Chyba v knihovně OpenSSL teoreticky umožňuje útočníkovi zjistit přístupové údaje při přihlašování, v ohrožení se tak ocitla řada uživatelů webových služeb. Naštěstí není situace až tak dramatická, protože ihned po objevení chyby byla vydána i aktualizace knihovny OpenSSL, která tuto bezpečnostní díru zaslepuje. U služeb, které problematickou knihovnu využívaly, je však vhodné změnit uživatelské heslo.
Z pohledu běžného uživatele není jednoduché zjistit, které webové služby byly chybou dotčeny a má u nich smysl takto reagovat. Na webu Živě.cz proto vznikl aktualizovaný seznam nejpoužívanějších českých i zahraničních webů s informací, zda je u nich vhodné heslo změnit či ne.
Není nutné všude měnit hesla
Ne všechny servery musí využívat OpenSSL. Odhaduje se však, že dvě třetiny z nich tak činí. Patří mezi ně například i servery Googlu, Facebooku nebo Seznamu. Nejkritičtější služby internetového bankovnictví jsou ale naštěstí zcela mimo ohrožení touto chybou, protože bankovní systémy využívají zpravidla jiné metody šifrování. Z oslovených českých bank redakce Živě.cz nenarazila na žádnou, která by OpenSSL u svého internetového bankovnictví využívala.
Přestože chyba vznikla před dvěma roky, byla objevena až nyní. Naštěstí bezpečnostními experty a nikoli záškodníky, kteří by ji mohli zneužít. Ale stoprocentně si tím nemůžeme být jist nikdo. Chyba je totiž zákeřná v tom, že po útoku nezůstanou žádné stopy. Z preventivních důvodů se proto doporučuje na webech, kde byla dotčená knihovna využívána, změnit heslo k uživatelskému účtu. To však má smysl učinit až poté, kdy administrátoři knihovnu aktualizují na opravenou verzi.
Co je OpenSSL |
---|
Knihovna OpenSSL je velmi rozšířená sada funkcí pro zajištění šifrované komunikace, kterou programátoři využívají ve svých aplikacích, nejčastěji webových. Typicky se šifrované komunikace využívá u přístupu k uživatelským účtům, ať už jde o e-maily, sociální sítě, e-shopy, či bankovní aplikace. Běžný uživatel takový zabezpečený přístup pozná podle adresy začínající https: a zobrazením certifikátu v internetovém prohlížeči. |