Nežinoma, kaip plačiai ši klaida buvo išnaudojama ir ar iš viso buvo, bet aišku, kad tai viena didžiausių saugumo problemų, kada nors ištikusių internetą.
Saugumo ekspertas Bruce'as Schneieris apibūdino ją kaip katastrofišką. Jis sakė: „Skalėje nuo 1 iki 10, sakyčiau, ji yra 11.“
BBC pabandė apibendrinti viską, ką reikia žinoti apie „kraujuojančią širdį“ – Heartbleed.
Kas yra „Heartbleed“ klaida?
Klaida yra atvirojo kodo programinėje įrangoje OpenSSL, skirtoje koduoti komunikaciją tarp naudotojo kompiuterio ir tinklo serverio, savotiškas slaptas rankos paspaudimas, pradedant saugų pokalbį.
Dabar, kai pažeidžiamumas plačiai žinomas, kodą pataisys ir mažesnės svetainės, tad daugumai žmonių tikriausiai vertėtų pamąstyti apie slaptažodžių keitimą.
Klaida pavadinta „Heartbleed“ (kraujuojanti širdis), kadangi ji paveikia plėtinį į SSL (Secure Sockets Layer), kurį inžinieriai vadina „Heartbeat“ (širdies dūžis).
Tai vienas iš internete plačiausiai naudojamų kodavimo įrankių, manoma, įdiegtas dviejuose trečdaliuose visų interneto svetainių. Jei naršyklėje matote nedidelį pakabinamos spynos simbolį, tikriausiai naudojate SSL.
Savo tinklaraštyje vyriausiasis „Co3 Systems“ technologas Bruce'as Schneieris rašo: „Heartbleed“ klaida leidžia bet kam perskaityti pažeidžiama OpenSSL versija apsaugotų sistemų atmintį, t.y. yra slaptus raktus, naudojamus paslaugos tiekėjo identifikavimui ir srauto šifravimui, naudotojų vardus, slaptažodžius ir turinį, – paaiškina jis ir priduria. – Tai leidžia užpuolikams šnipinėti komunikacijas, vogti duomenis tiesiai iš tarnybų bei naudotojų ir apsimetinėti paslaugų tiekėjais ar naudotojais.“
Klaida tokia rimta, kad jai skirtas nuosavas tinklalapis Heartbleed.com, kuriame dėstomi visi problemos aspektai.
Ar turėčiau pasikeisti slaptažodžius?
Kai kurie saugumo ekspertai sako, kad būtų išmintinga tai padaryti, nors šiek tiek nesutariama, kada tai reikėtų atlikti ir ar iš viso reikia.
Daugelis didžiųjų technologijų kompanijų, tarp kurių yra „Facebook“ ir „Google“, pažeidžiamumą jau ištaisė.
Keista, tačiau „Google“ atstovė Dorothy Chou pasakė: „Google“ naudotojams slaptažodžių keisti nereikia.“ Šaltinis iš kompanijos sakė BBC, kad jie pažeidžiamumą ištaisė dar iki jo paviešinimo ir nemano, kad iki tol programišiai būtų jį išnaudoję.
Kai kas nurodo, kad bus daugybė mažesnių svetainių, dar nesusitvarkiusių su problema. Joms slaptažodžių keitimas gali padaryti daugiau žalos, nei duoti naudos, nes tada užpuolikams būtų prieinamas ir senasis, ir naujasis slaptažodžiai.
Dabar, kai pažeidžiamumas plačiai žinomas, kodą pataisys ir mažesnės svetainės, tad daugumai žmonių tikriausiai vertėtų pamąstyti apie slaptažodžių keitimą.
„Kada nors per artimiausias 48 valandas būtų tinkamas laikas,“ – BBC sako Surreys universiteto kompiuterijos mokslininkas profesorius Alanas Woodwardas .
Mikko Hypponenas iš saugumo kompanijos „F-Secure“ davė panašų patarimą: „Pasirūpinkite svarbiausiais slaptažodžiais. Gal pakeiskite juos dabar pat, gal per savaitę. Ir jei rūpinatės savo kreditinėmis kortelėmis, labai atidžiai tikrinkite kreditinių kortelių ataskaitas.“
Kaip pasirinkti saugų slaptažodį?
Pažeidžiamumo išnaudojimas nebuvo susijęs su silpnais slaptažodžiais, bet dabar, kai pasigirsta skatinimų pasikeisti visus egzistuojančius, daugelis prisimena, kad juos reikia daryti kuo saugesnius.
