Saugumo spraga “Kraujuojanti širdis (Heartbleed)” ko gero pretenduoja tapti viena didžiausių saugumo spragų interneto istorijoje. Apie Heartbleed kalba visas pasaulis, twitter’yje netgi teko matyti žinutę, kad tai viena stilingiausiu spragų, nes turi visai gerą logotipą.
Šiame įraše papasakosiu kas tai per spraga, kaip nuo jos apsisaugoti, ir kokių priemonių Jūs turėtumėte imtis.
Kas tai?
Techniškai, tai yra OpenSSL protokolo programinė klaida (bug’as), viešai apie ją buvo paskelbta 2014.04.07. Tą pačią dieną pasirodė ir OpenSSL protokolo atnaujinimas, kuris ištaisė šią klaidą. OpenSSL išplatino oficialų pranešimą ir paskelbė kas buvo pažeidžiama, kokios versijos ir kaip užlopyti spragą. Pažeistos ne visos versijos, ir ne visos operacinės sistemos.
Kai kas net pasistengė patikrinti top 10 000 domenų sąrašą dėl šios spragos pažeidžiamumo: https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt (duomenys gali jau nesutapti, nes pasaulis gan greitai reagavo, ir suskubo atnaujinti serverius).
Kokią informaciją galima pavogti pasinaudojus šia spraga?
Pasinaudojus šia spraga galima nuskaityti duomenis iš serverio atminties. O jei įsilaužėlis sugebėtų iš tų duomenų gauti privatų serverio raktą, tuomet jis galėtų atkoduoti ir nuskaityti duomenis, kurie yra apsaugoti SSL sertifikatu (užkoduoti).
Nieko nesupratu, gal galima paprasta žmonių kalba?
Pavyzdžiui jungiatės prie e-bankininkystės, feisbuko ar kito puslapio per interneto adresą, kuris prasideda https (s – reiškia saugus), naršyklėje prie adreso laukelio matote spyną (chrome naršyklėje ji žalia). Užėję į tokį adresą jaučiatės saugūs, nes tam ir buvo sukurtas https, kad duomenys perduodami tarp Jūsų kompiuterio ir serverio būtų koduojami, ir joks pašalietis jų nesužinotų. Tačiau, kai atsirado ši saugumo spraga, vadinamieji įsilaužėliai (hakeriai, programišiai) galėjo gauti raktą, kuris saugomas serveryje tam, kad atkoduoti duomenis siunčiamus į serverį.
Jei jau blogasis programuotojas turės raktą nuo spynos, visus duomenis, kuriuos Jūs siųsite per https jis galės perskaityti. O tie duomenys gali būti Jūsų slaptažodžiai, el. paštas, banko kodai…
Ar galima patikrinti svetainės pažeidžiamumą?
Ši svetainė leidžia tai atlikti: http://filippo.io/Heartbleed
Atsidarykite minėtą svetainę ir įveskite jus dominančio interneto adreso pavadinimą.
Ką daryti jei svetainė pažeidžiama?
Praneškite tai paslaugos teikėjui, jei jis to dar nežino. Šią spragą galima ištaisyti atnaujinus OpenSSL protokolą, taip pat rekomenduojama pasikeisti SSL sertifikato raktus.
Blogiausia yra tai, kad niekas iš tiesų nežino ar šia spraga kas nors pasinaudojo… Kolkas oficialių pranešimų neteko matyti, tačiau būkite atidūs, ypač e-bankininkystėje. Nežinau sutapimas ar ne, bet šiandien prisijungus prie Swedbank e-banko, manes paprašė pasikeisti slaptažodį.
Ką aš turėčiau daryti?
Iš tiesų nelabai ką ir galite pakeisti, bet jei gausite pranešimą iš kokio nors paslaugų teikėjo, kad reikėtų pasikeisti slaptažodį, geriau taip ir padarykite. Žinoma, jei norite visada galite patikrinti ar svetainė nėra pažeidžiama šios spragos pagal mano pateiktą nuorodą. Daugiausia pakeitimų čia turėjo atlikti serverių adminstratoriai, žinoma, jei jų serveriai potencialiai galėjo būti pažeidžiami.
Mes savo serverius patikrinome, dėl visa pikta pakeitėme ir SSL serverių raktus. Su domenai.lt Jūs saugūs 😉
Noriu dar daugiau informacijos apie šią saugumo spragą!
Prašau: http://heartbleed.com/
Norite pasidalinti savo mintimis ir komentarais? Komentuokite, dalinkitės šia informacija.
- Kaip apsisaugoti nuo Heartbleed saugumo spragos? - April 10, 2014
- 2013.12.09 – laisvų ir karantine esančių .lt domenų sąrašas - December 9, 2013
- Domenai iš 2 simbolių su .lt galūne. Ar turime jų dar laisvų? - December 9, 2013