Heartbleed bag – nova/stara opasnost na Internetu

Pre par dana je procurela vest o Heartbleed bagu. Reč je o ozbiljnom propustu u popularnom OpenSSL softveru koji omogućava krađu informacija zaštićenih SSL/TLS sigurnosnim protokolom.
SSL/TLS je kriptografski protokol koji obezbeđuje sigurnost i privatnost komunikacije preko Interneta (web, email, instant poruke – IM i neke privatne virtuelne mreže – VPN).

Heartbleed bag

Naime, Heartbleed bag omogućava bilo kom Internet korisniku da pristupi memoriji sistema zaštićenih ugroženom verzijom OpenSSL softvera. Na taj način su kompromitovani tajni ključevi za identifikaciju provajdera i šifrovanje saobraćaja, korisnička imena i lozinke korisnika, kao i sam sadržaj. Potencijalni napadači mogu ukrasti podatke direktno od provajdera i korisnika ili se lažno predstaviti kao jedno od njih.

Šteta koja je naneta Heartbleed bagom još uvek nije poznata, a gotovo je nemoguće saznati da li je neki haker iskoristio ovu bezbednosnu rupu za svoje napade. Ona postoji na velikom broju web servera i prolazila je neopaženo već dve godine.

Evo spiska najpoznatijih sajtova koji su ugroženi:
– Facebook
– Tumblr
– Google
– Yahoo
– Gmail
– Yahoo Mail
– Amazon web servisi (ali ne i Amazon.com)
– GoDaddy
– Intuit
– Dropbox
– LastPass
– OKCupid
– SoundCloud
– Wunderlist
* Za Twitter, Apple, eBay i Netflix još uvek nije utvrđeno.

Na sajtu filippo.io/Heartbleed možete proveriti da li je sajt koji posećujete ugrožen.

Kako se zaštiti od Heartbleed baga?

Puštena je unapređena verzija OpenSSL softvera, ali sve dok je ugrožena verzija u upotrebi, može doći do zloupotrebe podataka.
Ako ste sistem administrator, potražite verziju 1.0.1g OpenSSL softvera u kojoj je rešen problem Heartbleed baga.

Nažalost, ne postoji puno toga što običan Internet korisnik može uraditi kako bi se zaštitio. Hakeri su za dve godine mogli da ukradu vaše podatke sa bilo kog servera ugroženog sajta koji zahteva prijavljivanje. Situaciju pogoršava činjenica da ne postoji trag u log fajlovima tako da ne postoji način da se utvrdi da li su određeni podaci kompromitovani.

– Promenite korisnička imena i lozinke na svim sajtovima i servisima koji zahtevaju logovanje.
– Pre nego što izađite sa takvog sajta, izlogujte se.
– Nemojte koristiti stare šifre na drugim servisima (npr. staru FB šifru za Gmail i sl.)

Veliki sajtovi bi trebalo da se u što kracem roku prebace na novu verziju OpenSSL softvera. Problem ostaju mali komercijalni sajtovi i forumi koji mogu ostati izloženi napadima mesecima, pa i godinama, jer ne postoji niko u firmi ko zna kako da izvrši potrebne promene. Podelite ovu vest sa što više prijatelja kako biste zaštitili, ne samo njih, već i sebe.

Kao i uvek, nadamo se da će vam naši saveti pomoći da zaštitite svoje podatke.

Izvor: heartbleed.com
Slika: heartbleed.com

Hvala vam što čitate naš blog!


"Citate zvanicni blog Data Solutions Laboratorije za spasavanje podataka sa hard diskova, memorijskih kartica i RAID nizova" - datasolutions.rs

Jedno misljenje o “Heartbleed bag – nova/stara opasnost na Internetu

  1. Nik says:

    U sustini ovo je samo malo podsecanje za sve one koji se zavaravaju i misle da privatnost jos uvek postoji… ;( jedino ako ste potpuno off_the_grid ste bezbedni

Leave a Reply

%d bloggers like this: