Premium

Získejte všechny články
jen za 89 Kč/měsíc

Chyba programátora ohrozila vaše e-maily i bankovní účty

Dva roky stará chyba programátora může i dnes odhalit vaši šifrovanou korespondenci, ale i bankovní konto.

Chyba programátora může být i váš problém

Místo aby se komunikace mezi vaším počítačem a například internetovým obchodem šifrovala číslem, jehož délku nelze do článku ani napsat a na počet jeho kombinací ani pomyslet, použité kódy byly podstatně kratší a sestávaly pouze z několika málo tisíc možností. Silný počítač pak potřebuje na jejich prolomení pár sekund - a zabezpečení jako by ani nebylo.

Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL, který používají některé banky, internetové obchody, e-mailové servery apod. způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.

"S chybou se lze setkat při jakémkoliv použití šifrování. Uživatel přitom vůbec nemusí vědět, že šifrování používá," říká o problému odborník na internetovou bezpečnost Tomáš Přibyl. "Například vždy při ověřování certifikátu nebo při navazování některých typů komunikace," dodává Přibyl.

Například na odčerpání peněz z cizího účtu však využití této chyby naštěstí nestačí. Útočník může s její pomocí "odposlechnout" komunikaci zákazníka s bankou, ale peníze ukrást nedokáže. "Čistě teoreticky se tato chyba k odcizení peněz využít dá. Útočník však potřebuje ještě daší informace/atributy," vysvětluje Přibyl.

Data běžně nechrání pouze šifrovací klíč, ale například i heslo. Pokud je klíč slabý (jako v tomto případě), záleží na síle hesla. Pokud má útočník k dispozici zašifrovaná data a ta jsou šifrována slabým klíčem, může heslo snadno získat. Pokud je heslo nedokonalé, útočník jej snadněji překoná a je u cíle... "Jde o to, že slabý klíč zeslabuje celou bezpečnost," vysvětluje Přibyl.

Chybu v komponentě Debian OpenSSL nikdo neobjevil dva roky, což dalo čas k rozšíření jejích nemocných dětí - chybně vygenerovaných klíčů. Nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux.

Náprava je poměrně jednoduchá a ve většině případů k ní již pravděpodobně došlo. Problém však zůstává například u drobných uživatelů, kterým byl certifikát vygenerován chybně a klíč, jenž jim je na základě toho přidělován (například pro komunikaci s e-shopem) je slabý a snadno prolomitelný. Každý takto postižený zákazník by si musel nechat certifikát změnit.

"Ohrožený je každý uživatel zasažených distribucí. Chyby v programech neznají hranice (výjimkou jsou jen chyby týkající se lokalizace nebo lokalizovaných verzí, což ale není tento případ)," dodává bezpečnostní odborník Tomáš Přibyl.

Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx - další informace v článku Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené.

Dva roky se nic nedělo...

Sám fakt, že chyba je stará již dva roky a celou dobu se pravděpodobně nic zásadního nedělo, neznamená, že není nebezpečná. Právě naopak. To nejhorší může teprve přijít. Dokud se totiž o chybě nevědělo, pravděpodobnost zneužití byla výrazně nižší.  

"Problém může nastat právě v tuto chvíli, kdy je chyba již známá a kdy by nekteří uživatelé mohli vlastní neznalostí nebo z jiného důvodu zůstat nechráněni. Jinými slovy, doteď byla její nebezpečnost nízká, od této chvíle je vysoká," upozorňuje Přibyl. "Problémy mohou nastat i zpětně u dat zašifrovaných nebo vytvořených s její pomocí dosud," dodává.


Týká se to i mě?

. 

Využíváte-li programy a software s vyšším důrazem na bezpečnost, informujte se u jejich provozovatele/tvůrce, zda se vás tato chyba týká. Pokud ano, nechte si přegenerovat klíč a modifikovat certifikát. V každém případě je vhodné změnit stávající heslo a zvolit dostatečně silné, tedy: dlouhé, komplikované a nic neznamenající.

  • Nejčtenější

Podívejte se na letadlo, které bude řídit konec světa. Dovolá se ponorkám

Firma Northop Grumman zveřejnila obrázky plánovaného letounu E-130J pro americké námořnictvo. V případě třetí světové války má za úkol obstarat spojení s raketonosnými ponorkami. Používá k tomu...

