αυτό είναι σύμφωνα με μια ομάδα ερευνητών Codenomicon, καθώς και ο ερευνητής της Google Security Neel Mehta. Η Codenomicon είναι μια εταιρεία ασφάλειας Ιστού της οποίας οι πελάτες περιλαμβάνουν τη Microsoft, Verizonκαι Cisco Systems. Το σφάλμα Heartbleed φέρεται να επηρεάζει όσο Το 66 τοις εκατό των ενεργών ιστοσελίδων στον κόσμο, και υπάρχει εδώ και περίπου δύο χρόνια.
Προτεινόμενα βίντεο
Το OpenSSL είναι μια μέθοδος κρυπτογράφησης που χρησιμοποιείται από πολλούς ιστότοπους που προστατεύουν τα δεδομένα που πληκτρολογείτε στο πρόγραμμα περιήγησής σας στο Web. Το OpenSSL περιέχει μια συνάρτηση γνωστή ως επιλογή καρδιακού παλμού. Με αυτό, ενώ ένα άτομο επισκέπτεται έναν ιστότοπο που κρυπτογραφεί δεδομένα χρησιμοποιώντας OpenSSL, το δικό του υπολογιστή περιοδικά στέλνει και λαμβάνει μηνύματα για να ελέγχει εάν τόσο ο υπολογιστής του όσο και ο διακομιστής στο άλλο άκρο είναι και οι δύο συνδεδεμένοι. Το σφάλμα Heartbleed σημαίνει ότι οι χάκερ μπορούν να στείλουν ψεύτικα μηνύματα καρδιακού παλμού, τα οποία μπορούν να εξαπατήσουν τον διακομιστή ενός ιστότοπου για να μεταδώσει δεδομένα που είναι αποθηκευμένο στη μνήμη RAM του — συμπεριλαμβανομένων ευαίσθητων πληροφοριών όπως ονόματα χρήστη, κωδικοί πρόσβασης, αριθμοί πιστωτικών καρτών, email και περισσότερο.
«Λαμβάνοντας υπόψη τη μακρά έκθεση, την ευκολία εκμετάλλευσης και τις επιθέσεις που δεν αφήνουν ίχνη, αυτή η έκθεση θα πρέπει να ληφθεί σοβαρά υπόψη», προειδοποιεί η Codenomicon.
Οι ερευνητές ασφαλείας που αποκάλυψαν την τρύπα λένε ότι οι χάκερ που εκμεταλλεύονται το σφάλμα Heartbleed μπορούν να κλέψουν όλα αυτά και πολλά άλλα, ακόμη και άμεσα μηνύματα και επαγγελματικά έγγραφα. Οι ερευνητές δοκίμασαν μόνοι τους το ελάττωμα και ανακάλυψαν ότι μπορούσαν να κλέψουν τέτοιες πληροφορίες χωρίς αφήνοντας οποιοδήποτε ίχνος της επίθεσής τους, και επίσης χωρίς το όφελος οποιασδήποτε «προνομιακής πληροφορίας», συμπεριλαμβανομένης της σύνδεσης διαπιστευτήρια.
Τι μπορείτε να κάνετε για να προστατευθείτε από το σφάλμα Heartbleed;
Εκτός από την αποφυγή επηρεαζόμενων τοποθεσιών, οι οποίοι φέρεται να περιλαμβάνουν το Yahoo και το OkCupid, και την αλλαγή των κωδικών πρόσβασής σας, δεν υπάρχουν πολλά που μπορείτε να κάνετε για να προστατέψετε τα δεδομένα σας. Εναπόκειται στις μεμονωμένες εταιρείες να ενημερώσουν τους ιστότοπους και τις υπηρεσίες τους για να χρησιμοποιήσουν τη σταθερή έκδοση του OpenSSL, η οποία κλείνει την τρύπα που άφησε το Heartbleed — ούτως ώστε να σταματήσει η αιμορραγία. Οι ερευνητές που αποκάλυψαν το σφάλμα λένε ότι είναι ευθύνη των προμηθευτών λειτουργικών συστημάτων, των κατασκευαστών λογισμικού και των προμηθευτών υλικού δικτύου να χρησιμοποιήσουν τη νέα έκδοση, η οποία καλούν FixedSSL.
