informace ze zákulisí vývoje

Bezpečnost: Heartbeat zranitelnost

10. 4. 2014 16:18
Rubrika: Aktuálně | Štítky: heatbeat

Možná jste zaznamenali, že byla objevena závažná bezpečnostní chyba. Pojďme si rozebrat, co to znamená pro uživatele signály.cz a jaké jsme učinili kroky proti této chybě.


Heartbeat je částí specifikace SSL. Objevená chyba byla pojmenována Hearbleed a byla zveřejněna v pondělí 7. dubna. Chyba není v algoritmu a v principu zabezpečení SSL, ale v jeho open source implementace nazvané OpenSSL. Tuto implementaci používá mnoho softwaru, jedním z nich je i webový server, postihuje asi 70 % serverů na internetu.

Signály.cz fungují na webovém server nginx, který používá právě OpenSSL implementaci. Server signály.cz používal impelmentaci s touto chybou. V úterý, tj. den po zveřejnění chyby, jsme provedli aktualizaci dané knihovny a nyní již druhým dnem nejsou signály.cz zratnitelné touto chybou.

Z počátku se objevily spekulace, že daná chyba umožňuje podvrhnutí zabezpečujícího certifikátu. Tento certifikát jsem zatím nevyměnili (stojí to asi 500 Kč), nicméně aktuální informace hovoří o tom, že toto podvrhnutí možné není.

Co dělat pro co největší bezpečnost:

  • Všechny uživatele jsme nyní odhlásili, musíte se znovu přihlásit. Díky tomu budou zneplatněna sezení, které bylo potenciálně možné odchytit po dobu chyby v implementaci SSL (ta byla v kódu 2 roky, známá je 4 dny).
  • Doporučujeme si změnit heslo. Potenciálně i vaše heslo mohlo být odposloucháváno. Pravděpodobnost je velmi nízká, nicméně za změnu nic nedáte.

Tato bezpečností chyba se dotkla i jiných serverů, z českého prostředí např. seznam.cz. Za komplikace se omlouváme. Bezpečnost vašich dat je pro nás prioritou. Aktuálně plánujeme nasadit technologii - Perferct forward secrecy.

Zobrazeno 1836×

Komentáře

jenda-84

Je ohrožen i TCMD, když je v něm nainstalovaná knihovna OpenSSL pro bezpečnější přenos souborů přes FTPS?

jenda-84

asi jo co... :-(

Zobrazit 8 komentářů »

Pro přidání komentáře se musíš přihlásit nebo registrovat na signály.cz.

Autor blogu Grafická šablona Ondřej Válka