Όλα Όσα Πρέπει Να Γνωρίζεις Για Το Heartbleed

heartbleed-bug

Από χθες ο κόσμος της ασφάλειας των υπολογιστών απασχολείται με ένα επικίνδυνο bug που εντοπίστηκε στο πρωτόκολλο OpenSSL. Το “Heartbleed”, όπως αυτό ονομάζεται, υπολογίζεται πως εκθέτει περίπου τα ⅔ των servers στο διαδίκτυο. Αυτό σημαίνει πως τα δεδομένα δεκάδων εκατομμυρίων χρηστών βρίσκονται δυνητικά σε κίνδυνο.

Πως λειτουργεί το Heartbleed;

Η πλειοψηφία των ιστοσελίδων που υποστηρίζουν κρυπτογράφηση SSL χρησιμοποιούν ένα λογισμικό που ονομάζεται OpenSSL. Οι δημιουργοί του έχουν υλοποιήσει μέσα σε αυτό ένα σύστημα που ονομάζεται heartbeat - εξού και η ονοματοδοσία του bug. Σύμφωνα με αυτό ένας υπολογιστής μπορεί να στέλνει σύντομα μηνύματα ανά τακτά χρονικά διαστήματα προς ένα server, έτσι ώστε να επιβεβαιώσει πως βρίσκεται ακόμα online. Οι ερευνητές ανακάλυψαν πως κάποιος μπορεί να προσομοιώσει αυτά τα μηνύματα και να κάνει τον server να του στείλει δεδομένα που βρίσκονται αποθηκευμένα στην μνήμη RAM. Περισσότερες τεχνικές λεπτομέρειες για τη λειτουργία του μπορείς να διαβάσεις εδώ.

Ποιοι το ανακάλυψαν;

Το Heartbleed ανακαλύφθηκε από μια ομάδα ερευνητών που εργάζεται στην Codenomicon και έναν ερευνητή που εργάζεται στην Google Security. Μόλις το ανακάλυψαν ενημέρωσαν την ομάδα που αναπτύσσει το OpenSSL, έτσι ώστε αυτοί με τη σειρά τους να διορθώσουν το πρόβλημα.

Ποιες ιστοσελίδες κινδυνεύουν;

Όπως είπαμε υπολογίζεται πως στο Heartbleed είναι εκτεθειμένα περίπου τα ⅔ των servers στον κόσμο. Έχει δημιουργηθεί ένα σχετικό αρχείο στο GitHub, στο οποίο αναγράφονται ποιες από τις πιο δημοφιλείς ιστοσελίδες είναι ευάλωτες και ποιες όχι. Στην πρώτη κατηγορία συναντάμε μεταξύ άλλων το yahoo.com, το stackoverflow.com, το flickr.com, το okcupid.com, το steamcommunity.com και το 500px.com. Επειδή ο έλεγχος πραγματοποιήθηκε χθες, κάποιες από αυτές μπορεί ήδη να έχουν διορθώσει το bug.

Πως μπορώ να δω αν ο server μου είναι εκτεθειμένος;

Το Heartbleed εμφανίστηκε για πρώτη φορά το 2011. Έτσι όλες οι εκδόσεις του OpenSSL από την 1.0.1 μέχρι και την 1.0.1f είναι εκτεθειμένες σε αυτό. Στις 7 Απριλίου 2014 κυκλοφόρησε μια ενημέρωση που διορθώνει το bug και φτάνει το OpenSSL στην έκδοση 1.0.1g.

Έχει δημιουργηθεί ένα τεστ που ελέγχει αν η ιστοσελίδα σου είναι ευάλωτη ή όχι. Αυτό μπορείς να το βρεις στο filippo.io/Heartbleed.

Τι μπορώ να κάνω αν είμαι απλός χρήστης;

Δυστυχώς δεν υπάρχουν πολλά που μπορείς να κάνεις. Κάθε φορά που επισκέπτεσαι μια ιστοσελίδα που δεν έχει διορθώσει το bug, τα στοιχεία πρόσβασης και τα δεδομένα σου βρίσκονται σε κίνδυνο. Ρίξε μια ματιά παραπάνω στη λίστα των ιστοσελίδων που ήταν ευάλωτες μέχρι και χθες. Να σημειώσουμε πως σήμερα κάποιες από αυτές μπορεί να είναι πλέον ασφαλείς. Επειδή όμως δεν υπάρχει τρόπος να γνωρίζεις αν κάποιος έχει ήδη στην κατοχή του τα στοιχεία πρόσβασης σου, καλό είναι να τα αλλάξεις σύντομα.

Σχολιάστε >
1 σχόλιο
|
Κατηγορίες:

Μία απάντηση στο “Όλα Όσα Πρέπει Να Γνωρίζεις Για Το Heartbleed”

  1. […] Μόλις μερικούς μήνες μετά τις αποκαλύψεις για το “Heartbleed”, κυκλοφόρησε σήμερα η είδηση για την ύπαρξη ενός νέου, ίσως ακόμα μεγαλύτερου πονοκεφάλου για όσους ασχολούνται με την ασφάλεια υπολογιστών. […]