Rendkívül súlyos hibát találtak a héten a Google és a finn Codenomicon cég biztonsági szakemberei az OpenSSL nevű titkosítási technológiában, amelyet széles körben alkalmaznak a webes szolgáltatások használatának védelmére.
Varga-Perke Bálint, a Silent Signal cég IT-biztonsági szakértője az Origónak elmagyarázta: a Heartbleed (magyarul nagyjából vérző szív) névre keresztelt biztonsági hiba lehetővé teszi, hogy illetéktelenek férjenek hozzá az egyébként titkosított kommunikációra a felhasználó és a szerverek között.
Ezt például egy internetbank-szolgáltatás esetében úgy lehet elképzelni, hogy a kiberbűnözők megfelelően megírt lekéréseket küldnek a banki rendszernek, amely a hiba miatt nem csak az ügyfélnek, hanem a hackernek is továbbítja a kommunikáció részleteit, dekódolt formában.
Varga-Perke szerint a hiba ugyan nem teszi lehetővé, hogy a hackerek célzottan kérjenek le bizonyos adatokat, de saját próbái alapján ezzel a módszerrel (célzott támadás nélkül is) számos privát adathoz, akár jelszavakhoz, felhasználói nevekhez is hozzá lehet férni.
A hiba miatt arra is van mód, hogy illetéktelenek megszerezzék azt a session ID-nek nevezett azonosítót, amelyet a böngésző akkor kap meg, amikor egy felhasználó sikeresen megadta a jelszavát, vagy hitelesítette magát akár SMS-en keresztül is. Ennek az azonosítónak a birtokában gyakorlatilag úgy is be lehet lépni internetes szolgáltatásokra, hogy nem ismerjük valakinek a felhasználói nevét vagy jelszavát.
A magyar szakértő szerint az ilyen jellegű visszaélések ellen vezették be az internetbanki szolgáltatások esetében azt, hogy például utalások előtt a felhasználónak újból hitelesítenie kell magát további SMS-ekkel. Ha valakinél egy ilyen védelmi szolgáltatás aktív, annak hiába lépnek be az ellopott azonosítóval a fiókjába, nem tudnak a nevében utalni. Az Origo megkereste a legnagyobb hazai bankokat is a Heartbleed hibával kapcsolatban, ha megkapjuk válaszaikat a hazai felhasználók biztonsági teendőiről, ezekkel az információkkal frissíteni fogjuk a cikket.
A K&H Banktól megtudtuk, hogy a sérülékenység nem érinti az ügyfeleiket (így azoknak nem kell sorn kívül jelszót sem váltaniuk), mivel a cég más technológiát alkalmaz a titkosításhoz. A CIB Banknál azt mondták, hogy az ügyfeleket is érintő rendszerek között nem volt megtalálható az OpenSSL hibájával kapcsolatos szerver. Emellett a cég kötelezővé tette internetbanki szolgáltatásainak használatához az automatikus jelszógenerátor használatát, ami ugyancsak megakadályozta volna azt, hogy mások utalhassanak az ügyfél nevében - írták az Origónak. Az UniCredit Bank ugyancsak azt közölte, hogy nem érinti internetbanki rendszereit az OpenSSL sérülékenysége.
Az Erste Banktól pénteken kaptunk választ, ők jelezték, hogy javították a sérülékenységet, és cserélték az érintett webszerver digitális tanúsítványait is. Ez a társaság jelszócserét javasol ügyfeleinek.
Varga-Perke Bálint kiemelte, hogy a hiba miatt az internetes kommunikáció titkosításához használt, a szolgáltatók oldalán elvileg nagyon őrzött privát kulcs kinyerésére is van lehetőség. Bár ennek az esélye meglehetősen kicsi, egy ilyen kulcs birtokában gyakorlatilag szabadon lehetne hozzáférni az egyébként védett kommunikációhoz (például a Facebookon vagy egy bank és az ügyfele között).
Több internetes oldal, köztük a Mashable technológiai blog is összeállított listát arról, hogy mely szolgáltatásokat érinti az OpenSSL-ben lévő hiba, és mely oldalak esetében javították már ki. A szakember szerint ezeket a listákat érdemes fenntartásokkal kezelni, mert sokszor nem tartalmaznak pontos információkat, saját próbái során ugyanis előfordult, hogy egy elvileg már védett szájton reprodukálni lehetett a hibát.
Varga-Perke azt javasolja a felhasználóknak, hogy a kritikus szolgáltatások – például Google-fiók, e-mail, Facebook vagy internetbank, online fizetési szolgáltatások – esetében változtassanak jelszót különösen akkor, ha ezeket az elmúlt napokban használták –, hiszen ekkor nyílt lehetőség adataik ellopására. A hibát orvosló javítást egyébként már elérhetik a szolgáltatásokat üzemeltetők, de bizonyos esetekben a korábban használt digitális tanúsítványok visszavonására is szükség lesz. Azt sem tudni még biztosan, hogy a hibát a Google és a Codenomicon szakértői mellett korábban mások nem ismerték és használták-e.