Postanite fan na Facebooku ako već niste!
Googleovi inženjeri za sigurnost i Codenomicom otkrili su prošli tjedan propust u kodu SSL enkripcije koja omogućava hakerima da ukradu bitne podatke, sve od lozinke do podataka. Kroz ovu enkripciju prolaze privatni podaci između servera i klijenta te je zbog tog propusta preporučena nadogradnja SSL-a i promjena lozinki na stranicama koje koristite.
Rupa unutar milijun stranica
Prilikom kreiranja SSL enkripcije dogodio se propust koji do sada nije bio zapažen, a omogućio je hakerima da dođu do vaših lozinki, razmijenjenih poruka, financijskih podataka i ostalih stvari koje kao korisnik šaljete serveru prilikom interakcije. Ovu enkripciju koriste sve poznate i korisne stranice pa je svima preporučena promjena lozinki te ako na svojoj stranici koristite ovu enkripciju, nadogradnja SSL-a.
Android također izložen opasnosti
Svi koji koriste Android verziju 4.1.1 Jelly Bean također su ranjivi na ovaj propust. Prema izvorima iz Googlea, postoje još uvijek milijuni korisnika mobitela koji rade na ovoj verziji, a zaštitu ne nudi sam Google kao nositelj ovog operativnog sustava već proizvođači mobitela. Sami proizvođači bi morali omogućiti zaštitu od ovog propusta, a poslovna politika nije obuhvatila sve potencijalne propuste u zaštiti. Prema ovome proizvođači bi morali ugraditi u uređaj jači procesor koji bi nudio bolju zaštitu od potencijalnih zlouporaba. Za provjeru Android mobitela preporučuje se skidanje aplikacije Heartbleed Detector.
Mrežna oprema ima isti problem
Hakeri bi uz istu strategiju napada prema web stranicama mogli koristiti i za rutere, sklopke i vatrozide. Cisco i Juniper, kao proizvođači mrežnih elementa, naglašavaju da također imaju rizik zloupotrebe koje neće biti riješeno u kratkom roku već se moraju nadograditi svi proizvodi koji nude rješenja za mrežnu opremu.
NSA znala za ovaj propust 2 godine
Navod nije potvrđen, ali postoje sumnje. Ovaj propust je dio OpenSSL-a koji je najpopularniji enkripcijski program i koriti ga 2/3 stranica, između ostalih Google i Facebook. Agencija je mogla ovim putem zloupotrebljavati podatke korisnika, ali nisu potvrdili ove navode. Ovime je upitna učinkovitost najpoznatije agencije za sigurnost, za ovu činjenicu upozorio nas je i Edward Snowden koji je u svojim dokumentima dao do znanja da Nacionalna sigurnosna agencija pokušava probiti SSL enkripciju već godinama.
Tko je kriv?
Kreator ovog propusta, Robin Seggelmann, navodi da je uzrok stvaranja Heartbleeda nesretan slučaj. Budući da je OpenSSL otvorenog koda svatko može dodavati kod i doprinijeti razvoju, njegova greška upitna po pitanju sigurnosti jer nitko nije provjeravao potencijalnu zloupotrebu, već su bilo koje nadogradnje dobrodošle i prihvaćene. Kada bi više ljudi doprinijelo razvoju ovog koda sukladno bi se više pažnje posvetilo svim potencijalnim propustima.
