Naslov nije preterivanje - kritični kripto bag u OpenSSL-u je otvorio dve trećine Weba prisluškivanju. Korišćenje ovog propusta omogućuje napadačima da dođu do privatnih ključeva za dekripciju osetljivih podataka. Mnogi će pomisliti da je "katastrofa" preterana reč za defekt koji je pogodio približno dve trećine Web servera ali neka imaju ovo na umu: u trenutku pisanja ovog teksta, bag nazvan "Heartbleed" je izložio korisničke šifre, sadržaje mejlova i druge osetljive podatke Yahoo Mail servisa, a vrlo verovatno i brojnih drugih servisa.
Naime, istraživači su otkrili jako opasnu grešku u kriptografskoj softverskoj biblioteci koju oko 66% Web servera koristi za identifikaciju sebe krajnjim korisnicima i za prevenciju prisluškivanja saobraćaja i otkrivanja šifri, bankarskih podataka i drugih osetljivih podataka.
Ono što je posebno zabrinjavajuće je što je ovaj bag bio prisutan (i neprimećen) u verzijama u protekle dve godine. Ovo znači da je u tom periodu bilo moguće doći do privatnih ključeva za enkripciju na digitalnim sertifikatima koji se koriste za identifikaciju servera i enkripciju podataka koji putuju između servera i krajnjeg korisnika. Napadi ne ostavljaju tragove u serverskim logovima, tako da nema načina da se sazna da li je ovaj bag korišćen ili gde. Ipak, rizik je nezamisliv: svi osetljivi podaci poput šifri, ključeva, bankarskih podataka i sličnog mogli su biti korišćeni, i još uvek mogu biti zloupotrebljeni.
Reakcija je bila brza - za manje od 24 časa od otkrića ovoga, izašla je zvanična zakrpa paketa koja rešava ovo. Međutim, ovime nisu svi problemi rešeni. Najveći je problem mogućnost da je ovaj propust korišćen i da napadači već poseduju osetljive podatke. Ovo znači da čak i nakon zaštite sistemi ostaju izloženi - jer napadači mogu imati ključeve sertifikata, korisničke šifre i drugo. Potpun oporavak bi zahtevao generisanje novih sertifikata i promene svih ovih podataka - što je ogroman posao.
Šta vi možete da učinite
Ovo je zapravo najvažnije pitanje. Najpre je potrebno da shvatite razmere potencijalne štete - vaši podaci su bili izloženi, i verovatno ih neko poseduje. Pošto je izloženost bila na strani servera, bili su izloženi svi sajtovi na serverima koji su koristili OpenSSL - među njima su i Facebook, Google, Yahoo. Skraćenu listu velikih kompanija koje su bile izložene, ili nisu, možete videti ovde.
Prvo što treba da radite je da proverite koji su sajtovi kompromitovani (link iznad). za dugu listu pogledajte ovde. Ako vam je ovo naporno, čak je napravljena aplikacija koja proverava ranjivost sajta. Ukoliko je sajt na kom imate neki nalog na ovoj listi, promenite svoju šifru. Ovo se posebno odnosi na sajtove za email, bankarske sisteme i socijalne mreže. Obratite pažnju i na to da li je kompanija primenila zakrpu za OpenSSL. Ako nije, onda nema svrhe menjati šifru. Ono što je zasad sigurno je da su Google, Twitter, Facebook i Yahoo primenili zakrpe, mada nije sigurno da li su svi bili napadnuti. Neki sajtovi to nisu učinili, jer smatraju se ranjivim - AOL, Foursquare i Akamai.
Drugo: ovaj korak zahteva malo pažnje. Potrebno je da u sledećem periodu pratite svoje naloge - da li dolazi do nekih neočekivanih problema.
Ostalo nije na vama: potrebno je da sajtovi krenu u akciju dobijanja novih digitalnih sertifikata. Ovo je velik i mukotrpan posao, ali je neophodno izvršiti ga kako bi se sprečila dalja šteta. Dakle, čak i nakon zakrpe, opasnost je i dalje ogromna.
U sledećem tekstu ćemo ući malo više u tehničke detalje i objasniti šta se zapravo desilo - sa tehničke strane.
Izvor. theverge.com, mashable.com
Postavi komentar