Geriau naudoti žodžius, kurių nėra žodynuose, taip pat patartina maišyti raides ir skaičius.
Žmonės turėtų reguliariai keisti savo slaptažodžius, pažymi prof. Woodwardas, ir turi būti tikri, kad pasirinko ką nors, kas nesusiję su jais, o ne, tarkime, naminio gyvūno vardą. Geriau naudoti žodžius, kurių nėra žodynuose, taip pat patartina maišyti raides ir skaičius.
Žmonėms, kurie linkę slaptažodžius atstatyti kaskart apsilankę svetainėje, kadangi pamiršo jį, irgi yra pagalba.
Yra daug įrankių, saugančių ir tvarkančių visus jūsų kompiuterio, programų ir tinklų slaptažodžius ir PIN kodus. Jie taip pat gali generuoti slaptažodžius ir automatiškai įvesti naudotojo vardą ir slaptažodį interneto svetainių formose.
Tokios programos saugo slaptažodžius šifruotuose failuose, kuriuos galima pasiekti tik naudojant pagrindinį slaptažodį. Tokių programų pavyzdžiai – „KeePass“, „LastPass“ ir „1Password“.
Kai kurios firmos siūlo slaptažodžių alternatyvas.
Mobiliųjų įrenginių firmos, tarp kurių „Apple“ ir „Samsung“ integruoja pirštų atspaudų skaitytuvus, leidžiančius naudotis telefonu ir kai kuriomis jo funkcijomis vos perbraukus pirštu per ekraną.
Kurios svetainės pažeistos?
Manoma, kad yra apie pusę milijono pažeidžiamų svetainių, tad jų visų nevardinsime, bet yra naujų svetainių, siūlančių patikrinti, ar naudojamos svetainės pažeidžiamos.
LastPass svetainė sąrašą sudarė, kaip ir naujoji Mashable svetainė. Tuo tarpu saugumo firma Kaspersky nukreipia žmones į Heartbleed testą.
Nors „Facebook“ ir „Google“ sako savo paslaugas pataisę, tačiau dar daugeliui per ateinančias kelias dienas teks atlikti tą patį.
Bruce Schneier paragino interneto kompanijas gauti naujus sertifikatus ir raktus interneto srauto kodavimui. Taip pavogti raktai taptų beverčiai.
Koks blogiausias scenarijus?
Blogos žinios, pasak saugumo kompanijos „Kaspersky“ tinklaraščio įrašo, kad „pasinaudojimas „Heartbleed“ nepalieka jokių pėdsakų, tad neišeina sužinoti, ar į serverį buvo įsilaužta ir kokie duomenys buvo pavogti“.
Saugumo ekspertai teigia, kad programišių grupės atlieka automatinius interneto skenavimus, ieškodamos OpenSSL naudojančių serverių.
O Eugenijus Kaspersky sakė turintis nepatvirtintų duomenų, kad grupės, manoma, susijusios su valstybės finansuojamu kibernetiniu šnipinėjimu, vykdė tokius skenavimus netrukus po žinių apie pažeidžiamumą paskelbimo.
Kodėl problema iškilo tik dabar?
Pažeidžiamumą pirmieji pastebėjo „Google Security“ ir Suomijos saugumo firma „Codenomicon“.
Blogos žinios – kad „pasinaudojimas „Heartbleed“ nepalieka jokių pėdsakų, tad neišeina sužinoti, ar į serverį buvo įsilaužta ir kokie duomenys buvo pavogti“.
Visų pirma, klaida rasta, kad OpenSSL yra atviro kodo programa, ir tyrėjai galėjo nuodugniai išstudijuoti kodą.
Tačiau tokios kodo bibliotekos yra nežmoniškai sudėtingos, tad tokios problemos aptikimas gali užtrukti.
„Tai buvo tokia netikėta problema, kad tyrėjai jos net neieškojo,“ – BBC sakė prof. Woodwardas.
Ar pažeidžiamumas susijęs su JAV ir JK vyriausybinio šnipinėjimo atskleidimu?
Nėra tiesioginių įkalčių, nors paaiškėjus detalėms, daug spekuliuojama, kad Nacionalinio saugumo agentūra (NSA) tyrė šifravimo nulaužimo būdus.
Vyriausybės komunikacijos būstinė (GCHQ) paprasčiausiai atsakė, kad yra laikomasi „žvalgybos reikalų nekomentavimo politikos“.
Ir daugelis, panašu mano, kad problema blogame kode, o ne kas nors labiau piktavališko.
