Napaka v šifrirnem mehanizmu OpenSSL omogoča hekerjem, da se brez težav dokopljejo do šifriranih podatkov, ki se pretakajo med strežnikom in napravo uporabnika.

OpenSSL se uporablja za šifriranje spletnih strani, elektronske pošte, programov za sporočanje, bančnih aplikacij in v navideznih zasebnih omrežjih.

Z zlorabo pomanjkljivosti se lahko pridobijo uporabniška gesla in šifrirni ključi, s katerimi je mogoče ponarediti identiteto določenega strežnika.

V slovenskem nacionalnem centru za internetno varnost (SI-CERT) so napako označili za "ranljivost desetletja", saj napadalcu omogoča pridobitev zasebnih ključev za šifriranje s strežnika. S temi podatki lahko napadalec razbije šifriranje med napravo uporabnika in strežnikom.

"Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v nobenih dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi," je za STA povedal varnostni strokovnjak Tadej Hren.

Ogroženih 17 odstotkov strežnikov
Mehanizem OpenSSL uporablja več kot polovica vseh strežnikov na svetu, vendar vse različice niso ranljive. Za zdaj še ni znano, koliko strežnikov je ranljivih.

Pri SI-CERT pojasnjujejo, da naj bi bilo ranljivih 17 odstotkov oziroma pol milijona spletnih strežnikov, ki uporabljajo ta mehanizem. "Vendar je tu govor samo o spletnih strežnikih - OpenSSL se uporablja tudi za druge internetne storitve, kot so elektronska pošta in hipno sporočanje," je dejal Hren.

Napaka v mehanizmu naj bi obstajala že več kot dve leti in je bila do zdaj neopažena. Pred kratkim so jo odkrili varnostni strokovnjaki finskega podjetja Codenomicon in Googla.