Veliko medijev, tudi naših, je o ranljivosti Heartbleed govorilo kot o virusu. To ni res! »Krvaveče srce« ni virus, ampak slabost oziroma ranljivost strežnikov, na katerih teče OpenSSL. In kaj je OpenSSL? Gre za odprtokodno različico protokola SSL (Secure Socket Layer). In kaj je SSL? Najpreprosteje ga razložimo tako, da gre za protokol oziroma način sporazumevanja med spletnim strežnikom in vašim brskalnikom, kjer se podatki šifrirajo na način, da jim ne more nihče »prisluškovati«, s čimer se zagotovi zasebnost v komunikaciji med vami in spletno stranjo, ki ste jo obiskali. SSL je v osnovi razvilo podjetje Netscape, gre pa za del širšega varnostnega protokola, imenovanega TLS (Transport Layer Security). V podrobnosti se ne bomo spuščali, pomembno je, da vemo, da gre za šifriranje povezave med vašim brskalnikom in spletno stranjo, ki jo obiščete. Takšno šifriranje pa ni prisotno na vseh spletnih straneh, saj za to ni nobene potrebe. Če obiskujete neko informativno spletno stran, ki ji ne pošiljate nobenih podatkov, potem za šifriranje ni razloga. Je pa to pomembno v primeru, kadar prek interneta pošiljate občutljive informacije, recimo kadar vpisujete uporabniško ime in geslo, kadar delate s svojo spletno banko, kupujete v spletni trgovini in podobno. V tem primeru pa je šifriranje povezave še kako pomembno. Zato je protokol SSL tesno povezan tudi z vašimi digitalnimi spletnimi certifikati, saj je v kombinaciji z njimi povezava še bolj varna. OpenSSL je le ena od različic SSL-ja, ki je nastala v odprtokodni skupnosti. Toliko o namenu SSL.
In kako veste, da je neka stran šifrirana s protokolom SSL? Največkrat je to opazno že v naslovu, kjer se spletna povezava ne začne s http://, ampak s https://. Drugi znak, ki ga boste verjetno opazili, je majhna ključavnica, ki se pojavi, ko obiščemo stran, šifrirano s SSL. Ta se pri nekaterih brskalnikih pokaže pred naslovom (Chrome, Firefox), pri drugih na koncu naslovne vrstice (Internet Explorer), pri nekaterih pa v statusni vrstici na dnu zaslona (starejše različice IE).
Kaj je Heartbleed?
Kaj je torej »krvaveče srce«? Gre za ranljivost, luknjo v omenjenem protokolu OpenSSL, torej za hrošča, pomanjkljivost v programski opremi. To ranljivost bi nepridipravi lahko izkoristili in odprli »luknjo«, s katero bi obšli šifriranje in prišli do občutljivih podatkov. Ne gre torej za virus – ta je običajno neki kos programa, ki se tako ali drugače vtihotapi v računalnik in tam naredi kaj zlobnega. »Krvaveče srce« ni kos programa, ki bi ga kdo nekam vsilil, ampak luknja v obstoječem sistemu.
Napaka je bila potrjena 7. aprila letos, prisotna pa je v vseh različicah OpenSSL razen 1.0.1g. Ranljivost je omejena le na strežnike, ki uporabljajo OpenSSL, druge različice SSL in TLS pa niso občutljive. A to ne pomeni, da je ranljivost zanemarljiva, saj je strežnikov, na katerih teče OpenSSL, veliko. Pravzaprav kar večina.
Ko je ranljivost prišla na dan, se je zanjo hitro našla rešitev. Ta je bila v nadgradnji na najnovejšo različico OpenSSL, ki je že na voljo. Tudi to se sliši kot nekaj, kar zmanjšuje pomembnost težave. A ni tako. Težava je v tem, da vsi upravitelji spletnih strani (še) niso izvedli nadgradnje, kar pomeni, da je težava še vedno prisotna, čeprav obstaja »zdravilo« zanjo. Bančne ustanove in večji spletni trgovci so, v primeru seveda, da uporabljajo OpenSSL, nadgradnjo skoraj zagotovo izvedli, ni pa nujno, da so jo vse spletne igralnice, strani z odraslo vsebino in podobne. Težava je torej vse prej kot nedolžna.
In kaj lahko storimo?
Kot je rekel dobri vojak Švejk: »Predvsem brez panike.« V zadnjih tednih je bilo na spletu in v tiskanih medijih napisano veliko, a večina od tega senzacionalistično in v veliki meri tudi naivno in neresnično, saj so izjave za javnost pogosto interpretirali in prevajali ljudje, ki, blago rečeno, niso doma v tovrstni terminologiji. In zato so bili na primer na veliko zapisani pozivi uporabnikom, naj takoj zamenjajo vsa svoja gesla, kar je le delno res oziroma koristno. A o tem pozneje.
