Na początku kwietnia świat obiegła informacja o bardzo poważnej luce pod nazwą Heartbleed (z ang. krwawienie z serca). Umożliwiała ona hakerom odczytanie transmisji danych zabezpieczonych przez OpenSSL. Ich łupem mogły paść e-maile, hasła dostępu czy dokumenty, a sam atak nie pozostawiał żadnych śladów. Zagrożenie było niezwykle poważne, ponieważ z biblioteki OpenSSL korzysta dwie trzecie serwerów w Internecie.
Pojawienie się informacji o luce Heartbleed wywołało niepokój wśród użytkowników korzystających z bankowości elektronicznej, ale – jak zapewniali nas przedstawiciele wszystkich instytucji, z którymi kontaktowaliśmy się wtedy w tej sprawie – klienci e-banków mogą spać spokojnie, ponieważ rozwiązania, z których korzystają polskie banki, nie były zagrożone podatnością na Heartbleed.
E-bankowość tylko w zabezpieczonej sieci
Wczoraj pojawiły się informacje o odkryciu nowej luki w kodzie biblioteki OpenSSL, oznaczonej sygnaturą CVE-2014-0224. Jak bardzo niebezpieczna może być ona dla klientów bankowości internetowej? – Myślę, że to zagrożenie nie jest szczególnie groźne dla użytkowników e-bankowości, większym problemem była wcześniejsza luka, Heartbleed – mówi Maciej Ziarek, ekspert ds. bezpieczeństwa IT w Kaspersky Lab Polska.
Ziarek tłumaczy również, jak działa nowo odkryta dziura w kodzie OpenSSL. – Jeżeli atakującemu uda się wykorzystać lukę, będzie on mógł odszyfrować komunikację. Jednak aby do tego doszło, przestępca musi mieć możliwość przechwycenia komunikacji (co jest już pierwszą przeszkodą). Wszystkie wersje klienckie OpenSSL są podatne na ten atak, a w przypadku serwerów – jedynie niektóre z nich. Atak będzie możliwy, jeżeli obydwie wersje będą podatne na dziurę – wyjaśnia Maciej Ziarek.
– Przeprowadzenie ataku z wykorzystaniem luki CVE-2014-0224 jest o tyle trudne, że atakujący musiałby skierować ruch odbywający się w sieci w taki sposób, aby przechodził przez niego – mówi Tomasz Bukowski z CERT Polska. – To jest oczywiście teoretycznie możliwe np. w publicznych sieciach Wi-Fi, dlatego pamiętajmy o tym, by nie korzystać z e-bankowości w takich miejscach – radzi Bukowski. Ekspert uspokaja jednak, że podobnie jak w przypadku Heartbleed, luką CVE-2014-0224 zagrożone są serwery korzystające z konkretnej implementacji SSL, które nie byłyby zaktualizowane. – Banki bardzo pilnują tej kwestii – zapewnia Tomasz Bukowski.
