Eksperci mówią błąd Heartbleed OpenSSL — luka w oprogramowaniu sieciowym mającym chronić Twoje dane — mogła w rzeczywistości pozwolić hakerom na kradzież tych samych danych, których miało chronić. Myślisz, że jesteś bezpieczny przed tym nieznanym błędem w OpenSSL, czymkolwiek on jest? Pomyśl jeszcze raz. Jeden z ekspertów zauważył, że „prawie wszyscy” z niego korzystają.
„Biorąc pod uwagę, że ponad połowa serwerów internetowych na świecie korzysta z Apache, a Apache korzysta z OpenSSL, większość ludzi korzysta aplikacje budowane regularnie w oparciu o OpenSSL” – wyjaśnił Steve Pate, główny architekt w firmie świadczącej usługi w chmurze HyTrust.
Polecane filmy
Błąd Heartbleeda to luka w zabezpieczeniach wykryta w OpenSSL, powszechnie używane oprogramowanie sieciowe, które szyfruje wrażliwe dane wprowadzane na wielu popularnych stronach internetowych. Luka umożliwia hakerom kradzież danych bezpośrednio z układów pamięci serwerów na całym świecie i istnieje już od około dwóch lat. Jean Taggart, starszy badacz ds. bezpieczeństwa w firmie Malwarebytes, która produkuje popularne oprogramowanie chroniące przed złośliwym oprogramowaniem, opisał to jako łatwy sposób dla oszustów na niewidoczne przechwycenie danych.
WIĘCEJ: Czym jest błąd Heartbleed?
„Ta luka daje cyberprzestępcom metodę gromadzenia bardzo wrażliwych informacji, takich jak prywatne klucze szyfrujące. Jeśli przeciwnik wyodrębni klucz prywatny poprzez lukę Heartbleed, może podszyć się pod ofiarę i przeprowadzić niewykrywalny atak typu man-in-the-middle” – powiedział Taggart.
Pate twierdzi, że OpenSSL od zawsze był podatny na ataki, a pierwszą wadę zauważył HyTrust w maju 2009 roku. Jednak Pate zauważa również, że chociaż OpenSSL 1.0.1 i 1.0.2-beta mają już dostępne poprawki błędów Heartbleed, jeśli używane są wersje, których dotyczy problem, hakerzy mogli już wykorzystać exploit do wykrywania przesuwania dane.
Taggart wyjaśnił również, że wyeliminowanie luki w zabezpieczeniach nie będzie łatwym zadaniem.
„Naprawienie tego błędu nie będzie proste, ponieważ chociaż specjaliści ds. bezpieczeństwa mogą przeprowadzić aktualizację, wielu nie zresetuje swoich certyfikatów, ponieważ jest to trudne i długotrwałe zadanie. Jeśli więc zabezpieczenia zostały naruszone przed ogłoszeniem błędu, ich klucze prywatne mogły już tak być w rękach przeciwników, a ich zaszyfrowana komunikacja może zostać przechwycona przez osoby trzecie imprezy.”
WIĘCEJ: Które strony internetowe są dotknięte błędem Heartbleed?
Nathaniel Couper-Noles, główny konsultant ds. bezpieczeństwa w firmie firma ochroniarska Neohapsis powiedział, że chociaż dostępne są obejścia i poprawki umożliwiające walkę z Heartbleed, „koń może już wyjść ze stodoły”.
„Wiele organizacji nie jest wyposażonych w narzędzia pozwalające określić, czy i gdzie są podatne na ataki, dlatego atak może nie pozostawić żadnego śladu ślad można odróżnić od legalnego ruchu, a konsekwencje mogą być potencjalnie długoterminowe”, Couper-Noles powiedział. Co więcej, Couper-Noles zauważył, że w firmach na całym świecie mogą istnieć „setki lub tysiące systemów, których dotyczy luka”.
W tym momencie zmianę haseł to najlepszy sposób działania, jaki możesz podjąć, aby uchronić się przed błędem Heartbleed. Na szczycie tego, unikanie stron internetowych znajdujących się na tej liście witryn na które rzekomo wpływa luka w OpenSSL, jest również wysoce zalecane.
Źródło obrazu: http://www.wallpaperzzz.com
Zalecenia redaktorów
- Twórca ChatGPT uruchamia program nagród za błędy z nagrodami pieniężnymi
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
