„Heartbleed“
... Krvácející srdce obsahují knihovny OpenSSL 1.0.1 až 1.0.1f a pak ještě OpenSSL 1.0.2-beta. Dohromady to představuje nemalou část veškeré komunikace na internetu. Samotná chyba existuje zřejmě od 31. prosince 2011 a po světě se rozšířila 14. března 2012, s uveřejněním knihovny OpenSSL version 1.0.1. Zatím není úplně jasné, kolik škody Krvácející srdce napáchalo, prý ale lze vyčíst ze záznamů počítačového provozu těžení z této chyby minimálně pět měsíců dozadu. V době zveřejnění, tedy 7. dubna (2014), trpělo krvácejícím srdcem asi 17 procent všech zabezpečených a důvěryhodně certifikovaných serverů. Jinými slovy, asi tak 600 tisíc serverů, s nimž by jste se neměli bát komunikovat. ...
Zde mozno vyzkouset, jestli tim trpi vas oblibeny web:
Heartbleed
Odkaz mi hlásí "Smyčka při přesměrování"...
Ale našel jsem aktuální výsledky testů Top10000:
https://github.com/musalbas/heartbleed-masstest/bl ob/master/top10000.txt
a doplnim, ze treba si pozriet aj datum vydania certifikatu, pretoze po zaplatani diery by si mal autor webu nechat vystavit novy. Inak nemoze zarucit, ze je jeho web bezpecny.
Podrobnější informace v češtině na root.cz.
z článku na www.root.cz:
... co k tomu ... nic ... boj proti terorismu má rôzne podoby ....
Tak už vylezlo na světlo, že NSA o této chybě věděla a vy(zneu)užívala ji:
http://zpravy.ihned.cz/svet-usa/c1-62014790-americ ka-nsa-pry-vedela-dva-roky-o-chybe-heartbleed-vyuz ivala-ji-pro-sber-dat
http://www.nytimes.com/2014/04/12/us/us-denies-kno wledge-of-heartbleed-bug-on-the-web.html?_r=0
Celá záležitosť má jeden veľmi trpký aspekt, nedokumentovaná funcionalita problémovej knižnice sa objavila po update RFC standardu, teda z rozhodnutia NAJVYŠŠEJ INTERNETOVEJ AUTORITY, dá sa povedať komisie, pár specialistov. Otázkou sa stáva, kto a prečo inicioval update. Teoreticky, ak by to bol cielene pripravený backdoor, šlo o koordinovanú akciu z tých absolútne najvyšších pozícií.
Výsledok udalostí je ale jasný, už nikdy nebude možné tvrdiť o ničom, co je umiestnené na internete alebo transportované týmto médiom, že je bezpečné alebo dôveryhodné. Možnosť existencie ďalších, zatiaľ neobjavených mechanizmov zadných vrátok, zabudovaných v samom základe systémov, je viac ako reálna.
...
Pořád tu bude na kritická data bezpečný nástroj pana Vernama. Akorát to není příliš pohodlné.
Z toho co sa udialo v posledných dvoch rokoch v oblasti bezpečnosti internetu, vychádza jediné, technologia je vysoko potencionálne nebezpečná. Krajiny ktoré dodávajú software a hardware majú možnosť ziskať informácie ktoré by im, podľa deklarovaných tvrdení o vlastnostiach ich zariadení, nemali byť dostupné.
Ukazuje sa že neexistujú bezpečné prenosové trasy ani bezpečné prenosové protokoly. Výsledkom bude, že pre isté regiony, isté krajiny, jediným riešením bude opustenie dnešného konceptu internetu a vznik prísne centrálne dohliadaných národných sietí, v podstate zánik internetu v dnešnej podobe.
špehovat se nemá a když je nečeho moc, dojde okamih že je toho príliš
...
SSL je v principe na to aby nejaky obycajny zlodej nezistil tvoje heslo do bankingu emailu apod, nesluzi na to aby ta nemohla spehovat nejaka tajna sluzba. Ta si totiz tvoj email a bankove konto pozre aj bez SSL, to je viac nez iste :)
SSL svoju rolu plni dobre, t.j. ak niekto na tovojej LAN (sused, apod) sniffuje LAN prenos, tak nevidi tvoje heslo do ksichtoknihy apod. Predpoklad je ze ten sused neni zrovna hacker ktory objavil skrytu dieru. Nic viac SSL chranit nema. Nejaku tajnu sluzbu nejake tvoje heslo do ksichtoknihy fakt nezaujima, ani heslo na banking.
Ak niekto prenasa velmi tajne veci tak sa nebude spoliehat na nejaku jednu splataninu, ale pouzije vysoko bezpecne sposoby sifrovania dat a plus steganografiu.
P.S. a vseobecne plati ak nadrbe niekto nesifrovane data niekam na cloud, tak je to stejne jak vystavit ich na namesti na plagate, a neni na vine SSL :) Akurat to vacsina BFU nechape, tak im treba