Internet

Czy Heartbleed Bug faktycznie jest taki groźny?

przeczytasz w 2 min.

Kolejne pytania (i nie tylko) o Heartbleed Bug.

Heartbleed serwer

Przedwczoraj pisaliśmy o groźnej luce bezpieczeństwa Heartbleed Bug, która znajdowała się w OpenSSL i narażała na przejęcie przez cyberprzestępców wrażliwych danych, takich jak loginy i hasła. Biorąc pod uwagę, że z tego typu zabezpieczeń korzysta większość internetowych gigantów – narażeni zostali użytkownicy między innymi Facebooka, Gmaila, Yahoo, Dropbox i Tumblr. Choć udostępniona została już łatka, sprawa nie cichnie i wciąż pojawiają się kolejne szczegóły.

Choć właściciele wymienionych już wcześniej serwisów namawiają użytkowników do zmiany haseł, a cała sprawa odbiła się szerokim echem w mediach, coraz częściej pojawiają się informacje, jakoby ludzie dali się nieco ponieść. Mówi się, że jednym z największych problemów z Heartbleed Bug jest to, że cyberprzestępcy, którzy weszli w posiadanie prywatnych kluczy SSL, mogą ich użyć nawet po tym, gdy dziura została oficjalnie załatana. Właściciele sieci CloudFlare są jednak innego zdania. Przez dwa tygodnie testowali oni taką możliwość i w rezultacie zaprzeczyli. – „Nawet jeśli to możliwe, jest co najmniej bardzo trudne” – mówią.

Do podobnych wniosków doszedł Robert Graham z Errata Security w swoim poście zatytułowanym „Dlaczego Heartbleed nie pozwala na wyciek prywatnych kluczy”. W wyniku poważnego sprzeciwu ze strony społeczności zajmującej się bezpieczeństwem w sieci wycofał jednak swój wniosek. Właściciele CloudFlare nie zamierzają jednak dawać za wygraną. Aby udowodnić swoje racje celowo stworzyli oni stronę z Heartbleed Bug i rzucili wyzwanie hakerom. Na razie jednak czekamy.

O tym, że serwisy mogły być narażone na zagrożenia już wiemy. Według najnowszych doniesień Heartbleed Bug dotknąć mógł także routerów. Jak dotąd dwie firmy – Cisco Systems i Juniper Networks – potwierdziły, że w ich urządzeniach sieciowych faktycznie doszukano się tej luki. To nie jedyni producenci wykorzystujący OpenSSL – pozostaje czekać na dalsze informacje.

Przy okazji – powiększyła się lteż ista serwisów internetowych, które zalecają zmianę hasła. Aktualnie prezentuje się ona następująco:

  • Facebook
  • Pinterest
  • Tumblr
  • Google
  • Yahoo
  • Gmail
  • Amazon Web Services
  • Dropbox
  • OKCupid
  • SoundCloud

Tymczasem firma Apple potwierdziła, że iOS, OSX i jej kluczowe usługi sieciowe nie były narażone na błąd Heartbleed. Podobnie Microsoft, którego żadna z platform – jak zapewnia w oświadczeniu – nie boryka się z tym problemem.


AKTUALIZACJA [12.04.2014 r., 17.55]:

Pisaliśmy o wyzwaniu rzuconym przez CloudFlare. Cóż, nie musieliśmy długo czekać na rezultaty. Działający po „jasnej stronie” hakerzy Fedor Indutny oraz Ilkka Mattilla szybko poradzili sobie z wykradzeniem prywatnych kluczy – oficjalnie potwierdzili to już organizatorzy „konkursu”. 

To zdecydowanie nie jest jednak powód do radości. Okazuje się bowiem, że luka Heartbleed Bug rzeczywiście jest tak groźna jak przypuszczano. Cyberprzestępcy, którym wcześniej udało się wejść w posiadanie kluczy mogą więc wykorzystać dane ponownie, nawet po załataniu serwisów. 

Weźcie zatem sugestie na poważnie i zmieńcie swoje hasła, oczywiście jeśli jeszcze tego nie zrobiliście.

Źródło: TheVerge, Engadget, ITProPortal, TechSpot, CNET, Mashable, Gizmodo, DigitalTrends

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Pioyer
    1
    dodajcie do listy Wargaming
    • avatar
      vitapy
      1
      Heartbleed Bug polega na tym, że NSA nie może podsłuchiwać SSL ;) - toż to ogromny i karygodny błąd, że tylko Chińczycy mają takiego backdoora - my też chcemy !!! :D
      • avatar
        Konto usunięte
        0
        hmm
        • avatar
          Konto usunięte
          0
          Bez sensu zmieniać jak pewnie są jeszcze inne luki
          • avatar
            malyedgar
            0
            < a href="http://onet.pl" >sadasda

            Witaj!

            Niedługo wyłaczymy stare logowanie.
            Logowanie będzie możliwe tylko przez 1Login.

            Połącz konto już teraz.

            Zaloguj przez 1Login