Neděle 29. listopadu 2020, svátek má Zina
  • schránka
  • Přihlásit Můj účet
  • Neděle 29. listopadu 2020 Zina

Chyba programátora ohrozila vaše e-maily i bankovní účty

Dva roky stará chyba programátora může i dnes odhalit vaši šifrovanou korespondenci, ale i bankovní konto.

Chyba programátora může být i váš problém

Místo aby se komunikace mezi vaším počítačem a například internetovým obchodem šifrovala číslem, jehož délku nelze do článku ani napsat a na počet jeho kombinací ani pomyslet, použité kódy byly podstatně kratší a sestávaly pouze z několika málo tisíc možností. Silný počítač pak potřebuje na jejich prolomení pár sekund - a zabezpečení jako by ani nebylo.

Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL, který používají některé banky, internetové obchody, e-mailové servery apod. způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.

"S chybou se lze setkat při jakémkoliv použití šifrování. Uživatel přitom vůbec nemusí vědět, že šifrování používá," říká o problému odborník na internetovou bezpečnost Tomáš Přibyl. "Například vždy při ověřování certifikátu nebo při navazování některých typů komunikace," dodává Přibyl.

Například na odčerpání peněz z cizího účtu však využití této chyby naštěstí nestačí. Útočník může s její pomocí "odposlechnout" komunikaci zákazníka s bankou, ale peníze ukrást nedokáže. "Čistě teoreticky se tato chyba k odcizení peněz využít dá. Útočník však potřebuje ještě daší informace/atributy," vysvětluje Přibyl.

Data běžně nechrání pouze šifrovací klíč, ale například i heslo. Pokud je klíč slabý (jako v tomto případě), záleží na síle hesla. Pokud má útočník k dispozici zašifrovaná data a ta jsou šifrována slabým klíčem, může heslo snadno získat. Pokud je heslo nedokonalé, útočník jej snadněji překoná a je u cíle... "Jde o to, že slabý klíč zeslabuje celou bezpečnost," vysvětluje Přibyl.

Chybu v komponentě Debian OpenSSL nikdo neobjevil dva roky, což dalo čas k rozšíření jejích nemocných dětí - chybně vygenerovaných klíčů. Nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux.

Náprava je poměrně jednoduchá a ve většině případů k ní již pravděpodobně došlo. Problém však zůstává například u drobných uživatelů, kterým byl certifikát vygenerován chybně a klíč, jenž jim je na základě toho přidělován (například pro komunikaci s e-shopem) je slabý a snadno prolomitelný. Každý takto postižený zákazník by si musel nechat certifikát změnit.

"Ohrožený je každý uživatel zasažených distribucí. Chyby v programech neznají hranice (výjimkou jsou jen chyby týkající se lokalizace nebo lokalizovaných verzí, což ale není tento případ)," dodává bezpečnostní odborník Tomáš Přibyl.

Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx - další informace v článku Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené.

Dva roky se nic nedělo...

Sám fakt, že chyba je stará již dva roky a celou dobu se pravděpodobně nic zásadního nedělo, neznamená, že není nebezpečná. Právě naopak. To nejhorší může teprve přijít. Dokud se totiž o chybě nevědělo, pravděpodobnost zneužití byla výrazně nižší.  

"Problém může nastat právě v tuto chvíli, kdy je chyba již známá a kdy by nekteří uživatelé mohli vlastní neznalostí nebo z jiného důvodu zůstat nechráněni. Jinými slovy, doteď byla její nebezpečnost nízká, od této chvíle je vysoká," upozorňuje Přibyl. "Problémy mohou nastat i zpětně u dat zašifrovaných nebo vytvořených s její pomocí dosud," dodává.


Týká se to i mě?

. 

Využíváte-li programy a software s vyšším důrazem na bezpečnost, informujte se u jejich provozovatele/tvůrce, zda se vás tato chyba týká. Pokud ano, nechte si přegenerovat klíč a modifikovat certifikát. V každém případě je vhodné změnit stávající heslo a zvolit dostatečně silné, tedy: dlouhé, komplikované a nic neznamenající.

