Mεγάλες τεχνολογικές εταιρείες καλούν τους πολίτες να αλλάξουν όλους τους κωδικούς τους σε υπολογιστές και κινητά καθώς ανακαλύφθηκε ένα σοβαρό κενό ασφαλείας που το ονόμασαν Heartbleed στην τεχνολογία κρυπτογράφησης OpenSSL που καθιστά ευάλωτα τα –κρυπτογραφημένα- στοιχεία χρηστών, ακόμα και σε πολύ δημοφιλείς ιστοσελίδες.
Το Heartbleed έχει ήδη διορθωθεί, ωστόσο μέχρι τη στιγμή της διόρθωσης, εκατομμύρια servers στον κόσμο ήταν ευάλωτοι σε επιθέσεις.
Μάλιστα, εκτιμάται ότι το συγκεκριμένο κενό ασφαλείας υπήρχε για περίπου δύο χρόνια στο OpenSSL, χωρίς να έχει αποσαφηνιστεί αν ήταν γνωστό σε τρίτους, οι οποίοι και ενδεχομένως να το έχουν εκμεταλλευτεί.
Ήδη αρκετές εταιρείες του χώρου της τεχνολογίας έχουν αρχίσει να προτρέπουν τους χρήστες τους να αλλάξουν τους κωδικούς τους, ειδικά σε υπηρεσίες email, αποθήκευσης αρχείων και e-banking, καθώς το Heartbleed χαρακτηρίζεται πλέον ως μια από τις σημαντικότερες απειλές ασφαλείας που έχει δει το Ιντερνέτ.
Κατά την επικοινωνία δύο υπολογιστών στο διαδίκτυο, και για να επιτευχθεί ασφαλής σύνδεση και μεταφορά δεδομένων χρησιμοποιείται η μέθοδος κρυπτογράφησης TLS/SSL.
Η μέθοδος αυτή, παραμένει ασφαλής, με τα μέχρι τώρα δεδομένα, και το πρόβλημα εντοπίζεται σε μια δημοφιλή βιβλιοθήκη λογισμικών, το OpenSSL, που είναι ένα ανοιχτού κώδικα πακέτο με το οποίο μπορείς να εξασφαλίσεις προστασία με TLS/SSL εύκολα και γρήγορα.
Σε αρκετές εκδόσεις του πακέτου, υπήρχε μια τρύπα ασφαλείας, την οποία μπορούσε κανείς να εκμεταλλευτεί προκειμένου να υποκλέψει τα δεδομένα που επιθυμούσε.
Το κενό ασφαλείας αυτό ονομάστηκε «Heartbleed», δηλαδή αιμορραγία καρδιάς, καθώς ο επιτιθέμενος μπορεί να υποκλέψει πολλές σημαντικές πληροφορίες του χρήστη όπως κωδικούς ή αριθμούς τραπεζικών καρτών. Ακόμα χειρότερο είναι ότι, εκμεταλλευόμενος κανείς την τρύπα αυτή, μπορεί να δημιουργήσει σελίδες κλώνους, και πρακτικά να μιμηθεί την αυθεντική ιστοσελίδα.
Τον ιό ανακάλυψε ένας ερευνητής ασφαλείας της Google και μια μικρή φινλανδική εταιρεία ασφαλείας που ονομάζεται Codenomicon.Πολλές εταιρείες έχουν ήδη διορθώσει το πρόβλημα, ωστόσο, υπάρχουν πολλές άλλες που δεν έχουν κάνει την αναγκαία αναβάθμιση.
Μια από τις εταιρείες που επηρεάστηκαν περισσότερο ήταν το Yahoo η οποία, μάλιστα, δημοσίευσε και σχετική προειδοποίηση στο μπλογκ Tumblr.
«Η μικρή κλειδαριά την οποία όλοι εμπιστευόμασταν για να φυλάει τους κωδικούς μας, τα προσωπικά e-mails μας και τις πιστωτικές μας κάρτες ασφαλείς, στην πραγματικότητα, αυτό που έκανε ήταν να κάνει τις πληροφορίες αυτές προσβάσιμες», τονίζει σε ανακοίνωσή της.
Πάντως, όπως αναφέρεται σε δημοσίευμα του CNET, υπάρχουν αναφορές από στελέχη εταιρειών του χώρου της ασφάλειας και developers για εντοπισμό/ υποκλοπή κωδικών της Yahoo μέσω εκμετάλλευσης του Heartbleed.
Σύμφωνα με το δημοσίευμα, η Yahoo έχει προχωρήσει σε σχετικές ενέργειες, προβαίνοντας σε διορθώσεις σε: Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr, Tumblr.