Odgovorne ustanove, ki uporabljajo OpenSSL, vam bodo verjetno poslale kakšno sporočilo, v katerem vam bodo sporočile, da so nadgradile sistem in s tem zakrpale luknjo, in vam priporočile, da zamenjate geslo. Logično je, da jih bomo ubogali. A pri tem je treba biti previden. Takšna situacija je lahko idealna priložnost za nepridiprave, ki bi radi ribarili za gesli (phishing). Takšno sporočilo vam lahko pošlje tudi nekdo drug, ki se izdaja za trgovino, spletni portal ali podobno, v sporočilo prilepi povezave za spremembo gesla, ki pa seveda odpre lažno spletno stran, namenjeno ribarjenju za gesli in drugimi občutljivimi podatki. To vedo tudi skrbniki večine resnih spletnih strani in vam zato sporočil z vključeno povezavo do spremembe gesla nikoli ne bodo pošiljali. No, ja, skoraj nikoli. Eden takih je recimo Pinterest, ki je naredil natančno to. Gre za primer slabe prakse in takšnih povezav NIKOLI ne klikajte. Sporočilo o spremembi gesla nikoli ne bi smelo vključevati povezav do prijave. Če jih vsebuje, sporočilo izbrišite in pojdite na želeno spletno stran prek brskalnika, tako kot običajno, in prek nje spremenite geslo. A še to le v primeru, da je to potrebno. In zakaj »če je to potrebno«?
Ko je ranljivost prišla na plan, je bil prvi nasvet »poznavalcev« ta, da je treba takoj zamenjati gesla. In to vsa!
Žal pa je to ena glavnih dezinformacij, o katerih smo pisali na začetku. Vzemimo, da ste takšni kot večina uporabnikov in delate to napako, da imate za različne spletne storitve enaka gesla. Če boste na vrat na nos zamenjali vsa gesla v vseh storitvah, se bo zelo verjetno zgodilo to, da boste zamenjali geslo tudi v storitvi, kjer skrbniki še niso nadgradili sistema in luknja »krvaveče srce« še vedno obstaja. S tem ne le, da ste morebitnim nepridipravom, ki to luknjo izkoriščajo, zaupali novo geslo, dali ste jim tudi starega. Zato je gesla treba zamenjevati le v primeru, ko veste, da je skrbnik sistema storitve sistem ustrezno nadgradil in luknjo zakrpal. Seznam bolj znanih spletnih strani, ki pridejo v poštev pri menjavi gesel, lahko najdete na naslovu http://tiny.cc/eybiex, kjer najdete tudi nasvet o tem, ali je geslo sploh treba zamenjati, in če je, ali je nadgradnja sistema že izvedena. Za manjše spletne strani obstaja na naslovu https://filippo.io/Heartbleed/ zanimivo orodje oziroma spletna stran, ki vam pove, ali je bila spletna stran nadgrajena ali ne, podobno funkcijo pa opravlja tudi dodatek Chromebleed Checker za brskalnik Chrome.
Pravzaprav je najbolje – počakati
Krpanje »krvavečega srca« vam skoraj zagotovo ne bo delalo težav. Ubogajte Švejka in to, kar smo zapisali, pa skoraj zagotovo ne boste imeli težav. Geslo menjajte, ko boste zagotovo vedeli, da je bila storitev sploh potrebna nadgradnje, torej če je spletna stran uporabljala OpenSSL, in če je bila, ali je bila nadgradnja izvedena. Malo si lahko pomagate tudi z orodji, ki smo jih opisali. Pri vsem skupaj pa je treba vedeti še nekaj – to, da obstaja neka luknja v sistemu, še nujno ne pomeni, da jo je kdo izkoristil. Če pozabimo zakleniti vhodna vrata, ko gremo od doma, še ne pomeni, da bo kdo zagotovo prišel v stanovanje in nam kaj ukradel. Pomeni le, da obstaja nevarnost, da se to zgodi. Pri Heartbleedu za zdaj torej govorimo o potencialni grožnji, ki pa je zaradi svoje narave in pogoste uporabe OpenSSL seveda lahko nevarna. Poleg tega je bil popravek izdan skoraj takoj, tako da informacij o luknji nepridipravi še niso imeli časa izkoristiti. Razen če so jo seveda poznali že prej.
Moj mikro, Maj - Junij 2014 | Miha Gradišnik
