Heartbleed, ultimul pericol major pentru securitatea „consumatorilor” de Web

De: Marian Andrei / 10.04.2014, 13:05
Heartbleed, ultimul pericol major pentru securitatea
Indiferent cât de mult s-ar strădui inginerii software, erorile de programare par a avea o vointă proprie și se strecoară atât de des în codul final al unui produs încât se spune că nu există practic software lipsit de probleme. În timp ce unele dintre aceste probleme sunt doar enervante, altele, precum recent descoperita vulnerabilitate din OpenSSL, pun în pericol securitatea unui număr atât de mare de site-uri încât panica este garantată.

În după-amiaza zilei de luni, administratorii OpenSSL Project au anunțat că versiunea 1.0.1 a librăriei OpenSSL include o vulnerabilitate gravă care permite unui atacator să obțină acces la informațiile stocate în memoria server-ului. Descoperită în codul sursă al extensiei Heartbeat pentru TLS, de unde vulnerabilitatea își trage de altfel indirect și numele Heartbleed, această breșă de securitate permite unui atacator să obțină diverse informații critice de natură să compromită securitatea server-ului sau a utilizatorilor acestuia.

Vulnerabilitatea a apărut în decembrie 2011 și s-a răspândit pe scară largă începând cu martie 2012, atunci când a fost lansată versiunea 1.0.1 a librăriei OpenSSL. Rămasă nedescoperită într-un produs software des implementat, această vulnerabilitate permite atacatorilor să colecteze date personale precum numele de utilizator, parolele, fișierele cookie sau datele bancare, dar să obțină și acces la cheia principală de criptare din certificatul de securitate al server-ului și să intercepteze nestingherit după aceea tot traficul care trece prin acesta.

Codul-sursă al librăriei OpenSSL a primit actualizările necesare pentru astuparea breșei de securitate din versiunile 1.0.1 și 1.0.2 Beta, acestea fiind deja disponibile pentru implementare. Deoarece vulnerabilitatea a fost activă timp de doi ani fără că cineva să o anunțe în mod public, este imposibil de știut în acest moment dacă aceasta nu a fost deja descoperită și folosită pe scară largă pentru interceptarea traficului și furtul de date personale în tot acest răstimp.

Conform unor date estimative, circa jumătate de milion de servere HTTPS erau vulnerabile în ziua în care a fost dezvăluită această breșă de securitate. Pe lista site-urilor vulnerabile se găsesc servicii celebre precum Flickr, Archive.org, Yahoo.com, Yahoo Mail, Imgur, OKCupid, XDA-Developers, SteamCommunity.com, Eventbrite, 500px și altele, în timp ce servicii majore precum Google, Facebook, YouTube sau Wikipedia nu sunt afectate. Această listă este doar una generică și în curs de modificare, unele dintre companii, cum ar fi de pildă Yahoo, anunțând că au corectat între timp problema.

Deoarece breșa de securitate este una la nivel de server, utilizatorul nu are prea multe de făcut. Cei care au impresia că le-au fost compromise datele personale pot purcede la schimbarea parolelor și a altor date de identificare, însă aceștia nu vor ști niciodată dacă cineva a profitat sau nu această vulnerabilitate.

UPDATE:

Puteți verifica ce site-uri sunt expuse și ce site-uri sunt sigure aici: http://filippo.io/Heartbleed/

Citește mai mult despre noua breșă de securitate, pe Go4It!