„OpenSSL“ yra populiarus įrankis, leidžiantis užšifruoti ryšį, kad klientai galėtų saugiai siųsti ir gauti duomenis internetu (pvz., naudodamiesi interneto bankininkyste, socialiniais tinklais ir pan.). Jei adreso laukelyje matote ne „https://“, o „https://“, vadinasi, ryšys su svetaine yra šifruojamas.
Atvirojo kodo protokolą „OpenSSL“ naudoja ne tik daugybė tinklalapių, kuriems svarbu ryšio šifravimas, bet ir kai kurie techninės ar programinės įrangos gamintojai (pvz., jis integruotas „Android“ sistemoje, kai kuriuose maršrutizatoriuose ir kt.). Todėl kai balandžio mėnesį buvo aptikta itin didelį pavojų kėlusi „Kraujuojančios širdies“ spraga, administratoriai buvo priversti skubiai diegti sistemų atnaujinimus, kad jas apsaugotų.
Žibalas į ugnį
Dar nespėjus ataušti diskusijoms apie šią spragą, praėjusią savaitę „OpenSSL“ programuotojų-savanorių bendruomenė paskelbė išleidę naują protokolo versiją. Kodėl? Pasirodo, buvo atrasti dar 6 nauji pažeidžiamumai.
Visus juos aptiko skirtingi programuotojai. Keturi iš jų nekelia didelės įsilaužimo grėsmės: pasinaudojus jais įmanoma nebent sutrikdyti serverio darbą, įvykdant vadinamąją DDoS (angl. Distributed Denial of Service) ataką.
Tačiau kiti du – rimtesni. Pasinaudojus viena spraga įsilaužėlis galėtų perimti visą serverio valdymą – taip pat ir jame esančius duomenis. Tiesa, ji aktuali tik tais atvejais, kai aktyvuota speficinė funkcija „Datagram Transport Layer Security“, o ji dauguma atvejų nėra naudojama.
Antroji rimta spraga „OpenSSL“ protokole egzistavo mažiausiai 15 metų. Ji leidžia įvykdyti vadinamąją „žmogaus viduryje“ ataką, kuomet įsilaužėlis gali slapčia perimti duomenis, keliaujančius tarp serverio ir kliento, bei juos modifikuoti. Tai atliekama protokolu siunčiant tam tikrus pranešimus klaidinga tvarka ir apgaunant sistemą, esą sudarytas saugus susijungimas. Ši spraga aktuali daugeliui protokolo naudotojų.
Visgi ši skylė kelia kur kas mažesnį pavojų nei „Kraujuojanti širdis“. Mat „žmogaus viduryje“ ataka yra gerokai sudėtingesnė užduotis programišiui, be to, tiek serveris, tiek klientas turi naudoti pažeidžiamą „OpenSSL“ versiją, o tai – retas atvejis, man dauguma populiarių interneto naršyklių naudoja kitas alternatyvas.
Ką gali padaryti eiliniai vartotojai? Iš esmės, specialių veiksmų dėl to imtis nereikia, bet jei kuri nors prie interneto besijungianti programa ar priedas (pvz., grotuvas, naršyklė, ar pokalbių programa) pageidautų atsinaujinti – nedelskite ir naujinius įdiekite.
