A Heartbleed OpenSSL-hiba arra késztet, hogy kilépjek az internetről

Csavarja. Kész vagyok.

Valaki vegyen nekem egy forgó telefont, a Yellow Pages másolatát és egy doboz papír csekket. Az interneten már semmi sem biztonságos.

Így érzem magam, miután megküzdöttem a tömeggel Heartbleed OpenSSL hiba egy hét nagy részében. Két éve az általunk használt webhelyek, mobilalkalmazások, operációs rendszerek és internetes szolgáltatások többségét – és műszaki riporterként használom út túl sok van belőlük – nyílt forrású a hackelés, mindez egy nyílt forráskódú biztonsági protokoll néhány soros kódjának apró hibájának köszönhető. Minden bejelentkezési nevünk, jelszavank, hitelkártya-információnk, személyes adatunk – minden; minden ott van, és lehet, hogy már egy ideje. Még a Gmail is sebezhető volt. Facebook is. A probléma annyira kiterjedt, hogy nap mint nap új berendezéseket és szoftvereket fedezünk fel, amelyek javításra és javításra szorulnak. Úgy érzi az Y2K-t, mint egy fing a szélben.

A legrosszabb az egészben az, hogy mi, felhasználók, semmit sem tettünk, hogy ezt előidézzük, és tehetetlenek vagyunk megvédeni magunkat. Csak ülnünk kell itt, és remélni, hogy nem halunk bele ebbe a Heartbleed-baba.

Egyáltalán nem nevezhetjük „hibának”. Inkább a Jelenések könyvéből származó sáskák hordája. Sajnos még a Biblia is optimistább volt, mint ami az internet előtt áll. Azok a sáskák csak öt hónapig gyötörték a Földet. Kétlem, hogy ilyen szerencsések leszünk.

A biztonsági tanácsadók olyan őrült dolgokat mondanak nekünk, mint például:

• Ne állítsa vissza jelszavait, amíg a szolgáltatások kijavításra nem kerültek
• Visszaállítás minden jelszavait, ha egy szolgáltatás biztonságos, csak a biztonság kedvéért
• Ne keresse fel az érintett webhelyeket
• Ne használjon semmilyen érintett okostelefon-alkalmazást
• Ne vásároljon online, amíg ez meg nem szűnik
• Hívja fel az összes bankját és szolgáltatását, hogy megtudja, érinti-e őket ez

A probléma az, hogy keresőmotor használata nélkül nem is lehet tudni, hogy egy webhelyet vagy alkalmazást érint-e ez a hiba. például a Yahoo, a Google vagy a DuckDuckGo (mindegyikét szintén elérte ez a hiba), vagy egy alkalmazás letöltése a Google Playről (szintén érintett). A legtöbben valószínűleg nem találnak telefonszámot internetes keresés nélkül. És az ezekben a keresőmotorokban talált linkek olyan webhelyekre mutathatnak, amelyek maguk is sebezhetőek. Vagy megtudhatja e-mailjéből, amely valószínűleg maga is feltört.

Kevés vállalat vállal valódi felelősséget. A Google halkan elismerte blogjában, hogy bárki, akinek Android 4.1.1-es telefonja van, ki van téve a problémának, de nem árulta el, hogy mely készülékek kivéve, hogy e-mailben elismerte a DT-nek, hogy „az Android 4.1.1 használatát egy számjegyű százalékra becsüli”. Kicsinek hangzik, jobb? Ez nem. Világszerte több mint egymilliárd Android-eszköz van az emberek kezében, ami azt jelenti, hogy 10-100 millió embernek van olyan telefonja, amely nyitva van a hackerek számára. És ezek a telefonok hónapokig is elérhetők lehetnek, amíg az említett telefonok gyártói, majd szolgáltatói kiadnak egy frissítést, és ezek a felhasználók mind telepítik a frissítést. Mikor jönnek a patchek? Ki érintett? nem tudjuk. Egyetlen cég sem akarja magára vállalni a felelősséget.

Biztos vagyok benne, hogy legalább néhány tucat olyan szolgáltatást használok, amelyet veszélyeztetett ez az OpenSSL Heartbleed hiba. Mégis csak két e-mailt kaptam ezekről a webhelyekről, amelyek figyelmeztetnek. Az egyik egy európai AirBNB-versenytárstól származott Roomarama (köszi, srácok!), a másik pedig a Manilla nevű pénzügyi alkalmazásból származott. Manilla nem is volt sebezhető, de küldtek egy megjegyzést, hogy ellenőrizzem a többi szolgáltatást.

Köszönet tehát a Roomaramának és a Manillának, hogy közvetlenül értesítették felhasználóit a Heartbleedről. Sokkal kedvesebb vagy, mint a Google, a Facebook, a Yahoo, a GoDaddy, a TurboTax, a Minecraft, az OKCupid, a Tumblr, a Pinterest, Instagram, Dropbox, BlackBerry, Etsy, Fandango, GrubHub, Hulu, Steam, Netflix és isten tudja, hány egyéb szolgáltatás kint.

Hogy a fenébe kellene új jelszavakat kitalálnom ezekhez a szolgáltatásokhoz? Nem tudom.

szerint a Symantec jelentés2013-ban 552 millió ember személyazonossága derült ki olyan vállalati vagy kormányzati adatszivárgás következtében, amely nem az ő hibájukból történt. 2012-ben ez a szám 93 millió volt. Mit hoz 2014? Elérjük a milliárdot? Hányszor kell jelszavamat módosítanom jövőre?

Ma böngészni fogok az interneten, alkalmazásokat fogok használni, és mindent megteszek, amit általában. nincs más lehetőségem. Ha minden szolgáltatás potenciális taposóakna, és vakon rohangálsz, milyen más lehetőséged van?

Csak fel akarom adni, kabinba költözni, megnézni, hogy növeszthetem-e szakállat, veszek egy vadászpuskát, és a régi módon megvédem a bejáratott földfelhajtómat. A digitális élet egyre bonyolultabbá válik.

[A kép jóvoltából Jens Ottoson/Photographee.eu/Shutterstock]

Szerkesztői ajánlások

• Ez a jelentős Apple-hiba lehetővé teheti a hackerek számára, hogy ellopják fényképeit, és töröljék az eszközt
• Az Apple iOS 15.3-as frissítése kijavítja a Safari kritikus biztonsági hibáját
• A Google Android bug bounty programja 1 millió dolláros nyereményt hirdet