Heartbleed, o gravă breşă de securitate Web care pune în pericol intimitatea utilizatorilor (update)

Heartbleed, o gravă breşă de securitate Web care pune în pericol intimitatea utilizatorilor (update)

Indiferent cât de mult s-ar strădui inginerii software, erorile de programare par a avea o vointă proprie şi se strecoară atât de des în codul final al unui produs încât se spune că nu există practic software lipsit de probleme. În timp ce unele dintre aceste probleme sunt doar enervante sau antiproductive, altele, precum recent descoperita vulnerabilitate din OpenSSL, pun în pericol securitatea unui număr atât de mare de site-uri încât panica este garantată.

OpenSSL este o bibliotecă de funcţii criptografice care oferă o implementare Open Source pentru protocoalele de securitate SSL şi TLS, asigurând astfel securizarea canalelor de comunicare HTTPS din mediul online. Disponibil practic pe toate platformele Linux, UNIX sau Windows, OpenSSL este responsabilul cu securizarea conexiunilor pentru multe dintre serviciile Internet pe care le folosim zilnic, începând cu site-urile Web securizate sau serverele de email şi terminând cu serviciile de Voice over IP sau mesagerie instantanee. Într-o vreme în care furtul de date şi atacurile care urmăresc colectarea datelor personale au devenit o realitate cotidiană, anunţul care a dezvăluit că OpenSSL include o vulnerabilitate gravă care permite furtul de date pare cheia sigură pentru o panică generală.

În după-amiaza zilei de luni, administratorii OpenSSL Project au anunţat că versiunea 1.0.1 a librăriei OpenSSL include o vulnerabilitate gravă care permite unui atacator să obţină acces la informaţiile stocate în memoria server-ului. Descoperită în codul sursă al extensiei Heartbeat pentru TLS, de unde vulnerabilitatea îşi trage de altfel indirect şi numele Heartbleed, această breşă de securitate permite unui atacator să citească o zonă de memorie cu o dimensiune de cel mult 64KB şi să obţină astfel diverse informaţii critice de natură să compromită securitatea server-ului sau a utilizatorilor acestuia.

Vulnerabilitatea a apărut în decembrie 2011 şi s-a răspândit pe scară largă începând cu martie 2012, atunci când a fost lansată versiunea 1.0.1 a librăriei OpenSSL. Rămasă nedescoperită într-un produs software des implementat, această vulnerabilitate permite atacatorilor să colecteze date personale precum numele de utilizator, parolele, fişierele cookie sau datele bancare, dar să obţină şi acces la cheia principală de criptare din certificatul de securitate al server-ului şi să intercepteze nestingherit după aceea tot traficul care trece prin acesta.

Codul-sursă al librăriei OpenSSL a primit actualizările necesare pentru astuparea breşei de securitate din versiunile 1.0.1 şi 1.0.2 Beta, acestea fiind deja disponibile pentru implementare. Deoarece vulnerabilitatea a fost activă timp de doi ani fără că cineva să o anunţe în mod public, este imposibil de ştiut în acest moment dacă aceasta nu a fost deja descoperită şi folosită pe scară largă pentru interceptarea traficului şi furtul de date personale în tot acest răstimp.

Conform unor date estimative, circa jumătate de milion de servere HTTPS erau vulnerabile în ziua în care a fost dezvăluită această breşă de securitate. Pe lista site-urilor vulnerabile se găsesc servicii celebre precum Flickr, Archive.org, Yahoo.com, Yahoo Mail, Imgur, OKCupid, XDA-Developers, SteamCommunity.com, Eventbrite, 500px şi altele, în timp ce servicii majore precum Google, Facebook, YouTube sau Wikipedia nu sunt afectate. Această listă este doar una generică şi în curs de modificare, unele dintre companii, cum ar fi de pildă Yahoo, anunţând că au corectat între timp problema.

Deoarece breşa de securitate este una la nivel de server, utilizatorul nu are prea multe de făcut. Cei care au impresia că le-au fost compromise datele personale pot purcede la schimbarea parolelor şi a altor date de identificare, însă aceştia nu vor şti niciodată dacă cineva a profitat sau nu această vulnerabilitate.

O problemă care rămâne de rezolvat este cea a implementărilor OpenSSL din echipamentele IT vândute direct utilizatorilor. Dacă de servere se ocupă administratorii acestora, OpenSSL este implementat şi în routere, NAS-uri şi alte echipamente casnice care includ servere VPN sau interfeţe de administrare HTTPS. Pentru acestea, utilizatorul va trebui să aştepte actualizările pe care producătorii le vor lansa, sperăm, cât mai curând.

UPDATE:

Puteţi verifica ce site-uri sunt expuse şi ce site-uri sunt sigure aici: http://filippo.io/Heartbleed/

Tags:
Urmărește Go4IT.ro pe Google News