Luka Heartbleed w OpenSSL w protokole OpenSSL to jedna z największych wpadek w historii bezpieczeństwa komputerowego. Narodowa Agencja Bezpieczeństwa jednak, jak twierdzi, jej nie wykorzystywała.

Heartbleed to jedna z największych w historii dziur w OpenSSL. Implementacja TLS i DTLS z nieprawidłową obsługą rozszerzenia Heartbeat (rfc6520), gdzie przy pomocy odpowiednio spreparowanych pakietów można doprowadzić do odczytania zbyt dużej ilości danych z bufora i zwrócenia 64KB pamięci procesu serwera.

Oczywiście atakujący nie może wybrać wyciekającego obszaru danych, operację odczytu można jednak powtórzyć dowolną ilość razy bez pozostawienia śladu. W ten sposób dzięki odrobinie szczęścia (i statystyce) można uzyskać wrażliwe informacje z pamięci procesu, w szczególności klucze prywatne certyfikatów.

Początkowo sądzono, że na ataki narażone są banki i poczta elektroniczna, ale szybko do tego grona dołączyły popularne serwisy, jak np. Facebook, Google czy Dropbox, a nawet routery i smartfony. Stuprocentowo bezpieczne są - cytując DT - Battle.net, EVE Online, MLG.tv i Xbox Live. Nie wszędzie doczekano się oficjalnego komentarza, ale zmiana haseł jest zalecana w usługach m.in. GOG, Battlelog, Apple Game Center, Call of Duty, Humble Bundle, Origin, PlayStation Store, League of Legends czy Wargaming. Także Mojang przyznał, że oberwały serwery Minecrafta.

Do tej pory były to jednak tylko teoretyczne dywagacje, które niestety zostały już potwierdzone w praktyce. CloudFlare - amerykańska firma informatyczna, urządziła wyzwanie dla hakerów, polegające na wydobyciu prywatnego klucza zabezpieczającego z ich serwera NGINX. Długo nie trzeba było czekać na rezultaty, ponieważ Fedor Indutny (członek zespołu Node.js) szybko przechwycił klucze SSL, a następnie to samo osiągnął Illkka Mattila.

Najbardziej zalecaną metodą zapobiegania złym skutkom działania Heartbleed jest zmiana haseł, szczególnie jeśli używamy jednego w różnych usługach, kiedy luka w OpenSSL zostanie załatana przez dostawców. Przed załataniem, co logiczne, nie ma to sensu.