Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Heartbleed: Bug koji je ugrozio enkripciju, a možda i vaše podatke

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Heartbleed.com
Heartbleed.com

Poput munje se internetom šire informacije o bugu nazvanom Heartbleed, softverskoj mani koja omogućava napadačima da kradu kriptografske ključeve koji se koriste da bi osigurali online kupovinu i web konekcije. Ono što je bitnije, stotine i tisuće web i email servera imaju tu grešku, koja utječe na servere s paketom OpenSSL. Među njima su (bili) Imgur, OKCupid, Eventbrite, stranica FBI-a, ali i Yahoo.

Kako pojašnjava The Guardian, napadi na “ranjive” već su u “divljini” jer je SSL česta tehnologija koja se koristi za zaštitu web stranica. Web serveri koji ju koriste šalju enkripcijski ključ posjetitelju, koji se koristi za štićenje svih informacija koje dolaze i odlaze sa servera. Ključna je to tehnologija za štićenje informacija, primjerice, pri online kupovini ili bankarenju, jer onemogućuje presretanje i otkrivanje povjerljivih informacija.

No, developer i kriptografski konzultant Filippo Valsorda objavio je alat koji omogućuje korisnicima da provjere svoje stranice, odnosno, utječe li na njih Heartbleed. Kako prenosi Cnet, alat je pokazao da su sve veće web stranice “nezaražene”, poput Googlea, Microsofta, Twittera, Facebooka i Dropboxa, ali u tom trenutku pokazivalo se da je Yahoo zaražen, što je sada otklonjeno. No, ako ste korisnik spomenute stranice i njenih usluga, preporuča se promjena lozinki. Zanimljiv popis stranica koje su jučer bile ranjive može se pronaći na Githubu.

Screenshot koji pokazuje da je Yahoo bio "zaražen" (Izvor: Cnet)
Screenshot koji pokazuje da je Yahoo bio “zaražen” (Izvor: Cnet)

Zašto “krvarenje”?

Ranjivost se službeno naziva CVE-2014-0160, ali je poznata pod imenom Heartbleed, kako ga je imenovala tvrtka koja se bavi sigurnošću  Codenomicon, koja je zajedno s Neelom Mehtom, iz Googleovog sigurnosnog tima, otkrila problem. Ime dolazi iz toga što bug iskorištava nedostatak u ekstenziji koja se naziva Heartbeat, koji omogućuje napadačima da čitaju povjerljive enkriptirane podatke, ali i da uzmu enkripcijske ključeve koji se koriste za osiguravanje tih podataka. To znači da serveri koji poprave bug, koristeći “zakrpu” koju je ponudio OpenSSL, moraju također nadograditi sve svoje ključeve ili će i dalje biti ranjivi. Ranjivost navodno postoji još od 2011. godine, ali greška je tek nedavno uočena. TechCrunch napominje kako se ne može znati koji su podatci prikupljeni, jer iskorištavanje buga ne ostavlja trag na serverima.

Što napraviti?

Dok pojedini savjetuju da se idućih nekoliko dana klonite samo onih usluga koje zahtijevaju prikupljanje osjetljivih podataka, poput kupovine na internetu, drugi citiraju blog Tora, softvera koji bi trebao omogućiti anonimnost svojim korisnicima, a koji je također bio “zaražen” bugom:

Ako imate potrebu za jakom anonimnošću i privatnosti na internetu, možda biste se trebali u potpunosti maknuti s interneta dok se situacija ne slegne.

Također, ako ste korisnik kakve “zaražene” stranice, trebali biste promijeniti lozinku, ali tek nakon što stranica popravi grešku.

Komentari

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Čudo nije investicija, već Infobipov ‘bootstrapped’ rast i upornost već 14 godina

Infobip je osiguravanjem investicije od 200 milijuna dolara postao prvi hrvatski 'jednorog'. No pravo čudo je da su osnivači Silvio Kutić, Roberto Kutić i Izabel Jelenić do ovog trenutka dogurali bez ijedne vanjske investicije - i govori mnogo o hrvatskim tehnološkim poduzetnicima!

Startupi i poslovanje

Od Applea do Rimca: Tko je novi CTO Rimac Automobila, Chris Porritt

Automobilski svijet pomalo je iznenadila vijest o odlasku Chrisa Porritta iz Applea i dolaska - u hrvatske Rimac Automobile, ali tko je Chris uopće i zašto je njegov dolazak važan?

Mobilno

Moja Croatia: Da biste digitalizirali osiguranje ne trebate govoriti “jezikom osiguranja”

Ana Zovko, direktorica sektora za digitalni razvoj, otkriva što su morali osigurati unutar Croatia osiguranja kako bi razvili potpunu, a zaista jednostavnu za korištenje self-care aplikaciju.

Što ste propustili

Vodič

Iz vlastitog iskustva: Kako dobiti novac od Europske unije za razvoj video igara

Europska unija kroz svoj potprogram Creative Europe - MEDIA, od 2013./2014. dodjeljuje bespovratna sredstva europskim game dev studijima za razvoj video igara. Evo kako izgleda proces prijave i na što trebate obratiti pozornost da biste dobili novac.

Kolumna

Na 16. rođendan Ruby on Railsa odgovaramo na pitanje: Je li mrtav, i u svijetu i u Hrvatskoj?

Početkom kolovoza slavimo 16 godina od prve pojave Ruby on Railsa, web development frameworka koji je “promijenio svijet”. S tom činjenicom volim početi ovu priču jer mislim da je ključna za odgovor na pitanje koje mi se često postavlja: Nije li Ruby on Rails mrtav?

Video

Kako dati otkaz? Pravni savjeti za radnike i poslodavce!

Neki od najpopularnijih tekstova na Netokraciji u posljednjih nekoliko mjeseci su – kako dati otkaz, kako zatvoriti paušalni obrt...

Tehnologija

Ratko Mutavdžić: Od ‘cloud’ blogera do Microsoftovog Technology Officera za srednju i istočnu Europu

S novim tehnološkim šefom Microsofta za srednju i istočnu Europu, Ratkom Mutavdžićem, razgovarali smo o 700-postotnom rastu Microsoft Teamsa za vrijeme pandemije, kako se koriste 'cloud' tehnologije u 2020., ali i zašto Zagreb treba kafić-ured!

Startupi i poslovanje

Od investicije do akvizicija – Silvio Kutić i investitori Ante Kušurin i Mario Ančić o Infobipovim ambicijama

U eksluzivnom razgovoru za Netokraciju, Silvio Kutić, kao direktor Infobipa, Ante Kušurin i Mario Ančić iz fonda One Equity Partners, ujedno poznati hrvatski sportaši, otkrivaju detalje svoje suradnje – i planova da stvore vodeću svjetsku CPaaS platformu.

Društvene mreže

Zabrani li Trump TikTok, hoće li hrvatski ‘TikTokeri’ prijeći na Instagram Reels?

Dok čekamo hoće li Trump zabraniti, a Microsoft ga kupiti za američko tržište, hoće li Zuckerberg iskoristiti pravi trenutak i preuzeti TikTokove kreativce, publiku i potencijal?