Od dwóch lat większość naszych – potencjalnie bezpiecznych – połączeń ze stronami banków była narażona na atak cyberprzestępców. Wszystko za sprawą luki, nieoficjalnie nazywanej „Heartbleed”. Błąd w bibliotece OpenSSL pozwala na kradzież haseł, co w efekcie umożliwia przeglądanie szyfrowanych danych. Błąd został odnaleziony przez zespół z firmy Codenomicon oraz Adama Langleya i Neela Mahta, pracowników Google’a. Według ekspertów z Google, luka w bibliotece istnieje już od 2011 roku.


OpenSSL to biblioteka szyfrująca komunikację na stronach internetowych, poczcie elektronicznej oraz komunikatorach. Korzystają z niej takie systemy operacyjne jak Windows, Linux czy też Solaris.

Luka ta znajduje się w bibliotece OpenSSL, więc jej załatanie wymaga aktualizacji biblioteki OpenSSL do wersji 1.0.1g (lub nałożenia patcha na istniejącą wersję). Niektóre starsze wersje biblioteki nie są podatne. Sama aktualizacja biblioteki jednak nie wystarcza. Należy również pamiętać o zrestartowaniu usług, które korzystają z tej biblioteki, tak, aby załadowały nową wersję.

W gorszej sytuacji jesteśmy, jeśli nasze oprogramowanie zostało zlinkowane statycznie z biblioteką OpenSSL. W takiej sytuacji pozostaje nam albo ponowna kompilacja, albo czekanie na producenta, żeby wydał aktualizację.
Google poważny błąd w tej bibliotece wykrył 8 kwietnia. Jak się okazuje, od 2011 roku istnieje luka, która w praktyce pozwala na odszyfrowanie i wykradzenie zawartości emaili, haseł i nazw użytkownika używanych w trakcie logowania się na różnych witrynach internetowych, między innymi takich jak serwisy transakcyjne banków. Eksperci nie mają złudzeń co do powagi zagrożenia. Brue Schneier określił je jako „katastrofę”. – W skali od jednego do 10, daję mu 11 – powiedział specjalista od zabezpieczeń i szef Co3 Systems w wywiadzie dla BBC News.

W przeciwieństwie do wykrytego wcześniej błędu w systemie operacyjnym Apple, ta luka nie zostawia żadnego śladu ataku, bo nie wymaga korzystania z techniki man-in-the-middle. Napastnik może bez problemu przechwycić dane szyfrowane za pomocą OpenSSL bez zostania zauważonym.

Jak na razie nie ma potwierdzonych informacji dotyczących wykorzystania tego błędu przez hakerów. Producent OpenSSL opublikował 9 kwietnia zaktualizowaną wersję OpenSSL, która usuwa ten błąd. Obejmuje ona najnowsze biblioteki, ponieważ starsze wersje nie mają tej luki.

W jakim stopniu polskie serwisy są zagrożone?

Ze skanowania polskiej przestrzeni adresów IP (a przynajmniej jej przybliżonej, publicznej wersji) oraz portu 443 wynika iż:

  • 15737 było podatnych co stanowi 1.8% wszystkich adresów IPv4, które miały otwarty port 443,
  • 675478 nie było podatnych, co stanowi 76.8% jak wyżej.

Pozostałe adresy albo nie odpowiadały albo zgłaszały błąd połączenia. Jedną z najczęściej występujących domen, były domeny zakończone na edu.pl.

Z 13490 najpopularniejszych (według alexa.com) adresów w domenie .pl 765 (5.7%) jest podatnych, w tym kilkanaście dużych sklepów internetowych.

W systemie ARAKIS również zaobserwowano wzrost aktywności na portach TCP, które są najczęściej związane z SSL: 443 (HTTPS), 465 (SMTPS), 993 (IMAP), 995 (POP3).

CERT zaleca aktualizację biblioteki OpenSSL oraz restart wszystkich serwisów. W celu zapewnienia większego bezpieczeństwa radzi też wymianę certyfikatów SSL używanych zarówno do szyfrowania jak i do uwierzytelniania użytkowników. Użytkownicy, aby zapewnić sobie pewność, że ich dane nie wyciekły, powinni zmienić wszystkie hasła, których używali.

źródło: CERT Polska

Kan