Eksperter siger Heartbleed OpenSSL-fejlen - en fejl i netværkssoftwaren beregnet til at beskytte dine data - kan faktisk have givet hackere mulighed for at stjæle netop de data, den er beregnet til at beskytte. Tror du, at du er sikker fra denne obskure fejl i OpenSSL, hvad end det er? Tænk igen. En ekspert bemærkede, at "næsten alle" bruger det.
"I betragtning af at over halvdelen af verdens webservere bruger Apache, og Apache bruger OpenSSL, bruger de fleste mennesker applikationer bygget oven på OpenSSL med jævne mellemrum,” forklarede Steve Pate, Chief Architect hos cloudservicefirmaet HyTrust.
Anbefalede videoer
Heartbleed-fejlen er et sikkerhedshul opdaget i OpenSSL, udbredt netværkssoftware, der krypterer de følsomme data, du indtaster på mange populære websteder. Fejlen gør det muligt for hackere at stjæle data direkte fra hukommelseschips på servere over hele verden og har eksisteret i omkring to år. Jean Taggart, en senior sikkerhedsforsker hos Malwarebytes, som laver populær anti-malware-software, beskrev det som en nem måde for skurke til usynligt at feje dine data op.
MERE: Hvad er Heartbleed Bug?
"Denne sårbarhed giver cyberkriminelle en metode til at indsamle meget følsom information, såsom private krypteringsnøgler. Hvis en modstander har udtrukket den private nøgle gennem Heartbleed-sårbarheden, kan de efterligne offeret og opsætte et uopdageligt man-i-midten-angreb,” sagde Taggart.
OpenSSL har en historie med at være sårbar over for angreb, siger Pate, med den første fejl opdaget af HyTrust tilbage i maj 2009. Pate bemærker dog også, at selvom OpenSSL 1.0.1 og 1.0.2-beta allerede har Heartbleed-fejlrettelser tilgængelige, hvis de berørte versioner bliver brugt, kan udnyttelsen allerede være blevet brugt af hackere til at swipe følsomme data.
Taggart forklarede også, at det ikke vil være nogen let opgave at udrydde sikkerhedsbristen.
"At rette denne fejl vil ikke være trivielt, for selvom sikkerhedsprofessionelle kan udrulle en opgradering, vil mange ikke nulstille deres certifikater, da dette er en vanskelig og langvarig opgave. Så hvis de blev kompromitteret før annonceringen af fejlen, er deres private nøgler måske allerede det i hænderne på modstandere, og deres krypterede kommunikation kunne opsnappes af tredjemand fester."
MERE: Hvilke websteder er berørt af Heartbleed Bug?
Nathaniel Couper-Noles, hovedsikkerhedskonsulent hos sikkerhedsfirma Neohapsis sagde, at selvom der findes løsninger og rettelser til at bekæmpe Heartbleed, "kan hesten allerede være ude af stalden."
"Mange organisationer er ikke udstyret til at identificere, om og hvor de er sårbare, angrebet kan efterlade ingen fodaftryk kan skelnes fra legitim trafik, og konsekvenserne kan potentielt være langsigtede," Couper-Noles sagde. Derudover bemærkede Couper-Noles, at der kunne være "hundrede eller tusindvis af berørte systemer" på tværs af verdens virksomheder.
På dette tidspunkt, ændre dine adgangskoder er den bedste fremgangsmåde, du kan tage for at beskytte dig selv mod Heartbleed-fejlen. Oven i købet, undgå websiderne på denne liste over websteder som angiveligt er påvirket af OpenSSL-fejlen, anbefales også stærkt.
Billedkredit: http://www.wallpaperzzz.com
Redaktørens anbefalinger
- ChatGPT skaberen lancerer bug bounty program med kontante belønninger
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
