32 220 35 21 biuro@omegasoft.pl


W sieci oczywiście rekordy popularności bije szukanie przez hackerów luk w zabezpieczeniach systemów bankowych, żerujących nie tylko na niekompletnie sprawdzonych pod względem bezpieczeństwa systemów, które powinny być niezdobyte jak średniowieczne fortece, ale również wykorzystujących naiwność czy niewiedzę samych użytkowników, korzystających z internetowych bankowości za pomocą komputera czy telefonu. W chwili obecnej pojawiło się kolejne, spore zagrożenie dla  wszystkich używających tego wygodnego i praktycznego rozwiązania. Problem występuje pod angielską nazwą „heartbleed”, czyli krwawienie serca.

Dlaczego powinniśmy się obawiać?

Zagrożeniem jest przede wszystkim skala, na jaką rozprzestrzenia się problem, ponieważ zaatakowanych może być nawet 65% serwerów obsługujących wszystkie platformy internetowe, z których korzystają nieświadomi klienci instytucji finansowych. Najgorsze jest to, że wykorzystana luka dotyczy przede wszystkim zabezpieczenia tego systemu, które rzekomo uchodzi za nie do złamania. Mowa tu oczywiście o wykorzystywaniu w platformach i bibliotekach OpenSSL.

Jakie kroki musiały podjąć banki?

Rekomendowanym działaniem w takich sytuacjach jest przede wszystkim zweryfikowanie posiadanej wersji aplikacji OpenSSl, jaka jest zainstalowana w danej chwili na użytkowanym przez bank czy firmę serwerze. Konieczna jest w tym przypadku również aktualizacja do najnowszej wersji, która posiada już wbudowane odpowiednie zabezpieczenie luki w postaci łatki.  Konieczne będzie również poproszenie o zmianę haseł dostępu do kont wszystkich użytkowników, ponieważ nigdy nie ma pewności, czy te delikatne dane nie zostały podczas ataku zwyczajnie przechwycone i następnie wykorzystane niekoniecznie zgodnie z wolą samych właścicieli kont.

Gdzie jeszcze można spotkać tę lukę w zabezpieczeniach?

Biblioteka OpenSSL jest jedną z powszechniej wykorzystywanych bibliotek kryptograficznych open source przez większość stron internetowych, w których konieczne jest zaszyfrowanie pewnych określonych danych, takie jak hasła ora loginy dostępowe do danej strony. Nie tylko więc platformy bankowe powinny zastosować się do powyższych zaleceń. Tutaj również po zastosowaniu wszystkich opisanych powyżej kroków przyda się kompletna wymiana certyfikatu SSL, podczas którego wymagane będzie również użycie nowego klucza prywatnego. Najlepiej jest to oczywiście zrobić po aktualizacji aplikacji OpenSSL. Chociaż sytuacja w tej chwili została opanowana, z pewnością nie jest to jedyne zagrożenie tego typu, które się pojawi.