Pondělí 17. ledna 2022, svátek má Drahoslav
  • schránka
  • Přihlásit Můj účet
  • Pondělí 17. ledna 2022 Drahoslav

Chyba programátora ohrozila vaše e-maily i bankovní účty

Dva roky stará chyba programátora může i dnes odhalit vaši šifrovanou korespondenci, ale i bankovní konto.

Chyba programátora může být i váš problém

Místo aby se komunikace mezi vaším počítačem a například internetovým obchodem šifrovala číslem, jehož délku nelze do článku ani napsat a na počet jeho kombinací ani pomyslet, použité kódy byly podstatně kratší a sestávaly pouze z několika málo tisíc možností. Silný počítač pak potřebuje na jejich prolomení pár sekund - a zabezpečení jako by ani nebylo.

Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL, který používají některé banky, internetové obchody, e-mailové servery apod. způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.

"S chybou se lze setkat při jakémkoliv použití šifrování. Uživatel přitom vůbec nemusí vědět, že šifrování používá," říká o problému odborník na internetovou bezpečnost Tomáš Přibyl. "Například vždy při ověřování certifikátu nebo při navazování některých typů komunikace," dodává Přibyl.

Například na odčerpání peněz z cizího účtu však využití této chyby naštěstí nestačí. Útočník může s její pomocí "odposlechnout" komunikaci zákazníka s bankou, ale peníze ukrást nedokáže. "Čistě teoreticky se tato chyba k odcizení peněz využít dá. Útočník však potřebuje ještě daší informace/atributy," vysvětluje Přibyl.

Data běžně nechrání pouze šifrovací klíč, ale například i heslo. Pokud je klíč slabý (jako v tomto případě), záleží na síle hesla. Pokud má útočník k dispozici zašifrovaná data a ta jsou šifrována slabým klíčem, může heslo snadno získat. Pokud je heslo nedokonalé, útočník jej snadněji překoná a je u cíle... "Jde o to, že slabý klíč zeslabuje celou bezpečnost," vysvětluje Přibyl.

Chybu v komponentě Debian OpenSSL nikdo neobjevil dva roky, což dalo čas k rozšíření jejích nemocných dětí - chybně vygenerovaných klíčů. Nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux.

Náprava je poměrně jednoduchá a ve většině případů k ní již pravděpodobně došlo. Problém však zůstává například u drobných uživatelů, kterým byl certifikát vygenerován chybně a klíč, jenž jim je na základě toho přidělován (například pro komunikaci s e-shopem) je slabý a snadno prolomitelný. Každý takto postižený zákazník by si musel nechat certifikát změnit.

"Ohrožený je každý uživatel zasažených distribucí. Chyby v programech neznají hranice (výjimkou jsou jen chyby týkající se lokalizace nebo lokalizovaných verzí, což ale není tento případ)," dodává bezpečnostní odborník Tomáš Přibyl.

Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx - další informace v článku Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené.

Dva roky se nic nedělo...

Sám fakt, že chyba je stará již dva roky a celou dobu se pravděpodobně nic zásadního nedělo, neznamená, že není nebezpečná. Právě naopak. To nejhorší může teprve přijít. Dokud se totiž o chybě nevědělo, pravděpodobnost zneužití byla výrazně nižší.  

"Problém může nastat právě v tuto chvíli, kdy je chyba již známá a kdy by nekteří uživatelé mohli vlastní neznalostí nebo z jiného důvodu zůstat nechráněni. Jinými slovy, doteď byla její nebezpečnost nízká, od této chvíle je vysoká," upozorňuje Přibyl. "Problémy mohou nastat i zpětně u dat zašifrovaných nebo vytvořených s její pomocí dosud," dodává.


Týká se to i mě?

. 

Využíváte-li programy a software s vyšším důrazem na bezpečnost, informujte se u jejich provozovatele/tvůrce, zda se vás tato chyba týká. Pokud ano, nechte si přegenerovat klíč a modifikovat certifikát. V každém případě je vhodné změnit stávající heslo a zvolit dostatečně silné, tedy: dlouhé, komplikované a nic neznamenající.

Autor:

CES 2022 - největší veletrh spotřební elektroniky

Veletrh CES je největší událost v oblasti spotřební elektroniky a IT každoročně pořádaný v lednu v Las Vegas.