Σε αυτό το σημείο, τόσο η Amazon όσο και η Yahoo εργάζονται για την εφαρμογή της επιδιόρθωσης σε όλες τις υπηρεσίες τους, με την τελευταία να δείχνει ότι το έχουν κάνει στις περισσότερες ιδιοκτησίες ιστού υψηλού προφίλ, συμπεριλαμβανομένης της αρχικής σελίδας του Yahoo, της Αναζήτησης Yahoo, του Yahoo Mail, του Yahoo Sports και άλλων. Εν τω μεταξύ, η Amazon δηλώνει ότι έχει εφαρμόσει την επιδιόρθωση και στην πλειονότητα των υπηρεσιών της. Μπορείς να διαβάσεις Η δήλωση της Amazon για το θέμα εδώ.
Σε αυτό το σημείο, δεν είναι σαφές πόση ζημιά έχει προκληθεί από το Heartbleed. Εν τω μεταξύ, ορίστε μια λίστα με τοποθεσίες που φέρεται να έχουν επηρεαστεί. Επίσης, το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ έχει δημοσιεύσει μια ανάρτηση στο blog, προσφέροντας αυτές τις συμβουλές για το πώς να ασφαλιστείτε από το Heartbleed.
- «Πολλοί ιστότοποι που χρησιμοποιούνται συχνά λαμβάνουν μέτρα για να διασφαλίσουν ότι δεν επηρεάζονται από αυτήν την ευπάθεια και ενημερώνουν το κοινό. Μόλις μάθετε ότι ο ιστότοπος είναι ασφαλής, αλλάξτε τους κωδικούς πρόσβασής σας."
- «Παρακολουθήστε στενά τους λογαριασμούς email, τραπεζικούς λογαριασμούς, λογαριασμούς μέσων κοινωνικής δικτύωσης και άλλα περιουσιακά στοιχεία στο διαδίκτυο ακανόνιστη ή ύποπτη δραστηριότητα, όπως μη φυσιολογικές αγορές ή μηνύματα»
- «Αφού ένας ιστότοπος που επισκέπτεστε έχει αντιμετωπίσει την ευπάθεια, βεβαιωθείτε ότι εάν απαιτείται προσωπική πληροφορίες όπως διαπιστευτήρια σύνδεσης ή πληροφορίες πιστωτικής κάρτας, είναι ασφαλείς με το αναγνωριστικό HTTPS στο γραμμή διεύθυνσης. Προσέξτε το "s", καθώς σημαίνει ασφαλές."
Φροντίστε να διαβάσετε τον οδηγό μας για Ποιοι ιστότοποι επηρεάζονται από το σφάλμα Heartbleed και Πώς να προστατέψετε το Android σας από το Heartbleed. Έχουμε επίσης μια ισχυρή λίστα με Εφαρμογές Android, iOS και Windows που επηρεάζονται από το Heartbleed καιΥπηρεσίες βιντεοπαιχνιδιών που επηρεάζονται από το Heartbleed.
Τι νομίζετε; Ακούγεται στα σχόλια παρακάτω.
Συστάσεις των συντακτών
- Πώς μπορεί το αφεντικό σας να σας κατασκοπεύει με το Slack, το Zoom και το Teams
- Κάποιοι επεξεργαστές Ryzen καίγονται. Δείτε τι μπορείτε να κάνετε για να σώσετε το δικό σας
- Η Microsoft φέρνει το ChatGPT στο πρόγραμμα περιήγησής σας και μπορείτε να το δοκιμάσετε τώρα
- Δείτε πώς θα μπορούσατε να προστατέψετε το RTX 4090 από το λιώσιμο
- Πώς να χρησιμοποιήσετε τη λειτουργία επιφάνειας εργασίας στο Steam Deck, ώστε να μπορείτε να το χρησιμοποιήσετε σαν υπολογιστή
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
