Στα τέλη Φεβρουαρίου, η ανακάλυψη ενός σημαντικού SSL bug σε λογισμικά είχε αναστατώσει ερευνητές ασφαλείας, αλλά και όλο το Διαδίκτυο. Τώρα μία νέα ιδιαίτερα κρίσιμη ευπάθεια ασφαλείας, στο OpenSSL, μία υλοποίηση ανοικτού κώδικα που χρησιμοποιείται στα 2/3 περίπου των web servers, ανακαλύφθηκε και αξίζει να ενημερωθείτε γι’ αυτήν, καθώς μπορεί να σας αφήσει εκτεθειμένους. Το “Heartbleed“, όπως το ονομάζουν χαρακτηριστικά οι ερευνητές που το ανακάλυψαν, θα μπορούσε να θέσει σε κίνδυνο “ευαίσθητα” προσωπικά σας δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης, στοιχείων πιστωτικών καρτών και e-mails.
Τι είναι το OpenSSL και πώς σχετίζεται με το Heartbleed;
Το OpenSSL χρησιμοποιείται στα πρωτόκολλα SSL and TLS πολλών HTTPS ιστοσελίδων, οι οποίες συλλέγουν προσωπικές ή οικονομικές πληροφορίες. Πρόκειται για sites, που, όταν τα επισκέπτεστε, τα αναγνωρίζετε από το εικονίδιο κλειδώματος στην μπάρα του browser σας, το οποίο σας γνωστοποιεί ότι οι πληροφορίες που στέλνετε προστατεύονται από τα αδιάκριτα βλέμματα.
Η σημαντικότατη ευπάθεια που έχει προκύψει μπορεί να επιτρέψει σε “εγκληματίες του Διαδικτύου” να έχουν πρόσβαση στα προσωπικά δεδομένα επισκεπτών, καθώς και τα κλειδιά κρυπτογράφησης ενός site, τα οποία μπορούν να χρησιμοποιηθούν στη συνέχεια ώστε να πάρουν τη σελίδα “υπό τον έλεγχό τους”, για να συλλέξουν ακόμη περισσότερες πληροφορίες.
To Heartbleed flaw υπάρχει εδώ και δύο χρόνια!
Το Heartbleed flaw ανακαλύφθηκε από τον Neel Mehta, έναν ερευνητή της Google, σε συνεργασία με μία ανεξάρτητη φινλανδική εταιρεία ασφαλείας, την Codenomicon. Πρόκεται για το αποτέλεσμα ενός μικρού σφάλματος κωδικοποίησης, αλλά θα μπορούσε να έχει εκτεταμένες συνέπειες και να επηρεάσει την πλειοψηφία των χρηστών του Διαδικτύου. Οι ερευνητές έχουν δημιουργήσει, μάλιστα, και ένα ειδικό site ώστε να απαντούν σε συνήθεις ερωτήσεις σχετικά με το σφάλμα αυτό, ενώ έχουν δημιουργήσει και το ειδικό “bleeding” λογότυπο το οποίο βλέπετε παραπάνω. Ανακάλυψαν το θέμα την περασμένη εβδομάδα και δημοσίευσαν τα ευρήματά τους τη Δευτέρα, σημειώνουν ωστόσο ότι το ζήτημα υπάρχει για περισσότερα από δύο χρόνια, ξεκινώντας από το Μάρτιο το 2012. Έτσι, όλες οι επικοινωνίες που πραγματοποιήθηκαν μέσω SSL κατά τα δύο τελευταία χρόνια, θα μπορούσαν να αποτελέσουν αντικείμενο κακόβουλης υποκλοπής.
Πώς μπορείτε να προστατευτείτε από το Heartbleed ως χρήστες και διαχειριστές;
Αυτό που κάνει το bug ακόμη πιο σοβαρό, ωστόσο, είναι το γεγονός ότι δεν υπάρχει απλή λύση γι’ αυτό, καθώς πρέπει να ληφθούν ενέργειες τόσο από το εκτεθειμένο site όσο και από αυτούς που το επισκέφθηκαν. Για να προστατευτούν τα δεδομένα των χρηστών καθώς και τα κλειδιά κρυπτογράφησης ενός site, πρέπει να πραγματοποιηθεί αναβάθμιση στη διορθωμένη έκδοση του OpenSSL, να ανακαλεστούν τα εκτεθειμένα SSL πιστοποιητικά και να εκδωθούν νέα. Όπως σημειώνεται από το OpenSSL project, μόνο οι 1.0.1 και 1.0.2-beta releases του OpenSSL επηρεάζονται (συμπεριλαμβανομένων των 1.0.1f και 1.0.2beta1). Οι διαχειριστές τους πρέπει να πραγματοποιήσουν ενημέρωση στο 1.0.1g, ενώ το σφάλμα στο 1.0.2 θα διορθωθεί στην έκδοση 1.0.2-beta2.
Πολλά μεγάλα sites έχουν λάβει ήδη μέτρα για να “θωρακίσουν” τις σελίδες αλλά και τους χρήστες τους από το Heartbleed flaw, με τις έως τώρα πληροφορίες να σημειώνουν ότι μεγάλοι “παίκτες” όπως οι Apple, Google and Microsoft δεν έχουν πιθανότατα επηρεαστεί. Δε συμβαίνει, ωστόσο, το ίδιο και με τη Yahoo, στην περίπτωση της οποίας οι ερευνητές ασφαλείας την Τρίτη το πρωί με σχετικές δημοσιεύσεις απέδειξαν ότι η ευπάθεια έχει επιτρέψει την υποκλοπή emails logins. Αργότερα, ωστόσο, η εταιρεία ανακοίνωσε ότι έχει επιλύσει το ζήτημα στα μεγαλύτερα sites της, συμπεριλαμβανομένων όλων υπηρεσιών της Yahoo, του Flickr αλλά και του Tumblr.
Δεν είναι, ωστόσο, ένα πρόβλημα που αφορά μόνο τις μεγάλες ιστοσελίδες, καθώς και μικρότερα online stores αλλά και υπηρεσίες που χρησιμοποιούν το OpenSSL πρέπει να πραγματοποιήσουν τα απαραίτητα fixes. Κάποιες από αυτές τις σελίδες δε δημοσιοποιούν ότι χρησιμοποιούν το OpenSSL, με αποτέλεσμα η διαδικασία αναγνώρισης της πιθανότητας “έκθεσης” στο bug να μην είναι εύκολη για τους χρήστες τους.
Τι πρέπει να κάνετε όμως ως χρήστες, ώστε να μην διατρέχετε κίνδυνο; Οπωσδήποτε να ενημερώσετε τα passwords σας σε διάφορα web sites που χρησιμοποιείτε, αφού πρώτα επιβεβαιώσετε, βέβαια, ότι αυτά έχουν λάβει ήδη τα απαραίτητα μέτρα για να αντιμετωπίσουν το Heartbleed. Αν κάποιο site είναι ακόμη “εκτεθειμένο”, αυτό σημαίνει ότι και το νέο pass σας δεν είναι ασφαλές…
Διαβάστε περισσότερα για το Heartbleed εδώ.
τα σχόλια είναι κλειδωμένα.