Експертите казват грешката на Heartbleed OpenSSL — пропуск в мрежовия софтуер, предназначен да защитава вашите данни — може всъщност да е позволил на хакерите да откраднат самите данни, които трябва да пази. Мислите, че сте в безопасност от тази неясна грешка в OpenSSL, каквото и да е това? Помисли отново. Един експерт отбеляза, че „почти всеки“ го използва.
„Като се има предвид, че повече от половината уеб сървъри в света използват Apache, а Apache използва OpenSSL, по-голямата част от хората използват приложения, изграждани редовно върху OpenSSL“, обясни Стив Пейт, главен архитект в компанията за облачни услуги HyTrust.
Препоръчани видеоклипове
Бъгът Heartbleed е дупка в сигурността, открита в OpenSSL, широко използван мрежов софтуер, който криптира чувствителните данни, които въвеждате в много популярни уебсайтове. Пропускът позволява на хакерите да крадат данни директно от чиповете памет на сървъри по целия свят и съществува от около две години. Жан Тагарт, старши изследовател по сигурността в Malwarebytes, който прави популярен анти-злонамерен софтуер, го описва като лесен начин за мошеници невидимо да почистят вашите данни.
ПОВЕЧЕ ▼: Какво е Heartbleed Bug?
„Тази уязвимост дава на киберпрестъпниците метод за събиране на много чувствителна информация, като частни ключове за криптиране. Ако противникът е извлякъл частния ключ чрез уязвимостта на Heartbleed, той може да се представя за жертвата и да създаде неоткриваема атака човек по средата“, каза Тагарт.
OpenSSL има история на уязвимост на атаки, казва Пейт, като първият пропуск беше забелязан от HyTrust през май 2009 г. Въпреки това, Пейт също така отбелязва, че въпреки че OpenSSL 1.0.1 и 1.0.2-бета вече имат налични корекции на грешки в Heartbleed, ако се използват засегнатите версии, експлойтът може вече да е бил използван от хакери за чувствително прекарване на пръст данни.
Тагарт също така обясни, че премахването на пропуска в сигурността няма да е лесна задача.
„Коригирането на този бъг няма да е тривиално, защото въпреки че професионалистите по сигурността могат да пуснат надстройка, много от тях няма да нулират своите сертификати, тъй като това е трудна и продължителна задача. Така че, ако са били компрометирани преди обявяването на грешката, техните лични ключове може вече да са в ръцете на противници и техните криптирани комуникации могат да бъдат прихванати от трети партии.”
ПОВЕЧЕ ▼: Кои уебсайтове са засегнати от Heartbleed Bug?
Натаниел Купър-Ноулс, главен консултант по сигурността в охранителна фирма Neohapsis каза, че въпреки че има заобиколни решения и корекции за борба с Heartbleed, „конят може вече да е извън обора“.
„Много организации не разполагат с инструменти, за да идентифицират дали и къде са уязвими, атаката може да не остави отпечатък, забележим от легитимен трафик, и последствията потенциално могат да бъдат дългосрочни,” Couper-Noles казах. Освен това Couper-Noles отбеляза, че може да има „стотици или хиляди засегнати системи“ в световния бизнес.
В този момент, промяна на вашите пароли е най-добрият курс на действие, който можете да предприемете, за да се предпазите от бъга Heartbleed. На всичко отгоре, избягване на уеб страниците в този списък със сайтове за които се предполага, че са засегнати от недостатъка на OpenSSL, също е силно препоръчително.
Кредит на изображението: http://www.wallpaperzzz.com
Препоръки на редакторите
- Създателят на ChatGPT стартира програма за награди за грешки с парични награди
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
