozva kéréseket indíthatott a megtámadni kívánt szerver felé, és folytak ki belőle az adatok. A legnagyobb gond, hogy ezekben a kérésekben vannak úgynevezett munkamenet-azonosítók is: ezek hosszú, véletlenszerűen generált azonosító, amivel pár percig újabb belépés nélkül lehet használni a netes szolgáltatásokat, például a netbankot. Ha ezeket valaki megszerezte, be tudott lépni a fiókba, hiába volt bekapcsolva az SMS-es azonosítás. Tranzakciókat viszont már nem tudott indítani azoknál a bankoknál, ahol ehhez újabb SMS-re van szükség. Viszont elvileg felhasználónevekhez és jelszavakhoz is hozzájuthattak a támadók, ezért érdemes megváltoztatni azokat. Azonnal érdemes megváltoztatni annak a postafióknak a jelszavát, amelyre emailcímünkkel több egyéb online szolgáltatásra regisztráltunk.
A hiba azért is kiemelten súlyos, mert a támadásnak nem marad nyoma, hiszen a támadók csak a memóriából szereznek adatokat. Varga-Perke szerint felépíthető olyan rendszer, amellyel észlelhető a támadás, de két nap alatt nem valószínű, hogy ezt bárhol bevezették volna, ezért sehol sem tudják pontosan, ki mihez férhetett hozzá.
A biztonsági szakember szerint arról nincs információ, hogy korábban bárki kihasználta volna a rést. Az nagyon lényeges, hogy a hibát nem lehetett célzottan kihasználni: a támadók nem tudták egy adott személy banki hozzáférését, emailezését célba venni. Heartbleed bug kihasználásával véletlen adatok jönnek vissza, a támadó legfeljebb utólag, egy nagyobb mennyiségű begyűjtött adatból tudja kiválogatni az érdekesebb információkat.
Mivel a támadással próbálkozók nagy mennyiségű adathoz juthattak hozzá, mindenképpen érdemes jelszót változtatni mindazoknak, akik a nyilvánosságra kerülés óta, azaz elmúlt két napban beléptek az érintett szolgáltatásokba. „Nagy valószínűséggel, amint a rosszfiúk birtokába jutottak ennek az információnak, rámentek az összes netbankra, levelezőre, és elkezdték kiszedni az adatokat”.
Az érintett SSL-technológia úgynevezett aszimmetrikus titkosításon alapul, azaz a szervernek van egy kulcsa, aminek van egy privát és egy publikus része, ezekkel titkosítják az érzékeny információkat. A privát kulcs megszerzésével nagyon széles hozzáférés szerezhető. Hogy ezek a kulcsok rendben vannak-e, arról a tanúsítványok árulkodnak. Ha nem biztonságosak, akkor a Google hatalmas sárga/vörös háttérrel jelzi, hogy vigyázzunk az adott weboldallal.
„Ha valaki megszerzi a privát kulcsot, az nagyon nagy baj. Mivel tárolva van a memóriában, elvileg el lehet érni. Egyelőre azonban csak egy olyan kísérleti eredmény van, ahol ez sikerült, de itt is csak akkor működött, megfelelő rendszeren, megfelelő beállítás mellett, amikor éppen újraindult a szerver, és a támadó volt az első, aki megszólította” – mondja Varga-Perke.
A szakember szerint ahol kritikus adatokat tárolnak, ott emiatt illene tanúsítványt cserélni, és a hazánkban is működő lakossági bankok közül az Index gyorstesztje alapján (a LastPass programját használtuk) ezt egyelőre csak az Erste tette meg. Egyelőre nem látható, mekkora az esélye egy tanúsítvány megszerezésének. Elképzelhető, hogy ezt rendszerek nagy részén egyszerűen lehetetlen megoldani, így ez a veszélyforrás egyelőre csak elméleti. Ráadásul, ha sikerül is megszerezni a privát kulcsot, az újabb támadáshoz már komolyabb felkészülés kell, célzottan.
A magyar bankok közül ma már elvileg egyik sem (egyértelműen) sebezhető, de ezeknél, és bármilyen másik, érzékeny adatokat kezelő szolgáltatásoknál mindenképpen érdemes jelszót változtatni.
Az itthon is ismert nemzetközi oldalak közül érintett, vagy nem egyértelműen nem érintett (azaz nem ismerték el hivatalosan, de nagy valószínűséggel náluk is létezett a hiba):
A Gmail szintén érintett lehetett, de mivel egy Google-alkalmazott fedezte fel ezt a problémát, valószínűleg jóval előbb javítottak, mint bárki más, ezért valószínűleg a masszív támadási hullámból kimaradtak. Szintén időben értesítést kaphatott a Facebook és az Amazon is.
A hiba ellenőrzésre alkalmas online eszközök sajnos nagyon megbízhatatlanok. A letölthető, helyi gépen futtatható tesztek megbízható eredményt adnak.
A kiberbiztonsági szakember szerint a jelszóváltoztatásnak akkor van értelme, ha már javították a problémát, ezért először erről győződjünk meg. Azok a szolgáltatások a legfontosabbak, ahol személyes, érzékeny adatok lehetnek: email, netbank, biztosítás, ezeknél mindenképpen érdemes jelszót cserélni. Legelőször pedig azoknál, melyeket az elmúlt két napban használtunk.
Ma már a netbankokon kívül is sok weboldalnál lehet használni kettős beléptetést: nem elég megadni a megfelelő jelszót és felhasználónevet, hanem kapunk egy SMS-t is a mobilunkra, és csak az abban lévő számsorral tudunk belépni. Ez azonban a mostani biztonsági résnél csak annyit segít, hogy a jelszavakat nem tudják újra használni, de ettől függetlenül beléphettek a nevünkben.