Filip Novotný Vysoko rozšírená softvérová chyba Heartbleed, ktorá v súčasnosti predstavuje zrejme najväčšie internetové riziko, údajne nijako nepostihuje servery Applu. Táto bezpečnostná diera zasiahla až 15% svetovo najnavštevovanejších webov, používatelia iCloudu či iných služieb Applu sa ale báť nemusia. uviedol to americký server Re / kód.
„Apple berie zabezpečenie veľmi vážne. iOS ani OS X nikdy neobsahovali tento napadnuteľný softvér a kľúčové webové služby neboli zasiahnuté,“ uviedol Apple pre server Re/code. Užívatelia by sa tak nemali báť prihlasovania do iCloudu, obchodov App Store, iTunes či iBookstore a ani nakupovania na oficiálnom e-shope.
Odborníci odporúčajú na jednotlivých weboch používať rôzne, dostatočne silné heslá ak tomu uchovávací softvér ako 1Password alebo Lastpass. Pomôcť môže tiež vstavaný generátor hesiel v Safari. Okrem týchto opatrení nie je nutné podnikať ďalšie kroky, pretože Heartbleed nie je klasický vírus, ktorý by napádal klientske zariadenia.
Je to softvérová chyba v kryptografickej technológii OpenSSL, ktorú využíva veľká časť svetových webov. Táto chyba umožňuje útočníkovi čítať v systémovej pamäti daného servera a získať tak napríklad používateľské údaje, heslá alebo iný skrytý obsah.
Chyba Heartbleed existuje už niekoľko rokov, prvýkrát sa objavila už v decembri roku 2011 a tvorcovia softvéru OpenSSL sa o nej dozvedeli až v tomto roku. Nie je však jasné, ako dlho o probléme vedeli útočníci. Vyberať si pritom mohli z veľkého portfólia webov, Heartbleed totiž prebýval na celých 15 percentách tých najpopulárnejších.
Napadnuteľné boli po dlhú dobu aj také servery ako Yahoo!, Flickr alebo StackOverflow. Tiež české weby Seznam.cz a ČSFD alebo slovenské SME boli zraniteľné. V súčasnosti už veľkú časť serverov ich prevádzkovatelia zabezpečili aktualizáciou OpenSSL na novšiu opravenú verziu. Ak sú vami navštevované weby v bezpečí môžete zistiť pomocou jednoduchého online testovať, viac informácií potom nájdete na webe Heartbleed.com.
Neviem ako súvisí používanie silných hesiel s problémom Heartbleed. Silné heslo je možné s touto zraniteľnosťou získať rovnako ako slabé.
Ďalej tvrdiť, že servery alebo zabezpečené, je pekná blbosť. Ako by mali servery zabezpečiť proti neznámej chybe? Servery boli zraniteľné.
Apple tvrdí, že nepoužíval tento napadnuteľný softvér. Teda buď používa staršie OpenSSL, ale nepoužíva OpenSSL vôbec. Nie, že to má lepšie zabezpečené.
OpenSSL nie je jediná implementácia SSL. Napríklad Microsoft tiež nepoužíva OpenSSL.
Pokiaľ viem, tak Apple nepoužíva vlastné riešenie SSL, preto je vysoko pravdepodobné, že používa knižnicu OpenSSL