Σε κατάσταση πανικού βρίσκονται οι ειδήμονες του Web, καθώς προσπαθούν να αποκαταστήσουν τη ζημιά ενός ιού που έχει περάσει απαρατήρητος για περισσότερο από δύο χρόνια.
Ο ιός «χτυπά» τη διατήρηση εμπιστευτικών πληροφοριών στο διαδίκτυο. Η εταιρεία ασφαλείας που το ανακάλυψε, η Codenomicon, τον ονόμασε «Heartbleed» (ψυχορράγημα), δεδομένου ότι είναι ζωτικής σημασίας. Μπορεί να δώσει στους χάκερς πρόσβαση σε όλα τα είδη των ευαίσθητων, εμπιστευτικών πληροφοριών -κωδικούς πρόσβασης, usernames, ημερομηνίες γέννησης, οτιδήποτε- χωρίς να αφήνει κανένα ίχνος της επίθεσης.
Ο Heartbleed αφήνει ένα μεγάλο κενό ασφαλείας στα πιστοποιητικά κρυπτογράφησης OpenSSL και έχει ήδη εισχωρήσει σε διάφορους servers. Το SSL είναι η τεχνολογία κρυπτογράφησης που επιτρέπει την ασφαλή μετάδοση πληροφοριών στο διαδίκτυο. Είναι, πρακτικά, αυτή η κλειδαριά που φαίνεται όταν κάνουμε broswing στον υπολογιστή μας και πάνω στη μπάρα του URL και σημαίνει ότι οι πληροφορίες κρυπτογραφούνται και η σύνδεση μας είναι ασφαλής. Ο Heartbleed επιτρέπει στον δημιουργό τους να αποκρυπτογραφεί αυτές τις πληροφορίες.
Τα πρωτόκολλα SSL και TSL είναι το πρότυπο για την κρυπτογράφηση και αποκρυπτογράφηση των συνδέσεων, με το OpenSSL open source να είναι η πιο δημοφιλής βιβλιοθήκη κλειδιών. Αυτό που διαπίστωσε η Codenomicon ήταν ότι υπήρχε μια σημαντική ρωγμή στη βιβλιοθήκη OpenSSL που καταστρέφει την αποτελεσματικότητά της και που κανείς δεν είχε παρατηρήσει μέχρι τώρα. Καθώς το OpenSSL χρησιμοποιείται στα δύο τρίτα περίπου των ιστότοπων, και σε μεγάλες υπηρεσίες όπως το Yahoo, το Tumblr, το Twitter και το Dropbox, αυτό το ελάττωμα επηρεάζει εκατομμύρια χρήστες.
Δεν γνωρίζουμε ακόμη πόσο άσχημα είναι τα πράγματα. Σύμφωνα με τα λόγια του εμπειρογνώμονα στην κρυπτογραφία Bruce Schneier είναι ένας «καταστροφικός ιός». «Στην κλίμακα από 1 έως 10, είναι στο 11». Υπάρχουν ελάχιστα πράγματα που οι χρήστες μπορούν να κάνουν αυτή τη στιγμή. Όπως έγραψε ο Steve Lohr στους New York Times: «Περιμένετε καμιά μέρα. Στη συνέχεια, αλλάξτε τους κωδικούς πρόσβασης στις υπηρεσίες web που χρησιμοποιείτε. Αυτή είναι ίσως η καλύτερη συμβουλή...»
Ο ιός «χτυπά» τη διατήρηση εμπιστευτικών πληροφοριών στο διαδίκτυο. Η εταιρεία ασφαλείας που το ανακάλυψε, η Codenomicon, τον ονόμασε «Heartbleed» (ψυχορράγημα), δεδομένου ότι είναι ζωτικής σημασίας. Μπορεί να δώσει στους χάκερς πρόσβαση σε όλα τα είδη των ευαίσθητων, εμπιστευτικών πληροφοριών -κωδικούς πρόσβασης, usernames, ημερομηνίες γέννησης, οτιδήποτε- χωρίς να αφήνει κανένα ίχνος της επίθεσης.
Ο Heartbleed αφήνει ένα μεγάλο κενό ασφαλείας στα πιστοποιητικά κρυπτογράφησης OpenSSL και έχει ήδη εισχωρήσει σε διάφορους servers. Το SSL είναι η τεχνολογία κρυπτογράφησης που επιτρέπει την ασφαλή μετάδοση πληροφοριών στο διαδίκτυο. Είναι, πρακτικά, αυτή η κλειδαριά που φαίνεται όταν κάνουμε broswing στον υπολογιστή μας και πάνω στη μπάρα του URL και σημαίνει ότι οι πληροφορίες κρυπτογραφούνται και η σύνδεση μας είναι ασφαλής. Ο Heartbleed επιτρέπει στον δημιουργό τους να αποκρυπτογραφεί αυτές τις πληροφορίες.
Τα πρωτόκολλα SSL και TSL είναι το πρότυπο για την κρυπτογράφηση και αποκρυπτογράφηση των συνδέσεων, με το OpenSSL open source να είναι η πιο δημοφιλής βιβλιοθήκη κλειδιών. Αυτό που διαπίστωσε η Codenomicon ήταν ότι υπήρχε μια σημαντική ρωγμή στη βιβλιοθήκη OpenSSL που καταστρέφει την αποτελεσματικότητά της και που κανείς δεν είχε παρατηρήσει μέχρι τώρα. Καθώς το OpenSSL χρησιμοποιείται στα δύο τρίτα περίπου των ιστότοπων, και σε μεγάλες υπηρεσίες όπως το Yahoo, το Tumblr, το Twitter και το Dropbox, αυτό το ελάττωμα επηρεάζει εκατομμύρια χρήστες.
Δεν γνωρίζουμε ακόμη πόσο άσχημα είναι τα πράγματα. Σύμφωνα με τα λόγια του εμπειρογνώμονα στην κρυπτογραφία Bruce Schneier είναι ένας «καταστροφικός ιός». «Στην κλίμακα από 1 έως 10, είναι στο 11». Υπάρχουν ελάχιστα πράγματα που οι χρήστες μπορούν να κάνουν αυτή τη στιγμή. Όπως έγραψε ο Steve Lohr στους New York Times: «Περιμένετε καμιά μέρα. Στη συνέχεια, αλλάξτε τους κωδικούς πρόσβασης στις υπηρεσίες web που χρησιμοποιείτε. Αυτή είναι ίσως η καλύτερη συμβουλή...»
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου