Acum două zile am prezentat pentru prima oară Heartbleed, breşa de securitate din librăria de criptare OpenSSL care a pus, pune şi va mai pune în pericol datele private a milioane de utilizatori. Incidentul este departe de a se fi încheiat şi va constitui o bătaie de cap pentru administratori, analişti şi utilizatori în lunile care vor urma, însă între timp au apărut noi detalii interesante despre cauzele, descoperirea, propagarea şi nefericitul autor al celei mai grave probleme de securitate din istoria Internetului.
Conform Wall Street Journal, breşa din securitate din OpenSSL a fost descoperită de un grup de cercetători din cadrul Google, aceştia anunţându-i pe responsabilii proiectului OpenSSL de aceasta problemă undeva în cursul săptămânii trecute. Discreţia este o practică obişnuită în acest domeniu, breşele de securitate fiind dezvăluite direct doar companiilor importante afectate deoarece o răspândire necontrolată a informaţiei le-ar permite răuvoitorilor să afle noutatea şi să profite de ea.
Conform dezvăluirilor, companiile majore precum Facebook sau Akamai au fost înştiinţate în prealabil şi acestea şi-au corectat deficienţele din sisteme. Între timp însă, responsabilii proiectului OpenSSL au primit o sesizare din partea companiei finlandeze de securitate Codenomicon, care a analizat această problemă în paralel cu inginerii Google fără a şti însă de descoperirea acestora. Necunoscând sursa informaţiilor oferite de finlandezi, responsabilii proiectului OpenSSL au considerat că politica lor de secretizare a dat greş şi au dezvăluit public existenţa acestei deficienţe, pentru a le permite celor afectaţi şi încă nealertaţi despre existenţa acestei grave probleme.
Din acest motiv, o serie de companii mari au fost luate pe nepregătite, nici măcar Google nereuşind să-şi protejeze în timp util toate serviciile. Câte site-uri sunt însă afectate în realitate? Răspunsul este unul dificil.
Conform unui grup de cercetători din cadrul Universităţii din Michigan, Statele Unite, cifra se ridică la zeci de mii. Folosind un instrument de scanare, echipa de cercetători a scanat cele mai importante un milion de site-uri indexate de Alexa. Rezultatul analizei lor arată că 34% din aceste site-uri folosesc TLS. Din aceste aproximativ 340.000 de site-uri securizate, 11% sunt vulnerabile, 27% folosesc extensia Heartbeat (în cadrul căreia a apărut breşa de securitate) dar nu au probleme, iar restul de 61% nu folosesc deloc extensia Hearbeat.
Conform unui studiu Netcraft, procentul site-urilor vulnerabile (din totalul site-urilor care folosesc SSL) este de circa 17%, această proporţie fiind ceva mai ridicată decât cea constatată de studiul citat anterior.
După cum spuneam acum două zile, utilizatorii nu au prea multe de făcut în acest caz deoarece problema trebuie mai întâi rezolvată de către administratorii site-urilor afectate. Singurul lucru pe care aceştia îl pot face este să-şi schimbe parolele, însă aceştia trebuie să se asigure mai întâi că site-urile pe care le frecventează şi-au reparat deficienţa.
Mashable a întocmit o listă a site-urilor celebre care au fost afectate. Pe listă se regăsesc Facebook, Instagram, Tumblr, Google, Yahoo, WordPress, GoDaddy, Etsy, Box, Dropbox, OKCupid, SoundCloud, WunderList sau LastPass, în cazul acestora recomandându-se schimbarea parolei, chiar dacă Google şi LastPass afirmă că nu este nevoie. Pe lista serviciilor Web celebre care nu au fost afectate de Heartbleed se găsesc Microsoft, LinkedIn, Twitter, Apple, Amazon, eBay, PayPal şi Evernote.
Pentru a verifica vulnerabilităţile SSL din alte site-uri care folosesc HTTPS, există deja câteva instrumente pentru verificare: un scanner online oferit de filippo.io, o aplicaţie Web de la LastPass, un scanner de la Provensec, un modul de verificare SSL de la GlobalSign şi chiar o extensie pentru Chrome. În cazul în care consideraţi că trebuie să vă schimbaţi parola pe un site afectat, nu trebuie să ignoraţi celelalte servicii pentru care folosiţi aceeaşi combinaţie de nume de utilizatori şi parolă. Un potenţial infractor ar putea încerca aceste combinaţii şi în cazul altor servicii majore, utilizatorii fiind sfătuiţi, dacă este cazul, să-şi re-securizeze conturile extrem de importante chiar dacă acestea nu au fost direct afectate de Heartbleed.
În final, trebuie să facem cunoştinţă şi cu nefericitul autor al acestei greşeli cu implicaţii atât de ample. Robin Seggelmann, cercetător în cadrul Munster University of Applied Sciences, a intenţionat să corecteze nişte buguri din codul OpenSSL şi a omis să folosească o banală validare pentru o variabilă. Această eroare de programare i-a scăpat şi celui care a verificat ulterior schimbările de cod, iar eroarea a ajuns în codul final OpenSSL şi a provocat întreaga poveste.
Robin Seggelmann este deja acuzat că a introdus în mod intenţionat această breşă de securitate, însă acesta a negat orice acţiune intenţionată. Codul buclucaş a fost modificat în seara zilei de 31 decembrie 2011 la ora 22:59, oră la care am fi preferat ca Robin Seggelmann să ţină în mână o cupă de şampanie, nu o tastatură.