Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Heartbleed.com
Heartbleed.com

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Kako pojašnjava The Guardian, napadi na “ranjive” već su u “divljini” jer je SSL česta tehnologija koja se koristi za zaštitu web stranica. Web serveri koji ju koriste šalju enkripcijski ključ posjetitelju, koji se koristi za štićenje svih informacija koje dolaze i odlaze sa servera. Ključna je to tehnologija za štićenje informacija, primjerice, pri online kupovini ili bankarenju, jer onemogućuje presretanje i otkrivanje povjerljivih informacija.

No, developer i kriptografski konzultant Filippo Valsorda objavio je alat koji omogućuje korisnicima da provjere svoje stranice, odnosno, utječe li na njih Heartbleed. Kako prenosi Cnet, alat je pokazao da su sve veće web stranice “nezaražene”, poput Googlea, Microsofta, Twittera, Facebooka i Dropboxa, ali u tom trenutku pokazivalo se da je Yahoo zaražen, što je sada otklonjeno. No, ako ste korisnik spomenute stranice i njenih usluga, preporuča se promjena lozinki. Zanimljiv popis stranica koje su jučer bile ranjive može se pronaći na Githubu.

Screenshot koji pokazuje da je Yahoo bio "zaražen" (Izvor: Cnet)
Screenshot koji pokazuje da je Yahoo bio “zaražen” (Izvor: Cnet)

Zašto “krvarenje”?

Ranjivost se službeno naziva CVE-2014-0160, ali je poznata pod imenom Heartbleed, kako ga je imenovala tvrtka koja se bavi sigurnošću  Codenomicon, koja je zajedno s Neelom Mehtom, iz Googleovog sigurnosnog tima, otkrila problem. Ime dolazi iz toga što bug iskorištava nedostatak u ekstenziji koja se naziva Heartbeat, koji omogućuje napadačima da čitaju povjerljive enkriptirane podatke, ali i da uzmu enkripcijske ključeve koji se koriste za osiguravanje tih podataka. To znači da serveri koji poprave bug, koristeći “zakrpu” koju je ponudio OpenSSL, moraju također nadograditi sve svoje ključeve ili će i dalje biti ranjivi. Ranjivost navodno postoji još od 2011. godine, ali greška je tek nedavno uočena. TechCrunch napominje kako se ne može znati koji su podatci prikupljeni, jer iskorištavanje buga ne ostavlja trag na serverima.

Što napraviti?

Dok pojedini savjetuju da se idućih nekoliko dana klonite samo onih usluga koje zahtijevaju prikupljanje osjetljivih podataka, poput kupovine na internetu, drugi citiraju blog Tora, softvera koji bi trebao omogućiti anonimnost svojim korisnicima, a koji je također bio “zaražen” bugom:

Ako imate potrebu za jakom anonimnošću i privatnosti na internetu, možda biste se trebali u potpunosti maknuti s interneta dok se situacija ne slegne.

Također, ako ste korisnik kakve “zaražene” stranice, trebali biste promijeniti lozinku, ali tek nakon što stranica popravi grešku.

ponuda

Komentari

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

SEO i tražilice

Velika analiza online sadržaja o cijepljenju pokazuje da HZJZ olakšava posao – antivakserima

SEO koji život znači. To bi mogao biti alternativni naslov ove analize, iako ovdje nije riječ o samoj optimizaciji sadržaja za tražilice, nego optimizaciji za - korisnika. Jer u vrijeme kad procijepljenost pada, optimiziran i korisniku prilagođen sadržaj na stranicama HZJZ-a i drugih zdravstvenih institucija mogao bi doista značiti razliku između života i smrti.

Startupi i poslovanje

Bez VC investicije, TalentLyft je školski primjer samofinanciranog SaaS startupa

Bez ikakve veće investicije, TalentLyft, domaći regrutacijski alat koji koriste Five, HT, Span i mnoge druge tvrtke, izašao je s novom konkurentnom verzijom kojom planira globalno širenje uz pomoć inbound marketinga.

Startupi i poslovanje

Domaći startup Valut nastoji eliminirati visoke provizije na bankomatima i mjenjačnicama

Ako vam bankomati i mjenjačnice na putovanjima uzimaju prevelike naknade kod promjene valuta, možda je upravo za vas Valut, domaći startup koji radi na tome da konverzija bude što dostupnija i povoljnija, posebice na mjestima na kojima to do sada nije bilo tako.

Što ste propustili

Nesortirano

Kako razviti aplikaciju koja će od “strašnog” e-Računa učiniti bezopasnog psića?

Poduzetnike oblijeva hladan znoj kada se sjete e-Računa, ali zamislite kako je onima koji stvaraju aplikacije za njegovo izdavanje? Čini se, ne tako strašno.

Sponzorirano

Koliko dobar WiFi u kafiću treba biti da bi gosti bili zadovoljni?

Na redu je i zadnja epizoda serijala Digitalni kafići kroz koji se bavimo ključnim stavkama na koje jedan uspješan kafić treba paziti u digitalno vrijeme. U 4. epizodi otkrivamo zašto je kafićima bitno istaknuti se dobrom WiFi vezom.

Kolumna

Kako riješiti izazove rada na projektu: Od nekompetentnih voditelja do loše komunikacije

Nedavno smo imali smo zgodan slučaj. Radi se o većem projektu, u njemu učestvuje više tvrtki. Krovna tvrtka, između ostaloga, ima i svog voditelja projekta. Radi se o osobi koja za takav posao nije kompetentna iz jednostavnog razloga - ne poznaje osnovne elemente od kojih se upravljanje projekata sastoji.

Startupi i poslovanje

Identyum – digitalna osobna iskaznica iz Hrvatske za 21. stoljeće?

Na krilima suradnje s Finom, IDENTYUM bi trebao omogućiti dokazivanje identiteta putem aplikacije, bez papirologije, pokazivanja osobnih iskaznica i sličnih koraka.

Digitalni mediji

Kako napisati dobar članak za svoj ili tvrtkin blog (kad baš morate)

Je li vam teško napisati članak za blog tvrtke, objavu na LinkedInu ili 'microcopy' za digitalni projekt? Urednički i praktični savjeti slijede u novoj epizodi Netokracija podcasta!

Startupi i poslovanje

David Bizer: Direktor mora biti ambasador kulture tvrtke pa makar to značilo razgovor i sa 150. zaposlenikom!

Ususret nadolazećoj konferenciji Employer Branding na kojem gostuje kao keynote predavač, razgovarali smo s Davidom Bizerom oko gorućeg pitanja digitalne industrije za sve male i velike tvrtke: kako privući nove ljude?