CERT-RO, structura independentă de expertiză şi cercetare-dezvoltare în domeniul protecţiei infrastructurilor cibernetice, a identificat o vulnerabilitate denumită Heartbleed ce afectează implementarile protocoalelor SSL/TLS din cadrul OpenSSL, pachet software utilizat de numeroase site-uri ”.ro”

„Facem apel către toate organizațiile din toate sectoarele de activitate ale economiei, atât companii private cât și instituții publice, să aplice măsurile de securitate recomandate de producător, disponibile atât pe site-ul nostru cât și pe alte site-uri de specialitate din domeniu”, se arată într-un comunicat CERT-RO.

La data redactării acestei alerte o serie de site-uri, în special din domeniul bancar dar și din alte sectoare de activitate, erau încă afectate de vulnerabilitatea heartbleed deși anunțul public asupra vulnerabilității datează de câteva zile bune.

Menționăm faptul că riscul asociat acestei vulnerabilități este critic în cazul instituțiilor financiare, în special a celor care oferă facilități de tip internet banking.

Soluție

Pentru siguranţa datelor şi serviciilor protejate cu ajutorul protocoalelor SSL/TLS din cadrul librăriei OpenSSL se recomandă actualizarea la versiunea 1.0.1g, sau o versiune ulterioară. Noile versiuni OpenSSL sunt disponibile pe site-ul www.openssl.org.

De asemenea, se recomandă ca după actualizarea OpenSSL la una dintre versiunile specificate, sistemele în cauză să regenereze orice tip de informaţii sensibile (cheile private, parole, etc.) presupunând că acestea au fost deja compromise de către posibilii atacatori.

Dacă acest lucru nu este posibil, administratorii de sisteme pot recompila OpenSSL cu flag-ul –DOPENSSL_NO_HEARTBEATS setat. Pentru efectuarea modificărilor se recomandă restartarea sistemelor.

Pentru minimizarea daunelor ce pot apărea în urma exploatării unei astfel de vulnerabilităţi, se recomandă utilizarea protocolului Perfect Forward Secrecy (PFS) prin care se poate îngreuna procesul de decriptare a traficului deja capturat.