Autor:
  • Nejčtenější

Tahák: 20 klávesových zkratek, o nichž jste možná neměli ani potuchy

Uživatelé Windows jistě znají notoricky známé klávesové zkratky jako Alt + F4, Alt + Tab, Windows + E, Windows + C,...

Promoření? Odvážný sen, tragické následky. Stádní imunita funguje jinak

Jak se nejlépe zbavit covidu-19? Už od jara mluvili někteří odborníci o kontroverzní strategii známé jako „promořování“...

Toto umí nově váš Chrome a Firefox. Loučí se s Flashem a jsou rychlejší

Populární internetové prohlížeče Chrome a Firefox byly povýšeny do nových verzí. Pokud jste je ještě neaktualizovali,...

Měli lepší stroje Sověti, nebo Američané? O jednom neobyčejném souboji

Premium Když autu dojde palivo těsně před čerpací stanicí, můžete ho k ní dotlačit. Ale co dělat, když se totéž stane letadlu...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

Jak vydržet v ledové vodě? Finta je jednoduchá, popisují otužilci

Premium Klepat se zimou tak, že si nedokážete zavázat ani tkaničky u bot, a přitom se tomu smát? I to dokáže koupání v ledové...

Den se zaměstnanci pohřební služby: poslední rozloučení má dnes jiná pravidla

Premium MF DNES rozptyluje mýty o pohřebnictví v době koronaviru. Pohřeb do země možný je, i když se úplně nedoporučuje. O čem...

  • Další z rubriky

Co se děje s YouTube? Nejsledovanější se stala písnička o žralocích

YouTube se mění. Na platformě, kde se původně prosazovala hudební díla a herní videa od jednotlivců určená především...

YouTube chystá reklamu všude. O peníze se ale nerozdělí se všemi tvůrci

Velké změny chystá videoportál YouTube v pravidlech pro uživatele ve Spojených státech. Nově bude zveřejňovat reklamu u...

Facebook pustil vlastní seznamku už i do Česka

Více než rok poté, co sociální síť Facebook zprovoznila svou seznamku, míří tato nová služba i do Česka. Facebook...

Co je za znakem červeného blesku, který se šíří po sociálních sítích

Nejen na sociálních sítích můžete v posledních dnech vidět znak červeného blesku. Vzbuzuje kontroverzi. Někteří lidé v...

SOUTĚŽ: Vyhraj luxusní balíček fitness jídel v hodnotě 1 499 Kč
SOUTĚŽ: Vyhraj luxusní balíček fitness jídel v hodnotě 1 499 Kč

Sportuješ a ráda se hýbeš? Chceš svou snahu zefektivnit i vhodným jídelníčkem, ale nevíš, jak na něj? Nyní máš jedinečnou příležitost vyhrát...

Jsem znechucená, říká Eva Burešová, kterou vyfotili s Forejtem z MasterChefa

Eva Burešová (27) a Přemek Forejt (33) byli společně vyfoceni, jak vycházejí z domu, kde herečka bydlí. Hvězda seriálu...

Ordinace v růžové zahradě za půl roku skončí, co seriál nahradí?

Po více než patnácti letech od okamžiku, kdy padla první klapka, začal tvůrčí tým seriálu Ordinace v růžové zahradě 2...

Příběh Denisy: Manžel mě ignoruje, mám dva milence

S manželem jsme svoji osm let, máme dvě děti. S tím mladším jsem teď doma. Muž je věčně v práci a na nás nemá čas....

Tahák: 20 klávesových zkratek, o nichž jste možná neměli ani potuchy

Uživatelé Windows jistě znají notoricky známé klávesové zkratky jako Alt + F4, Alt + Tab, Windows + E, Windows + C,...

Kapitán je na tahu, bude šach mat, oznámil po líbánkách Pavel své ženě

Psycholožka, terapeut a genetička vybrali na základě testů i DNA mezi více než patnácti sty přihlášenými jednotlivci...