Cum să vă protejaţi în faţa celei mai mari găuri de securitate de pe internet - Heartbleed
Eroarea a fost descoperită luni în cadrul implementării OpenSSL, un protocol open-source de implementare a funcţiilor criptografice de bază. Eroarea a fost denumit Heartbleed şi poate fi folosită pentru a extrage memorie de pe orice server care rulează OpenSSL. Deşi a existat un patch de siguranţă, zeci de milioane de servere au fost expuse, iar oricine rula un server a fost un criză,avertizează “The Verge”. 66% din serverele de pe internet rulează acest protocol.
Practic, acest bug în sistem poate lăsa atacatorii să citească parolele de pe server, pot monitoriza traficul şi pot controla, în final, serverul. Problema uriaşă? Bugul are doi ani. Nu se ştie cât de mulţi ştiau de el, câţi l-au folosit şi care ar fi fost dimensiunea scurgerii de date.
Ce face Heartbleed?
Nu e un virus. E un bug. O vulnerabilitate veche de doi ani. Adică acel cod de programare avea o breşă. În limbaj simplu:
Plecaţi din casă spre muncă în maşina voastră. Prezenţa voastră şi cheia din mână vă sunt garantul faptului că nu veţi fi furat. Ajungeţi la muncă şi vă lăsaţi maşina deschisă, cu cheile în ea. Vă întoarceţi şi vă duceţi acasă.
Diferenţa dintre Heartbleed şi exemplul meu e simplu fapt că nu vă daţi seama decât după doi ani că vă uitaţi mereu cheile în maşină. Să spunem că, de fapt, vă uitaţi o pereche de chei. Pe cealaltă o aveţi voi. Aşa e şi cu Heartbleed.
E o vulnerabilitate care a existat doi ani, dar de care nu s-a ştiut. Nu avem cum să ştim dacă a fost folosită pentru a fura unele parole, disponibile deschis acolo. Practic, cine ar fi descoperit această breşă de securitate putea accesa toate parolele utilizatorilor unui sistem. Acum, acele parole, dacă au fost furate, sunt la îndemâna cuiva.
Dacă voi aveţi aceleaşi parole la mai multe servicii, atunci e cazul să vă o schimbaţi, pentru că e foarte uşor să conecteze cineva contul de Facebook cu un cont bancar sau cu un cont de Amazon. Aveţi grijă.
Heartbleed e o eroare în OpenSSL, protocol de criptare în transportul datelor pe internet, de la noi, utilizatorul simplu la serverul final, adică la orice site, cum ar fi Facebook, OkCupid sau Tumblr.
Ce site-uri mari au fost afectate şi cum puteţi să vă protejaţi?
O spunem direct. Dacă site-ul pe care-l folosiţi nu îşi actualizează protocolul de securitate OpenSSL la versiunea nouă, atunci degeaba faceţi voi ceva. Puteţi spera ca aceştia să fie destul de responsabili să facă acest lucru. Pentru site-urile mari, da, acestea se vor ocupa. Dar mare atenţie la site-urile mai mici, care nu au ştiinţă de Heartbleed şi care un au fost actualizate.
Lista de site-uri mari unde trebuie să vă schimbaţi parolele:
- Tumblr
- Yahoo
- Apple
- Gmail
- Yahoo Mail
- GoDaddy
- Dropbox
- LastPass
- OkCupid
- SoundCloud
- Wunderlist
De asemenea, dacă v-aţi logat pe site-ul adevarul.ro cu Facebook sau cu o parolă, vă sugerăm să o schimbaţi, pentru siguranţa voastră. Patch-ul de securitate a fost instalat, dar e sfatul universal acesta.
Imaginea de mai jos vă arată unde aveţi parola. Trebuie să intraţi în profilul vostru şi să vă setaţi o parolă nouă.
Ce să faceţi voi, ca utilizatori simpli?
- Încetaţi să mai folosiţi aceeaşi parolă peste tot. Chiar dacă este foarte complicat să faceţi acest lucru, încercaţi să aveţi măcar câteva parole diverse la diferite servicii. La cele mai mari, încercaţi să aveţi parole diferite. De asemenea, nu puneţi parole pe care le mai aveţi la alte produse la bancă sau alte servicii care implică banii. Separaţi banii de interacţiunea socială.
- Schimbaţi-vă parolele de pe site-urile pe care le accesaţi des.
- Folosiţi un manager de parole. V-ar fi mai uşor să le controlaţi.
- Schimaţi-vă parolele des.
- Folosiţi parole mai complexe. Cuvintele pot să vă fie familiare, dar trebuie să aveţi şi literă mare şi cifră pentru o protecţie suplimentară.
- Dacă aţi folosit servicii cu autentificare dublă, unde primeaţi coduri de confirmare prin SMS, nu contează. Schimbaţi-vă parola.
- Dacă aveţi servicii care folosesc servere, contactaţi administratorii de reţea sau programatorii, pentru a vă schimba şi actualiza protocolul OpenSSL.
[<a href="//storify.com/vladandriescu3/heartbleed" target="_blank">View the story "Heartbleed" on Storify</a>]
Sursa: adevarul.ro