Τι λένε Facebook Google Paypall για το κενό ασφαλείας "Heartbleed"
Εταιρείες γίγαντες συμπεριλαμβανομένου της Google, της Amazon, του Facebook και της Paypal σπεύδουν να διαβεβαιώσουν ότι οι πελάτες τους είναι ασφαλείς.
Από την πλευρά της η Google, σε ανακοίνωσή της, υποστηρίζει ότι ήδη εφαρμόζει μια ενημερωμένη έκδοση του κώδικα ασφαλείας για να προστατέψει τόσο τη μηχανή αναζήτησης όσο και το Gmail, το Youtube, το Wallet, αλλά και το Play store.
«Είναι καλό οι χρήστες να χρησιμοποιούν ισχυρούς κωδικούς, διαφορετικό για κάθε λογαριασμό τους. Ωστόσο, δεν πιστεύω, ότι οι χρήστες του Google πρέπει να αλλάξουν τους κωδικούς των λογαριασμών τους εξαιτίας αυτού του κενού ασφαλείας» τονίζει ένας εκπρόσωπος της Google, όπως σημειώνει η Daily Mail.
To ίδιο καθησυχαστικός εμφανίστηκε και ο εκπρόσωπος του Facebook, ο οποίος τόνισε ότι η εταιρεία του έχει προσθέσει νέους κώδικες προστασίας στο πρόγραμμα του OpenSSL για το Facebook, προτού καν αυτό το κενό ασφαλείας γίνει γνωστό, τονίζοντας, παράλληλα, ότι δεν έχουν εντοπιστεί οποιαδήποτε σημάδια ύποπτης δραστηριότητας στους λογαριασμούς των ανθρώπων.
Όπως και να έχει και παρά το γεγονός ότι το σύστημα φαίνεται να ήταν ευάλωτο για τουλάχιστον δύο χρόνια, έχει ήδη εγκατασταθεί μια ενημέρωση του κώδικα ασφαλείας και φαίνεται ότι πλέον δεν υπάρχει κίνδυνος για τα προσωπικά δεδομένα των χρηστών του Διαδικτύου. «Συνεχίζουμε να παρακολουθούμε στενά το θέμα, όμως», πρόσθεσε.
Και το Paypal, το οποίο αποτελεί μέρος του eBay και το οποίο είναι υπεύθυνο για χιλιάδες ηλεκτρονικές συναλλαγές-πληρωμές επέμενε πως το σύστημα είναι ασφαλές.
Σύμφωνα με τον τεχνικό του διευθυντή, Τζον Μπαρές, τα στοιχεία των λογαριασμών των πελατών της εταιρείας δεν έχουν εκτεθεί σε κίνδυνο και δεν υπάρχει κανένας λόγος οι χρήστες να αλλάξουν κωδικούς πρόσβασης.
Ωστόσο, όπως σημειώνει η Daily Mail, το πρόβλημα δεν φαίνεται να λύνεται με μια απλή βελτίωση της ασφάλειας της ιστοσελίδας.
Ειδικοί της αμερικανικής εταιρείας αφάλειας SANS, μάλιστα, ανέφεραν ότι το λογισμικό που τρέχει σε smartphones, tablets and laptops θα μπορούσαν να έχουν το ίδιο κενό ασφαλείας.
Ένας εκπρόσωπός της τόνισε ότι ένας κακόβουλος σέρβερ θα μπορούσε να στείλει εύκολα ένα μήνυμα σε ευπαθές λογισμικό τηλεφώνων, laptops, PCs και οικιακών ρούτερ και να ανακτήσει ένα «πακέτο» 64KB προσωπικών δεδομένων από κάθε συσκευή.
Συνεπώς, θα μπορούσε να να λάβει όλες τις πληροφορίες για το τι έχει πληκτρολογήσει ο χρήστης της συσκευής και θεωρητικά να μάθει τους κωδικούς πρόσβασής του σε διάφορους λογαριασμούς αλλά και τα στοιχεία των τραπεζικών λογαριασμών.
Σχόλια
Στο logiosermis.net δημοσιεύεται κάθε σχόλιο. Θεωρούμε ότι ο καθένας έχει το δικαίωμα να εκφέρει ελεύθερα τις απόψεις του, οι οποίες εκφράζουν αποκλειστικά τον εκάστοτε σχολιαστή. Τα συκοφαντικά ή υβριστικά σχόλια θα διαγράφονται χωρίς προειδοποίηση. Περισσότερα στις οδηγίες χρήσης.