OpenSSL Heartbleed Bug – poważna luka prosto z serca

Na wstępie chcielibyśmy poinformować, że wszystkie serwery bitebyte.pl zostały zaktualizowane natychmiast po pojawieniu się stosownego patcha likwidującego krytyczny błąd biblioteki OpenSSL CVE-2014-0160, znanym bliżej jako OpenSSL Heartbleed Bug. Sytuacja jest na tyle poważna, że powstała nawet osobna strona internetowa, która opisuje bardzo dokładnie, z czym mamy do czynienia: http://heartbleed.com/

Mimo, iż OpenSSL (zgodnie z nazwą) jest biblioteką opartą o opensource, gdzie każdy ma wgląd do jej, to dopiero po dwóch latach dwóm, niezależnym zespołom (Google oraz Codenomicon) udało się zlokalizować lukę. Zapewne pojawiły się już teorie spiskowe, jakoby to agencje wywiadowcze stały za “implementacją” owego błędu. Biorąc jednak pod uwagę, z jak wielkim zagrożeniem mamy do czynienia (min. niemożliwe jest sprawdzenie, czy ktoś już wykorzystał lukę w celu odszyfrowania danych, w systemie nie są rejestrowane żadne ślady), nie sposób odnieść wrażenie, że sprawa może mieć drugie dno. Warto zwrócić uwagę na pewien zbieg okoliczności. Pojawienie się błędu w bibliotece OpenSSL zbiega się w czasie z ACTA (oraz protestami ludności). Czyżby ktoś chciał zdemaskować środowisko Anonymous?

Nie będziemy wspierać teorii spiskowych. Na ten moment błąd jest na tyle poważny, że można rozpatrywać go w kategoriach ogólnoświatowego kryzysu teleinformatycznego. Biblioteka OpenSSL jest obecna w ok. 66% urządzeń (serwerów, switchów, itp). Exploity wykorzystujące lukę bezpieczeństw są już ogólnodostępne (wg informacji z bugcrowd), dlatego administratorzy systemów muszą zmagać się z czasem, aby zdążyć przed masowymi atakami “hackerów”. Samo zaktualizowanie biblioteki na serwerach nie wystarczy, większość programów, które znajdują się na serwerach, została skompilowana z dziurawą wersją biblioteki OpenSSL, więc całą kompilackę aplikacji (np. Apache2 i mod_ssl) należy wykonać od początku z już poprawioną wersją biblioteki.