Diera horšia ako Heartbleed. Stačí málo a hackeri dokážu ovládnuť aj váš počítač

BRATISLAVA - Pred niekoľkými mesiacmi sa objavila doposiaľ najvážnejšia bezpečnostná diera v histórii internetu. Heartbleed sa týkal dvoch tretín internetu, a ani v súčasnosti ešte nie sú všetky stránky úplne bezpečné. Ako sa však zdá, bol to len začiatok. Dnes totiž odborníci narazili na ešte väčší, tentokrát softvérový problém. Kým Heartbleed útočníkom dovolil maximálne vás špehovať, najnovšia diera známa ako "Bash" alebo "Shellshock" im dáva možnosť ovládnuť váš počítač.

Diera horšia ako Heartbleed. Stačí málo a hackeri dokážu ovládnuť aj váš počítač
Ilustračné foto Zdroj:SITA/AP

Kvôli chybe sú zraniteľní používatelia operačných systémov postavených na "unix"-ovom základe. Aj keď ide o Linuxy, ktoré v súčasnosti používa len hŕstka nadšencov respektíve softvéroví odborníci, týka sa aj oveľa rozšírenejších Mac-ov od Apple.

Bezpečnostní experti aktuálny problém považujú za mimoriadne závažný. Z desaťstupňovej stupnice dostal najvyššiu známku "10".  Bash, podľa ktorého je chyba nazvaná, je softvér, ktorý sa používa na ovládanie a zadávanie príkazov pre operačný systém.

A v čom je teda problém? Kým vďaka Heartbleedu, ktorý sa týkal dvoch tretín internetu, mohli útočníci ľudí maximálne sledovať, vďaka Bashu im teraz dokážu úplne ovládnuť počítače, dostať sa k ich súkromným informáciám, či robiť zmeny. Hackeri by s tým pritom ani nemali veľa práce.

Meníte si kvôli afére Heartbleed heslá? Tieto si určite nedávajte

Chybu totiž experti označili za veľmi "primitívnu". "Zneužitie tohto problému je veľmi jednoduché. Stačí vám na správne miesto nakopírovať riadok kódu a máte dobré výsledky," opísal postup Dan Guido, šéf kyberbezpečnostnej spoločnosti Trail of Bits.

Ako pre Aktuálne.sk vysvetlila Zuzana Hošalová zo spoločnosti ESET pri Bashi dochádza ku kombinácii dvoch ingrediencií.

"Program Bash slúži na spracovávanie príkazov zadaných užívateľom a taktiež umožňuje vykonávanie jednoduchších či zložitejších dávok takýchto príkazov - tzv. "skriptov". Samotná chyba v Bashi spočíva v tom, že isté programové konštrukcie boli interpretované až príliš benevolentne a vykonávali sa aj ich časti, ktoré by mali byť odignorované," hovorí.

Druhou časťou problému je fakt, že existujú viaceré bežné scenáre, keď takéto príkazy môžu prísť napríklad z internetu alebo iného zdroja bez kontroly. Práve touto cestou môže útočník na opačnom konci sveta ovládnuť daný server, či program.

"Väčšinu domácich pužívateľov a ich počítače táto chyba priamo neohrozuje, keďže ich počítače fungujú výhradne v roli klientov a neposkytujú serverové služby," tvrdí Hošalová. Chyba sa totiž netýka operačného systému Microsoft Windows, ktorý má väčšina Slovákov na svojom počítači.

Hrozba si však na ľudí počká online. Hacker môže napadnúť servery ich obľúbenej online služby, či už ide o webmail, sociálnu sieť, či médium a vydolovať z nich citlivé údaje o používateľovi.

"Rovnako môže na dlhodobo známu a čistú stránku umiestniť škodlivý kód, ktorému budú jej návštevníci vystavení. Tam už je úplne jedno, aký operačný systém daná obeť používa. V oboch prípadoch však
Bash Bug funguje iba ako "prostriedok" a nie "cieľ"," dodala Hošalová z ESETu.

Viaceré typy Linuxu, ako napríklad Red Hat, už vydali aj prvé opravy, ktoré by mali pomôcť dieru zaplátať. Samotný OS X od Apple ale zatiaľ aktualizáciou neprešiel, firma ešte žiadne opatrenia verejne neprisľúbila.

Zdroje: TheGuardian.com, Errata Security, CNet.com

Ondrej Kubovič

 

Diskusia

Sú podľa vás súčasné počítače dostatočne zabezpečené?

Najčítanejšie