Čo sa pôvodne javilo ako obyčajná nepríjemnosť nútiaca užívateľov internetu meniť heslá, tak sa teraz javí oveľa vážnejšie, upozorňuje americký denník Washington Post. Podľa nových odhalení totiž skúsení hackeri môžu vírus využiť na vytváranie falošných webových stránok, ktoré sa tvária ako pravé a prostredníctvom ktorých môžu od zákazníkov vylákať cenné osobné údaje.
Rozsah práce, ktorá je potrebná na odstránenie tohto druhu hrozby, by mohol preťažiť systémy určené na zabezpečovanie dôveryhodnosti internetu. Heartbleed totiž umožňuje kradnúť takzvané bezpečnostné certifikáty, prostredníctvom ktorých sa overuje pravosť webových stránok. „Rozsah zla, ktoré (táto chyba) umožňuje, je z veľkej časti obmedzený len predstavivosťou zloduchov,“ povedal expert na počítačovú bezpečnosť Jason Healey.
Väčšina prehliadačov pri detekovaní neplatného bezpečnostného certifikátu zablokuje prístup k príslušnej stránke. Ak je však certifikát kradnutý, falošná stránka sa načíta. Závažnú chybu v šifrovacej knižnici OpenSSL objavili bezpečnostní experti zhruba pred týždňom, ale neodhalená bola dva roky. Podľa niektorých odhadov to postihlo až dve tretiny internetu.
Spoločnosť CloudFlare minulý piatok vyzvala hackerov, aby sa s pomocou Heartbleedu pokúsili ukradnúť bezpečnostný certifikát z osobitného servera, ktorý firma za týmto účelom vytvorila a ktorý obsahoval Heartbleed. Po niekoľkých hodinách jej začali hackeri posielať e-maily „podpísané“ príslušným certifikátom. „Bol to zábavne strávený večer a dobrá príležitosť na preverenie vlastných schopností v legálnej hackerskej akcii,“ napísal prvý z úspešných hackerov Fedor Indutny.
Ako ďalší krok musí podľa expertov všetkých zhruba 500-tisíc zasiahnutých stránok vymeniť bezpečnostné certifikáty. To by mohlo mať vážne dôsledky na každodennú prácu s internetom. Keď užívateľ internetu navštívi bezpečnú stránku, prehliadač porovná jej certifikát zabezpečenia so zoznamom neplatných certifikátov. Tieto zoznamy boli doteraz pomerne krátke, pretože certifikáty sa dlhodobo nemenia. S príchodom chyby Heartbleed na zoznam pribudnú státisíce stránok a prehliadače tak budú musieť do počítačov sťahovať obrie zložky, vysvetľuje konzultant Paul Mutton z firmy Netcraft. Kontrola identity stránok tak bude trvať oveľa dlhšie. Slovenských užívateľov internetu sa chyba The Heartbleed Bug zrejme masívne nedotkla. Napriek tomu prevádzkovatelia vyzvali na zmenu hesiel.