Majitel Amazonu vyzývá Muskovu SpaceX. První let rakety ale odložil

Zakladatel Amazonu Jeff Bezos chce dobývat vesmír podobně jako Elon Musk. Jeho firma Blue Origin provozuje nosiče New Shepard a chystá se stavět na oběžné dráze soustavu komunikačních družic Kupier,...

Těšíte se? Na trh míří řada famózních televizorů, některé nás překvapily

Las Vegas (Od zpravodaje Technet.cz) Některé jsme čekali, jiné překvapily. Na veletrhu CES 2025 jsme viděli velké množství skvělých televizorů i nových televizních technologií, které míří na trh. Některé dorazí letos, na jiné si možná...

Odkud pochází syfilida? Nová studie ukončuje staletí sporů o původu nemoci

Premium

Kde se zrodila bakterie Treponema pallidum pallidum vyvolávající syfilidu? Letitou „přehazovanou“, kdy se za místo vzniku choroby střídavě označovaly Evropa a Amerika, by měla ukončit nová genetická...

Bezos poprvé vypustil svou raketu, která může konkurovat Muskově SpaceX

Firma Blue Origin zakladatele Amazonu Jeffa Bezose úspěšně vypustila z floridského mysu Canaveral svou novou raketu New Glenn. Po několika odkladech způsobených počasím a naposledy i technickým...

Na orbitě je nová česká vojenská družice. SATurnin-1 bude snímat Zemi

Satelitní centrum českého Vojenského zpravodajství může využívat novou družici. Na oběžné dráze je od úterý 14. ledna nová družice SATurnin-1. Na své palubě má teleskop, který umožní pořizovat...

17. ledna 2025  13:13

Lidstvo prohrává boj s oteplováním. Země se ohřála o víc než 1,5 stupně

Nárůst průměrné teploty zemského povrchu během roku 2024 překonal preferovanou hranici, na níž se shodly signatářské země Pařížské smlouvy z roku 2016. Přesné stanovení roku, kdy k překročení limitu...

17. ledna 2025

Apple ukazuje, proč umělé inteligenci nemůžeme zase až tolik věřit

Apple testuje v rámci svého nasazení AI řadu zábavných i praktických funkcí. Jedna z nich sumarizuje zpravodajská oznámeni. Toto shrnutí zpravodajských aplikací v rámci systému Apple Intelligence,...

17. ledna 2025  9:56

Muskovi se podařilo část rakety chytit „mechanickou godzillou“, o druhou přišel

Sedmý testovací let kosmické lodi Starship společnosti SpaceX plánovaný na čtvrtek půl hodiny před půlnocí měl znovu ukázat, že firma dokáže zachytit přistávací stupeň do mechanických „kleští“ na...

16. ledna 2025,  aktualizováno  17.1 9:10

Domácí lékárnička: Co patří do lékárničky pro děti?
Domácí lékárnička: Co patří do lékárničky pro děti?

Mít správně vybavenou domácí lékárničku je velice důležité pro efektivní poskytnutí první pomoci, zejména dětem. Bez ohledu na to, zda se jedná o...

Eva Adamczyková je maminkou. Olympionici prozradili jméno miminka

Snowboardistka Eva Adamczyková (31) a herec Marek Adamczyk (37) se stali rodiči. Narození jejich prvního potomka na...

Zvládla jsem tisíc mužů za dvanáct hodin. To je rekord, říká Bonnie z OnlyFans

Pornoherečka Bonnie Blue (25) svůj obsah na OnlyFans a sociálních sítích považuje za vzdělávací. Za cíl měla v...

Miliardář Leon Tsoukernik po užití léku zkolaboval. Není jasné, zda se probudí

Miliardář a blízký přítel Ivany Gottové Leon Tsoukernik (51) zkolaboval ve svém sídle v Chodové Plané. Podle médií se...

Hrachovcová nafotila akty s Hynkem Čermákem. Není to jen o tělech, říká

Tatérka a koučka Kateřina Kaira Hrachovcová (50) má postavu dvacítky. Postavit se před objektiv herce Hynka Čermáka...

Kdo nečeká, není Čech. Antireklama na Českou poštu ovládla sítě, smějí se i pošťáci

Sociálními sítěmi se od středy rychle šíří zábavné video režiséra Vladimíra Špičky, které si dělá legraci z České...