Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Heartbleed.com
Heartbleed.com

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Kako pojašnjava The Guardian, napadi na “ranjive” već su u “divljini” jer je SSL česta tehnologija koja se koristi za zaštitu web stranica. Web serveri koji ju koriste šalju enkripcijski ključ posjetitelju, koji se koristi za štićenje svih informacija koje dolaze i odlaze sa servera. Ključna je to tehnologija za štićenje informacija, primjerice, pri online kupovini ili bankarenju, jer onemogućuje presretanje i otkrivanje povjerljivih informacija.

No, developer i kriptografski konzultant Filippo Valsorda objavio je alat koji omogućuje korisnicima da provjere svoje stranice, odnosno, utječe li na njih Heartbleed. Kako prenosi Cnet, alat je pokazao da su sve veće web stranice “nezaražene”, poput Googlea, Microsofta, Twittera, Facebooka i Dropboxa, ali u tom trenutku pokazivalo se da je Yahoo zaražen, što je sada otklonjeno. No, ako ste korisnik spomenute stranice i njenih usluga, preporuča se promjena lozinki. Zanimljiv popis stranica koje su jučer bile ranjive može se pronaći na Githubu.

Screenshot koji pokazuje da je Yahoo bio "zaražen" (Izvor: Cnet)
Screenshot koji pokazuje da je Yahoo bio “zaražen” (Izvor: Cnet)

Zašto “krvarenje”?

Ranjivost se službeno naziva CVE-2014-0160, ali je poznata pod imenom Heartbleed, kako ga je imenovala tvrtka koja se bavi sigurnošću  Codenomicon, koja je zajedno s Neelom Mehtom, iz Googleovog sigurnosnog tima, otkrila problem. Ime dolazi iz toga što bug iskorištava nedostatak u ekstenziji koja se naziva Heartbeat, koji omogućuje napadačima da čitaju povjerljive enkriptirane podatke, ali i da uzmu enkripcijske ključeve koji se koriste za osiguravanje tih podataka. To znači da serveri koji poprave bug, koristeći “zakrpu” koju je ponudio OpenSSL, moraju također nadograditi sve svoje ključeve ili će i dalje biti ranjivi. Ranjivost navodno postoji još od 2011. godine, ali greška je tek nedavno uočena. TechCrunch napominje kako se ne može znati koji su podatci prikupljeni, jer iskorištavanje buga ne ostavlja trag na serverima.

Što napraviti?

Dok pojedini savjetuju da se idućih nekoliko dana klonite samo onih usluga koje zahtijevaju prikupljanje osjetljivih podataka, poput kupovine na internetu, drugi citiraju blog Tora, softvera koji bi trebao omogućiti anonimnost svojim korisnicima, a koji je također bio “zaražen” bugom:

Ako imate potrebu za jakom anonimnošću i privatnosti na internetu, možda biste se trebali u potpunosti maknuti s interneta dok se situacija ne slegne.

Također, ako ste korisnik kakve “zaražene” stranice, trebali biste promijeniti lozinku, ali tek nakon što stranica popravi grešku.

Komentari

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Saša Fišter platformom Sliceer planira dobiti gem, set i meč digitalizacije teniskih klubova

Aplikacija za digitaliziranje teniskih klubova i gemifikaciju igranja tenisa Sliceer danas ima više od 1400 aktivnih korisnika koji putem nje organiziranju mečeve i turnire.

Tehnologija

Kako otvoriti webshop? Važan korak je odabir platforme – što nudi WooCommerce?

Došla je pandemija i odjednom vam je pokretanje web trgovine postalo glavni prioritet? Važna odluka koja vas čeka je odabir platforme na temelju koje ćete napraviti svoje eCommerce carstvo. U moru alata čudnih imena, jedan iskače više od drugih - WooCommerce.

Intervju

Dostava piva nije vožnja po gradu uz GoogleMaps, znaju to Medvedgrad i OptimoRoute

Nakon osigurane investicije od gotovo sedam milijuna dolara, OptimoRoute planira širenje ureda u Zagrebu kako bi malim tvrtkama približili logističko planiranje slično onome koje imaju velike tvrtke.

Što ste propustili

Startupi i poslovanje

Wolt, Infobip i KEKSPay otkrili što ih je kaos oko COVID-19 naučio o CX-u

S obzirom na nove okolnosti rada i života koje je donijela pandemija, osluškivanje tržišta brendovima je postalo bitnije nego ikad. Oni koji su pomno pratili promjene snašli su se nešto bolje, ali nitko nije bio imun na izazove. Uz domaće i strane stručnjake na Digitalnom doručku prošli smo najvažnije aspekte korisničkog iskustva u neizvjesnim vremenima ne bi li spremnije dočekali mjesece pred nama.

Društvene mreže

Što morate znati o Trumpovom bijesu prema Twitteru – i posljedicama za Facebook i Google, vas?

Očekivano, Donaldu Trumpu se potez Twittera, koji je označio njegove objave spornima, nije nimalo svidio pa je donio uredbu kojom želi dodatno regulirati društvene mreže, učinivši ih direktno odgovornima za ono što njihovi korisnici objavljuju.

Startupi i poslovanje

Ivan Burazin: Shift uživo u rujnu, a do tada organiziramo online predavanja!

Shift se drži i dalje, a ovogodišnje izdanje neće biti prebačeno online, već će se u rujnu održati uživo!

Intervju

Miljenko Graovac novi je direktor digitalnih proizvoda u HT-u: Introspektiva je ključ inovacija!

Privukla me vizija kompanije: digitalizacija i povezivanje privatnih osoba, tvrtki i društva s prilikama koje ona pruža, kaže novi šef digitalnih proizvoda u Hrvatskom Telekomu s kojim smo imali priliku razgovarati o karijeri te implementaciji digitalnih proizvoda i rješenja u velikim tvrtkama.

Najava

Što vas čeka kao programere nakon faksa – u doba krize? Saznaj na Digitalna karijera meetupu!

Pred nadolazeću krizu preostalih par ispita do kraja ili diploma u ruci nude malo nade za mlade, ali i to prijelazno razdoblje nosi neke prednosti i prilike, čak i u neizvjesnim vremenima. Kako razviti željenu karijeru na pomolu ekonomske krize, otkrivamo uz digitalne stručnjake na novom meetupu Digitalne karijere.

Startupi i poslovanje

Više Instagram nego intranet: Jenz je aplikacija koju vaš tim nije znao da treba!

Umjesto emailova, Facebook eventova, Google kalendara, anketa, Instagram profila, Slack #general i #win kanala, razmjene kontakata - možda je vrijeme da se sve složi u jedno? Hrvatski Q napravio je upravo to s aplikacijom Jenz.