Avastati uus ja Heartbleedist ohtlikum OpenSSLi turvaauk
6. juuni 2014, 16:04
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Veebiliikluse krüpteerimiseks kasutatavas tarkvaras avastati uus turvaauk ja väidetavalt on see veel ohtlikum, kui aprillis avastatud Heartbleed (esimene turvaauk ajaloos, mis sai endale nime, logo ja veebilehekülje).
Augu avastas Tatsuya Hayashi, kes ütles Guardianile, et seda turvaauku kasutades võivad häkkerid vahetult pealt kuulata inimeste krüpteeritud internetiliiklust. Turvaauk tekkis 1998. aastal tehtud parandusega OpenSSL tarkvaras ja nii palgalised kui vabatahtlikud insenerid ei suutnud seda avastada 16 aasta jooksul.
Oma ohvritega samas avalikus wifi-võrgus, näiteks kohvikus viibides saavad pahatahtlikud häkkerid lahti murda nõrgalt krüpteeritu ühenduse ohvri arvuti ning OpenSSli jooksutava serveri vahel. OpenSSL on krüptotarkvara, mida turvalise ühenduse loomiseks kasutavad muuhulgas näiteks ka pangad. Kui krüptolukk on murtud, saab häkker «ühendust pealt kuulata» ja seda isegi muuta. Nii võib inimestelt õngitseda veel isiklikumat teavet, nagu kasutajatunnused ja salasõnad.
Hayashi sõnul pole kasutajatel mingit võimalust tuvastada, et nende turvaühendus on lahti murtud. Ainuke pääs turvaaugu eest on serveritarkvara uuendamine.