Nie opadł jeszcze kurz po zamieszaniu związanym z błędem w protokole szyfrowania OpenSSL, a internauci mają już kolejny obiekt strachu. Jest nim wirus krążący po otwartych sieciach dostępnych np. w dużych centrach handlowych, ochrzczony mianem „handshake bug”. I – niespodzianka – znowu znajduje się w bibliotekach OpenSSL.

O ile heartbleed bazował na naszym zaufaniu do połączeń szyfrowanych, handshake (ang. „uścisk dłoni”) korzysta z beztroskiego łączenia się ze stronami zawierającymi poufne dane dające bezpośredni dostęp do naszych pieniędzy. Może to być usługa bankowości elektronicznej, kantoru online, firmy realizującej internetowe płatności, etc. Osoba, która wejdzie w posiadanie takich informacji, może dokonać poważnych szkód w naszym portfelu bez naszej wiedzy. Gdy padamy ofiarą phishingu, mamy chociaż okazję odtworzenia kroków, sprawdzenia danych nadawcy feralnej wiadomości, która doprowadziła do kradzieży. W przypadku uścisku ręki nie otrzymujemy nawet sygnału, że coś może być nie tak.

Handshake bug polega na podsłuchaniu połączenia sieciowego przez osobę trzecią. Cyberprzestępca (w tym procederze zwany man in the midlle – ang. „człowiek w środku”) może modyfikować dane przesyłane między serwerami i, dzięki błędowi w zabezpieczeniach, otrzymać dostęp do poufnych informacji delikwenta. Co ciekawe, specjaliści informują, że ten atak można było przeprowadzić już od … ubiegłego wieku- błąd, który umożliwiał takie wykradzenie danych był obecny w OpenSSL… od 1998 roku. Naturalnie zaleca się zmianę wszystkich haseł i przejrzenie historii transakcji i aktywności na różnych kontach logowania, czy aby nasz profil na którymś z portali.