Znanost in tehnologija

'Spletne strani slovenskih bank so precej dobro zavarovane'

Ljubljana, 10. 04. 2014 10.44 |

PREDVIDEN ČAS BRANJA: 2 min

Ocene, da je hrošč Heartbleed ogrozil dve tretjini spleta, so pretirane, pravijo v SI-CERT. Uporabnikom svetujejo, naj pri ponudniku preverijo, ali so bile njihove storitve ranljive. Slovenske banke sporočajo, da njihove strani niso ranljive.

Oznaka za Heartbleed.
Oznaka za Heartbleed. FOTO:

Napaka v mehanizmu za šifriranje podatkov, ki se pretakajo po spletu, je prisotna v manj kot 20 odstotkov slovenskih strežnikov, pravijo v slovenskem centru za internetno varnost SI-CERT. Svetovni mediji so sicer poročali, da je programski hrošč Heartbleed ogrozil kar dve tretjini spleta, a ta ocena je po mnenju Tadeja Hrena iz SI-CERT pretirana. Po njegovih besedah razlogov za preplah ni.

"Spletne strani slovenskih bank so precej dobro zavarovane, večina jih tudi uporablja Microsoftove rešitve, ki niso ranljive za programsko pomanjkljivost Heartbleed," je dejal Hren.

Kot smo že poročali, gre za pomanjkljivost v odprtokodnem mehanizmu za šifriranje internetnega prometa OpenSSL. OpenSSL se uporablja za šifriranje spletnih strani, elektronske pošte, programov za sporočanje, bančnih aplikacij in navideznih zasebnih omrežij. Napadalci lahko s pomočjo Heartbleeda preberejo sicer šifrirane podatke, ki se pretakajo po internetu.

Vse različice mehanizma OpenSSL sicer niso ranljive – napaka se skriva le v določenih različicah. Skupina programerjev, ki skrbi za razvoj mehanizma, je popravek objavila pred dnevi, tako da je bila večina ranljivih strežnikov že ustrezno zaščitena.

V centru SI-CERT uporabnikom svetujejo, naj se pri svojem ponudniku najprej pozanimajo, ali so njihove storitve sploh bile ranljive. "Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi," svetujejo.

Napaka v mehanizmu je neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega spletnega velikana Google.

Včeina bank v Sloveniji ni ranljivih

V večini slovenskih bank so zatrdili, da njihove spletne storitve niso ranljive. Iz NLB so sporočili, da njihove elektronske storitve ne uporabljajo ranljivega mehanizma OpenSSL, zato uporabnikom ni potrebno sprejemati dodatnih varnostnih ukrepov. Podobno pravijo tudi v Gorenjski banki, Banki Celje in banki Hypo Alpe Adria.

V Abanki so pojasnili, da pri sebi ranljivosti niso odkrili, v SKB pa so na kratko zapisali le, da so njihovi uporabniki varni pred "morebitno ranljivostjo".

Odgovorov še niso posredovali iz Banke Koper, NKBM in Unicredit Banke Slovenija, prav tako pojasnil glede varnosti sistemov javne uprave še niso posredovali z ministrstva za notranje zadeve in Dursa.

Napaka v mehanizmu je sicer neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega spletnega velikana Google. Na napako so v torek opozorili tudi v centru SI-CERT.

  • 8
  • 7
  • 6
  • 5
  • 4
  • 3
  • 2
  • 1

KOMENTARJI (9)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

strel?ek
11. 04. 2014 12.56
+1
a mi je kdo vdrl,na računu ni nič,a ne...
Izidor Tomazini
11. 04. 2014 11.25
+1
Vse zaščite padejo! Ključavnica je za poštene ljudi, to velja za vrata na hiši kot za računalnik :) A se spomnete tistega fanta, ki je govoru, za NLB, da ima luknjo v zaščiti. Potem je pa nesrečnež podlegel pritiskom in se dal na štrik (so ga pa oni spucal )
mastablasta
10. 04. 2014 22.49
+3
pri microsoftovi rešitvi niti ne vemo kje so varnostne luknje saj ni dostopa do izvorne kode. kako lahko nek strokovnjak trdi da je ta rešitev varna? še posebej po tem ko je microsoft priznal, da so na zahtevo NSA vgrajevali zadnja vrata v sisteme..
fujjjjjj
10. 04. 2014 21.57
+5
nobena stvar na internetu ni 100% varna,tega se moramo zavedat.
KomentatorPolde
10. 04. 2014 18.00
+2
Kaj to pomeni precej ?
Ramzess
11. 04. 2014 12.55
Da imajo posvečeni dostop, navadni smrtniki pa ne, ...stalnica v elektronskem svetu.
DJ Suzuki
10. 04. 2014 12.59
Beseda ni konj, razen če je trojanc.