Experter säger Heartbleed OpenSSL-felet — ett fel i nätverksprogramvaran som är avsedd att skydda dina data — kan faktiskt ha tillåtit hackare att stjäla just den data som den är avsedd att skydda. Tror du att du är säker från denna obskyra bugg i OpenSSL, vad det nu är? Tänk om. En expert noterade att "nästan alla" använder det.
"Med tanke på att över hälften av världens webbservrar använder Apache, och Apache använder OpenSSL, använder majoriteten av människor applikationer byggda ovanpå OpenSSL regelbundet”, förklarade Steve Pate, chefsarkitekt på molntjänstföretaget HyTrust.
Rekommenderade videor
Heartbleed buggen är ett säkerhetshål som upptäckts i OpenSSL, allmänt använd nätverksprogramvara som krypterar den känsliga informationen du matar in på många populära webbplatser. Felet tillåter hackare att stjäla data direkt från minneschips på servrar över hela världen och har funnits i ungefär två år. Jean Taggart, senior säkerhetsforskare på Malwarebytes, som tillverkar populär anti-malware-programvara, beskrev det som ett enkelt sätt för skurkar att osynligt sopa upp din data.
MER: Vad är Heartbleed Bug?
"Denna sårbarhet ger cyberbrottslingar en metod för att samla in mycket känslig information, som privata krypteringsnycklar. Om en motståndare har extraherat den privata nyckeln genom Heartbleed-sårbarheten kan de utge sig för att vara offret och sätta upp en oupptäckbar man-i-mitten-attack, säger Taggart.
OpenSSL har en historia av att vara sårbara för attacker, säger Pate, med den första bristen upptäckt av HyTrust redan i maj 2009. Pate noterar dock också att även om OpenSSL 1.0.1 och 1.0.2-beta redan har Heartbleed buggfixar tillgängliga, om de berörda versionerna används, kan utnyttjandet redan ha använts av hackare för att svepa känsligt data.
Taggart förklarade också att det inte kommer att vara någon lätt uppgift att utrota säkerhetsbristen.
"Att fixa den här buggen kommer inte att vara trivialt, för även om säkerhetsproffs kan rulla ut en uppgradering kommer många inte att återställa sina certifikat eftersom detta är en svår och lång uppgift. Så om de kompromettades innan tillkännagivandet av buggen, kan deras privata nycklar redan vara det i händerna på motståndare, och deras krypterade kommunikation kan avlyssnas av tredje fester.”
MER: Vilka webbplatser påverkas av Heartbleed Bug?
Nathaniel Couper-Noles, huvudsäkerhetskonsult på säkerhetsföretag Neohapsis, sa att även om det finns lösningar och korrigeringar tillgängliga för att bekämpa Heartbleed, "kan hästen redan vara ute ur ladugården."
"Många organisationer är inte instrumenterade för att identifiera om och var de är sårbara, attacken kan lämna inga fotavtryck kan urskiljas från legitim trafik, och konsekvenserna kan potentiellt vara långsiktiga, säger Couper-Noles sa. Utöver det noterade Couper-Noles att det kan finnas "hundratals eller tusentals påverkade system" över hela världens företag.
Vid denna tidpunkt, ändra dina lösenord är det bästa du kan vidta för att skydda dig mot Heartbleed-felet. Dessutom, undvika webbsidorna på denna lista över webbplatser som påstås påverkas av OpenSSL-felet rekommenderas också starkt.
Bildkredit: http://www.wallpaperzzz.com
Redaktörens rekommendationer
- ChatGPT skapare lanserar bug-bounty-program med kontanta belöningar
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
