„Heartbleed” este cea mai recentă vulnerabilitate de securitate în tehnologia de criptare Web, tehnologie folosită la scară largă. Mai precis, aceasta afectează librăria de funcții criptografice OpenSSL. Denumirea oficială a vulnerabilității conform standardelor CVE (Common Vulnerabilities and Exposures)  este CVE-2014-0160.

Descriere

Bugul “Heartbleed” permite furtul de informații protejate prin tehnologia de criptare de tip SSL/TLS. Problema principală reprezintă faptul că acest protocol este folosit totodată pentru securizarea comunicării și asigurarea confidențialității pe internet pentru aplicații web, servicii de mesagerie electronică, servicii mesagerie instant (IM) și pentru unele rețele virtuale private (VPN).

Practic, vulnerabilitatea ar permite atacatorilor să citească memoria sistemelor protejate de versiunile vulnerabile ale software-ului OpenSSL. Prin urmare, cheile secrete folosite pentru a identifica furnizorii de servicii sau pentru criptarea traficului, a credențialelor dar și conținutul real al traficului sunt compromise. Pe scurt, atacatorii au posibilitatea de a monitoriza comunicațiile, pot extrage date de la utilizatori sau furnizori de servicii și în același timp pot simula identitatea acestora.

Impact                                                                   

Cercetătorii Google Inc. alături de reprezentanți ai firmei de securitate finlandeze Codenomicon au fost cei care au descoperit această eroare în cursul zilei de luni, în cadrul implementării OpenSSL. Mai mult, aceștia susțin că problema este una extrem de gravă, din moment ce o astfel de vulnerabilitate a fost descoperită abia acum, fiind necunoscută publicului larg timp de doi ani. Practic, acest bug a lăsat la vedere pe internet o gamă largă de chei private și alte informații confidențiale.

Sisteme afectate

Mai jos sunt enumerate câteva din distribuţiile de sisteme de operare care au fost livrate cu versiuni OpenSSL potenţial vulnerabile:

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Distribuţii de sisteme de operare ce conţin versiuni OpenSSL fără vulnerabilităţi:

• Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
• SUSE Linux Enterprise Server
• FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
• FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
• FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Soluție

Momentan, atât timp cât această versiune vulnerabilă OpenSSL este în uz, atacatorii se pot folosi de acest bug. Utilizatorii trebuie să ia în considerare faptul că orice cheie generată cu ajutorul versiunii vulnerabile OpenSSL este compromisă. Pentru siguranţa datelor dvs. se recomandă actualizarea versiunii curente de OpenSSL din sistemul de operare la versiunea 1.0.1g sau o versiune ulterioară. Noile versiuni OpenSSL[1] sunt disponibile pe site-ul www.openssl.org.

De asemenea, se recomandă ca după actualizarea OpenSSL la una dintre versiunile specificate, sistemele în cauză să regenereze orice tip de informaţii sensibile (cheile private, parole, etc.) presupunând că acestea au fost deja compromise de către posibilii atacatori.

Dacă acest lucru nu este posibil, administratorii de sisteme pot recompila OpenSSL cu flag-ul –DOPENSSL_NO_HEARTBEATS setat. Pentru efectuarea modificărilor se recomandă restartarea sistemelor.

Pentru minimizarea daunelor ce pot apărea în urma exploatării unei astfel de vulnerabilităţi, se recomandă utilizarea protocolului Perfect Forward Secrecy (PFS) prin care se poate îngreuna procesul de decriptare a traficului deja capturat.