Heartbleed: Ранливост во OpenSSL го испаничи целиот Интернет

Грешка во OpenSSL, популарен слободен софтвер за SSL/TLS протоколи, овозможи експлоатација на меморијата на било кој сервер кој го има имплементирано софтверот. Дека работата е навистина сериозна се наведува проценката дека два од секои три сервери на веб работат со OpenSSL.

Практично, HeartBleed им овозможува на напаѓачите директен пристап до податоците складирани во меморијата на серверот, а дел од засегнатите сајтови се Yahoo! Mail, Imgur, Flickr, LastPass… (листата на сајтови земени од Alexa топ 10.0000 кои се ранливи на HeartBleed може да ги пронајдете тука)

Експертите препорачуваат дека доколку сте корисник на некој од засегнатите сајтови, на пример Yahoo! Mail, избегнувајте да се логирате во следните 24 часа, барем додека официјално не се потврди дека серверите на Yahoo! или на било кој друг ранлив сајт се закрпени од ранливоста.

“Ова е навистина големо. Огромен е бројот на сервери кои што се ранливи од оваа безбедносна дупка. Ќе помине доста време додека се санираат последиците од овој инцидент. Ова е од причина што освен што ќе треба да се инсталира официјална закрпа за openssl библиотеката, ќе треба и да се реиздадат нови сертификати од CA бидејќи постоечките има добри шанси да се веќе компромитирани. И најстрашното, има гласини дека оваа грешка била користена во одредени сценариа во последните 2-3 години”, вели Стефан Петрушевски, истражувач од Zerosience Lab.

Тој додава и дека ова е добар пример за да се промени перцепцијата за проектите со слободен и отворен код:

“Од друга страна иаку негативен, ова е сепак добар пример зошто треба да се спонзорираат и поддржат проекти со отворен и слободен код – за да може да си дозволат почести и поквалитетни тестирања и анализи, а со тоа и континуирано подобрување на продуктот кој неретко е користен глобално во голема мера, како во примеров OpenSSL.”

Грешката официјално ја публикуваше Нил Мехта од Googlе, заедно со уште неколку истражувачи, но според некои тврдења истата постоела веќе 2 години. Засега нема информации дека серверите на Google, Microsoft или Apple се засегнати, воглавно од причина што имаат различна имплементација на SSL.

Интернет корисниците воглавно се немоќни кога доаѓа до справување со овој баг и зависат од ажурноста на систем администраторите на сервисите кои ги користат. Единствената препорака за интернет корисниците е да се одлогираат кога ќе завршат со користење на сервисот – со ова само минимално им се намалуваат шансите да нивните податоци не бидат компромитирани.

За да проверите дали некој сајт е ранлив, искористете го следниов сервис: http://www.possible.lv/tools/hb/?domain=

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии