Przeglądając internet mogłeś już trafić na informację o luce Heartbleed. Być może już wiesz, że dotyczy ona serwerów i tylko ich administratorzy mogą zapobiec jej skutkom.

Błędem byłoby jednak zakładać, że ta luka nie dotyczy "zwykłych internautów". To właśnie zwykli użytkownicy mogą być jej ofiarami. Powinniście powiedzieć o niej znajomym i rodzinie. Warto wyjaśnić jej znaczenie, choć czasem trudno jest zwrócić uwagę teścia na takie jak OpenSSL.

Heartbleed - o co tu chodzi?

Zastanówmy się jak wyjaśnić to najprościej, bez silenia się na eksperta.

1. Punktem wyjścia niech będzie SSL. Każdy internauta niech wie, że SSL chroni informacje przesyłane przez internet. Jeśli przesyłasz do jakiejś strony wrażliwe informacje (np. numer karty kredytowej) jest on szyfrowany. Dzięki temu jeśli ktoś niepowołany przechwyci tę informację, zobaczy tylko bezsensowne znaczki.
2. Gdy wchodzisz na stronę Gmaila albo swojego banku, widzisz ikonkę kłódki w pasku adresu. Ta kłódka sygnalizuje, że połączenie jest szyfrowane.
3. Wiele strony korzystających z SSL wykorzystuje rozwiązanie o nazwie OpenSSL. Niestety okazało się, że w OpenSSL jest poważny błąd, który naraża internautów na możliwość "podsłuchania" przesyłanych informacji.
4. Ten poważny błąd w OpenSSL został określony jako Heartbleed i jego istnienie ogłoszono na specjalnej stronie - Heartbleed.com. Choć publicznie o tym błędzie mówi się od wczoraj, istniał on niestety od 2 lat.

To w zasadzie wszystko wyjaśnia. Pora odpowiedzieć na dwa pytania, które uzupełnią te wyjaśnienia.

1. Czy ta luka jest poważna? O tak! Umożliwia kradzież haseł, wrażliwych danych, wiadomości. W momencie ujawnienia luki szacowano, że 2/3 stron internetowych może być podatnych na ten atak. To oznacza, że błąd Heartbleed czyni znaczną część internetu mniej bezpiecznym niż sądzono.
   Eksperci twierdzą, że osoba znająca lukę może ją wykorzystać względnie łatwo. Udany atak nie pozostawia śladu.
2. Czy zwykły użytkownik może coś zrobić? Właściwie nie, ponieważ załatanie tej luki należy do administratorów systemów. Zrobią to oni prędzej czy później, a niektórzy niestety później.
   Można oczywiście rozważyć tymczasowe ograniczenie korzystania z niektórych usług. Można pozmieniać swoje hasła. Można próbować sprawdzić np. na blogu naszego e-usługodawcy, czy napisał coś o Heartbleed. Tak czy owak powinniście mieć świadomość, że ta luka właśnie została wykryta, a nie wszystko jeszcze połatano.
   W internecie pojawił się również test weryfikujący podatność strony na atak, ale nie możemy ręczyć za jego rzetelność.

Dla osób bardziej zainteresowanych tematem dodamy, że luka została wykryta przez badaczy z Codenomicon oraz Google Security. Aby ograniczyć ryzyko związane z wyciekiem badacze współpracowali z ekipą OpenSSL w zakresie przygotowania niezbędnych poprawek. Więcej szczegółowych informacji o luce znajdziecie na wspomnianej stronie Heartbleed.com.

Niektóre firmy takie jak Google, Facebook czy Microsoft już teraz zapewniają, że ich strony są bezpieczne. Wiadomo, że usługa Yahoo Mail była podatna na ten atak, ale wprowadzono już poprawki.

Oczywiście poza takimi prostymi wyjaśnieniami jak te nasze, w sieci znajdziecie wiele komentarzy ekspertów. Wśród nich często powtarza się jedno pytanie. Czy służby specjalne, takie jak NSA, mogły wiedzieć o tej luce znacznie wcześniej? Nie jest to wykluczone. Wiadomo zresztą, że NSA bardzo interesowała się powszechnymi technologiami szyfrowania.