Další témata: Koronavirus  Omikron  Sonda Parker Solar Probe Dalekohled Jamese Webba 

  • Nejčtenější

Skromný klavírista z Polabí vytvořil hvězdný atlas, který se používá dodnes

Když v roce 1979 objevili astronomové Eleanor F. Helinová a Shelte J. Bus z australské observatoře Siding Spring novou...

Životnost SSD není nekonečná. Nepodceňujte varovné signály

Premium SSD datová úložiště jsou rychlejší, stabilnější a spotřebovávají méně energie než tradiční pevné disky (HDD). Ale ani...

Přeletěli nejvyšší horu Afriky. Kilimandžáro překonali v balonu

Exkluzivně „Pohled přímo do kráteru byl nezapomenutelný,“ líčí pilot Kurt Frieden okamžik, kdy 6. prosince 2021 ve výšce 6 100 m...

Nadchlo nás: deset nejzajímavějších „tech hraček“, co půjdou letos koupit

Premium Na veletrhu CES v Las Vegas jsou vždy představeny tisíce nových produktů, které se dříve či později dostanou na trh. Na...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Co je to Metaverse? Pokud vás děsí Facebook, tak to nechtějte vědět

Premium Má to být ta pověstná „příští velká věc“. Nový internet. Splynutí fyzického a digitálního světa. Každá firma chce „být...

Velký test samotestů na covid: lépe fungují výtěrové, některé neodhalí nic

Premium Ještě před dvěma lety znamenaly dvě čárky na testu, že se budou chystat křtiny, delta byly americké aerolinky, gama...

Nečekaný příbuzenský vztah. Vévodkyně Kate a Meghan pojí krev Přemyslovců

Premium Učebnice mluví jasně. Přemyslovci vymřeli po meči v roce 1306, kdy byl mladičký král Václav III. zákeřně zavražděn...

Češi investují do kryptoměn ve velkém. Stát řeší, jak je přinutit přiznat zisky

Premium Ještě nedávno byly virtuální měny jako bitcoin investicí především pro lidi, kteří chtěli experimentovat a nebáli se...

  • Další z rubriky

Aktivujte si ve wi-fi speciální režim hosta nejen pro vánoční návštěvu

Dokážete přežít svátky bez wi-fi? Pravděpodobně ne. Konec roku se přitom nese v duchu různých, nejen rodinných návštěv....

Chybu cloudových i herních serverů zkouší masivně zneužívat útočníci

Černou můrou provozovatelů cloudových úložišť a serverů se stala chyba označovaná jako Log4j. Jedna bezpečnostní firma...

PODCAST: Jak Wikipedie shání autory a co nabízejí její placené služby

Wikipedie se za dvě desítky let stala fenoménem, ale ne každý ví, jak přesně funguje, kdo ji financuje, kdo do ní může...

Ulož.to nabízí 20 GB rychlého stahování. Musíte ovšem nahrát QR kód očkování

Se zajímavým ovšem trochu kontroverzním způsobem podpory očkování přichází portál Ulozto.cz. Každému zájemci, který...

Obezita je onemocnění: Proč dieta nestačí?
Obezita je onemocnění: Proč dieta nestačí?

Obezita je onemocnění, se kterým si moderní medicína umí dobře poradit. Prvním krokem na cestě ke zdravějšímu organismu by proto měla být návštěva...

Co bolí nejvíc? Ani porod, ani kopanec do varlat. Lékaři sestavili žebříček

Bolí nejvíc porod, nebo když muže nakopnete do varlat? Ani jedno. Podle průzkumu britské Národní zdravotnické služby...

Lela má poměr s jiným. Hrál si na kamaráda, spal s mou ženou, říká Vémola

Karlos Vémola (36) se v emotivním nočním živém vysílání na sociálních sítích svěřil s tím, že opět řeší problémy ve...

Ženy před objektivem: Když činžák ukrývá milovnici BDSM

Je to jako nahlédnout do života neobyčejné obyvatelky obyčejného domu. Fotoset slovenské modelky Patrície naznačuje, že...

Chybné ceny Lega vyvolaly vlnu nákupů. E-shop objednávky stornoval

První lednový víkend byl plný slev napříč všemi kategoriemi. Ovšem pro milovníky Lega se stal infarktovým momentem. Na...

Zemřela Adalia Rose. Holčička, která předčasně stárla

Adalia Rose byla velkou bojovnicí. Podle lékařů měla zemřít kvůli progerii krátce po porodu. Dožila se ovšem patnácti...