Zbog Heartbleed baga, koji traje dvije godine (!), napadači mogu da ukradu podatke direktno od provajdera i korisnika ili se lažno predstave.
Procurila je informacija o Heartbleed bagu. Riječ je o ozbiljnom propustu u popularnom OpenSSL softveru koji omogućava krađu informacija zaštićenih SSL/TLS sigurnosnim protokolom. SSL/TLS je kriptografski protokol koji obezbjeđuje sigurnost i privatnost komunikacije preko Interneta, a prisutan je na cijelom vebu, mejlu, u instant porukama i na nekim od privatnih virtuelnih mreža.
Heartbleed bag omogućava bilo kom Internet korisniku da pristupi memoriji sistema zaštićenih ugroženom verzijom OpenSSL softvera. Na taj način su kompromitovani tajni kodovi (keys) za identifikaciju provajdera i šifrovanje saobraćaja, korisnička imena i lozinke, kao i sam sadržaj.
Potencijalni napadači mogu da ukradu podatke direktno od provajdera i korisnika ili da se lažno predstave kao jedan od njih.
Šteta koja je nanijeta Heartbleed bagom još uvijek nije poznata, a gotovo je nemoguće saznati da li je neki haker iskoristio ovu bezbjednosnu rupu za svoje napade. Ona postoji na velikom broju veb servera i prolazila je neopaženo već dvije godine.
Na OVOM sajtu možete da provjerite da li je sajt koji posećujete izložen bagu. Sada pogledajte i sajtove koji su sugurno ugroženi - svi oni koriste "bagovani" sistem:
- Facebook
- Tumblr
- Google
- Yahoo
- GMail
- Yahoo Mail
- Amazon veb servisi (ne i Amazon.com)
- GoDaddy
- Intuit
- Dropbox
- OKCupid
- SoundCloud
- Wunderlist...
Bezbijedni sajtovi su:
- Outlook
- Microsoft
- Bing
- Twitter
- Apple
- eBay
- Netflix...
Kako možemo da se zaštitimo od Heartbleed baga?
Unapređena verzija OpenSSL softvera je objavljena i sajtovi je polako ubacuju, takav je recimo Yahoo slučaj, ali sve dok je ugrožena verzija u upotrebi, može doći do zloupotreba. Što se zaštite krajnjih korisnika tiče, ne postoji mnogo toga što Internet korisnik može da uradi kako bi se zaštitio. Hakeri su za dvije godine mogli da ukradu vaše podatke sa bilo kog servera ugroženog sajta koji zahtijeva prijavljivanje. Situaciju pogoršava činjenica da ne postoji trag u "log" fajlovima tako da ne postoji način da se utvrdi da li su određeni podaci kompromitovani.
Ipak, evo par zgodih savjeta:
- Promijenite korisnička imena i lozinke na svim sajtovima i servisima koji zahtijevaju prijavljivanje
- Prije nego što napustite takav sajt - odjavite se
- Nemojte koristiti lozinke od drugih servisa na novim servisima (stara lozinka za Yahoo ne bi trebalo da bude nova za Facebook i slično)
Prema pisanju bloga Zaštita Podataka, veliki sajtovi prebacuju se na novu verziju OpenSSL softvera. Problem ostaju mali komercijalni sajtovi i forumi koji mogu da ostanu izloženi napadima mjesecima, pa i godinama, jer ne postoji niko ko zna kako da izvrši potrebne promjene. Podijelite ovu vijest sa što više prijatelja kako biste zaštitili, ne samo njih, već i sebe.
(MONDO, Foto: Beta/AP)