Napaka v mehanizmu za šifriranje podatkov, ki se pretakajo po spletu, je prisotna v manj kot 20 odstotkov slovenskih strežnikov, pravijo v slovenskem centru za internetno varnost SI-CERT. Svetovni mediji so sicer poročali, da je programski hrošč Heartbleed ogrozil kar dve tretjini spleta, a ta ocena je po mnenju Tadeja Hrena iz SI-CERT pretirana. Po njegovih besedah razlogov za preplah ni.
"Spletne strani slovenskih bank so precej dobro zavarovane, večina jih tudi uporablja Microsoftove rešitve, ki niso ranljive za programsko pomanjkljivost Heartbleed," je dejal Hren.
Kot smo že poročali, gre za pomanjkljivost v odprtokodnem mehanizmu za šifriranje internetnega prometa OpenSSL. OpenSSL se uporablja za šifriranje spletnih strani, elektronske pošte, programov za sporočanje, bančnih aplikacij in navideznih zasebnih omrežij. Napadalci lahko s pomočjo Heartbleeda preberejo sicer šifrirane podatke, ki se pretakajo po internetu.
Vse različice mehanizma OpenSSL sicer niso ranljive – napaka se skriva le v določenih različicah. Skupina programerjev, ki skrbi za razvoj mehanizma, je popravek objavila pred dnevi, tako da je bila večina ranljivih strežnikov že ustrezno zaščitena.
V centru SI-CERT uporabnikom svetujejo, naj se pri svojem ponudniku najprej pozanimajo, ali so njihove storitve sploh bile ranljive. "Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi," svetujejo.
Napaka v mehanizmu je neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega spletnega velikana Google.
Včeina bank v Sloveniji ni ranljivih
V večini slovenskih bank so zatrdili, da njihove spletne storitve niso ranljive. Iz NLB so sporočili, da njihove elektronske storitve ne uporabljajo ranljivega mehanizma OpenSSL, zato uporabnikom ni potrebno sprejemati dodatnih varnostnih ukrepov. Podobno pravijo tudi v Gorenjski banki, Banki Celje in banki Hypo Alpe Adria.
V Abanki so pojasnili, da pri sebi ranljivosti niso odkrili, v SKB pa so na kratko zapisali le, da so njihovi uporabniki varni pred "morebitno ranljivostjo".
Odgovorov še niso posredovali iz Banke Koper, NKBM in Unicredit Banke Slovenija, prav tako pojasnil glede varnosti sistemov javne uprave še niso posredovali z ministrstva za notranje zadeve in Dursa.
Napaka v mehanizmu je sicer neopažena obstajala že več kot dve leti. Šele pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in ameriškega spletnega velikana Google. Na napako so v torek opozorili tudi v centru SI-CERT.
KOMENTARJI (9)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.