Εξαιρετικά δημοφιλείς ιστοσελίδες και εκατομμύρια χρήστες του internet εξωθήθηκαν σε αναβάθμιση λογισμικού και αλλαγή κωδικών σε παγκόσμιο επίπεδο (!) την Τετάρτη...
Είναι χαρακτηριστικό το γεγονός ότι online σύστημα κατάθεσης φόρων του Καναδά (κάτι σαν το δικό μας Taxisnet, δηλαδή…) έκλεισε προληπτικά για ολόκληρη την ημέρα κι ας πλησιάζει -στις 30 Απριλίου- η τελευταία ημέρα της προθεσμίας υποβολής φορολογικών δηλώσεων στη χώρα.
Επρόκειτο για ένα σφάλμα -bug- ασφαλείας στον κώδικα ιστοσελίδων και στα πρωτόκολλα, το οποίο εύστοχα παρομοιάστηκε με “αιμορραγία στην καρδιά”: Heart-bleed bug.
Το Tumblr ήταν από τις πρώτες ιστοσελίδες που επλήγησαν και έστειλαν προειδοποιητικά e-mails στους χρήστες τους. Σαν συνεπακόλουθο, αργότερα, στη συνεδρίαση του χρηματιστηρίου της Νέας Υόρκης, η μετοχή της εταιρείας Yahoo, που το έχει εξαγοράσει, υποχώρησε κατά 3,64%.
Κατρακύλησε, όμως και η μετοχή του Facebook (-3,35%).
Διάσημες ιστοσελίδες, όπως εκείνη της εταιρείας Airbnb Inc. και εκείνη της αλυσίδας ξενοδοχείων Four Seasons. Όπως αναφέρει η αμερικανική εφημερίδα Wall Street Journal, “εξαιρετικά ευάλωτη” αποδείχθηκε η εφαρμογή Netflix (εξ’ ου και η ανάλογη πτώση της μετοχής κατά 4,18%).
Τεχνολογικά, η εξήγηση είναι κάτι παραπάνω από απλή, καθώς η Sonatype Inc., η οποία έχει δημιουργήσει την εφαρμογή, υποστηρίζει προγραμματισμό λογισμικού ανοικτού τύπου (open-source software), το πλήγμα όμως που δέχτηκε στη φήμη της ήταν μεγάλο.
Ο Μάθιου Πρινς, διευθύνων σύμβουλος της CloudFlare Inc., εταιρείας ασφάλειας του κυβερνοχώρου, δήλωσε: “Εύκολα μπορούμε να δώσουμε τον τίτλο ότι πρόκειται για το χειρότερο δείγμα του ευάλωτου internet και μιας αλυσίδας καταστροφής, που θα μπορούσε θεωρητικά να κάνει τα πράγματα ακόμη πιο άσχημᔨ.
Πρώτοι βρήκαν το λογισμικό κενό, κάτι σαν “μαύρη τρύπα” του internet, ερευνητές της Google, η οποία, παρ’ όλα αυτά, δε γλίτωσε την καθίζηση στο αμερικανικό χρηματιστήριο (-3,26%).
Τώρα όλοι οι προγραμματιστές γλωσσών και εφαρμογών του διαδικτύου, που δουλεύουν στους διαδικτυακούς κολοσσούς, αναζητούν τη “μαύρη τρύπα” και σε δεύτερο χρόνο, το “μπάλωμα” που θα βάλουν για να είναι εξασφαλισμένοι οι τιτάνες-εργοδότες τους…
Μεγάλο κενό ασφαλείας στην τεχνολογία κρυπτογράφησης OpenSSL γνωστοποιήθηκε την περασμένη Δευτέρα από ερευνητές προκαλώντας κύματα πανικού και προβλημάτων σε ένα μεγάλο αριθμό ιστοσελίδων. Το bug με την ονομασία ‘Heartbleed’ έχει ήδη διορθωθεί αλλά μέσα σε αυτές τις ώρες που το σύστημα ήταν ευάλωτο υπήρξαν δεκάδες εκατομμύρια servers σε κίνδυνο.
Τι είναι πρακτικά το SSL;
Πρόκειται για μια τεχνολογία κρυπτογράφησης που επιτρέπει την ασφαλή μετάδοση πληροφοριών στο Internet. Όταν για παράδειγμα επισκέπτεστε μια ιστοσελίδα (πχ Gmail) και βλέπετε στη διεύθυνση το σήμα της κλειδαριάς αυτό σημαίνει ότι η επικοινωνία σας με τον server της ιστοσελίδας είναι κρυπτογραφημένη μέσω SSL. Καταλαβαίνετε, συνεπώς, ότι το Heartbleed είναι ένα από τα σημαντικότερα και πιο σοβαρά bugs στην ιστορία αφού επιτρέπει σε κάποιον να δει πέρα από το κρυπτογραφημένο περιεχόμενο. Το bug δεν είναι καινούργιο, όμως.
Το OpenSSL έχει το Hearbleed bug τα τελευταία δύο χρόνια αλλά μόλις πρόσφατα γνωστοποιήθηκε και ως εκ τούτου είναι άγνωστο το ποιος και αν θα μπορούσε κανείς να γνωρίζει την ύπαρξή του πριν από την Δευτέρα. Το μυαλό όλων πάει αμέσως σε υπηρεσίες κατασκοπείας (βλέπε NSA) για τις οποίες αυτό το bug είναι θεόσταλτο δώρο. Δεν μπορούμε να είμαστε για τίποτα σίγουροι, βέβαια, αλλά οι πιθανότητες ευνοούν το απαισιόδοξο σενάριο.
Τι γίνεται με τις ιστοσελίδες που έχουν επηρεαστεί από το Heartbleed;
Ήδη μεγάλες ιστοσελίδες (Yahoo, Microsoft, Google) έχουν προβεί σε αναβάθμιση του OpenSSL στους servers τους. Οι χρήστες δεν μπορούν να κάνουν τίποτα από τη μεριά τους εκτός από το να μην επισκέπτονται καν αυτές τις σελίδες. Δηλαδή, πράγμα αδύνατον. Για να είστε ακόμα πιο ασφαλείς μπορείτε, βέβαια, να προβείτε σε αλλαγή των κωδικών σας σε αυτές τις σελίδες μιας και δεν υπάρχει τρόπος να ξέρετε εάν κάποιος σας έχει κλέψει τον κωδικό σας αλλά να το κάνετενμετά την αναβάθμιση του server.
Είναι χαρακτηριστικό το γεγονός ότι online σύστημα κατάθεσης φόρων του Καναδά (κάτι σαν το δικό μας Taxisnet, δηλαδή…) έκλεισε προληπτικά για ολόκληρη την ημέρα κι ας πλησιάζει -στις 30 Απριλίου- η τελευταία ημέρα της προθεσμίας υποβολής φορολογικών δηλώσεων στη χώρα.
Επρόκειτο για ένα σφάλμα -bug- ασφαλείας στον κώδικα ιστοσελίδων και στα πρωτόκολλα, το οποίο εύστοχα παρομοιάστηκε με “αιμορραγία στην καρδιά”: Heart-bleed bug.
Το Tumblr ήταν από τις πρώτες ιστοσελίδες που επλήγησαν και έστειλαν προειδοποιητικά e-mails στους χρήστες τους. Σαν συνεπακόλουθο, αργότερα, στη συνεδρίαση του χρηματιστηρίου της Νέας Υόρκης, η μετοχή της εταιρείας Yahoo, που το έχει εξαγοράσει, υποχώρησε κατά 3,64%.
Κατρακύλησε, όμως και η μετοχή του Facebook (-3,35%).
Διάσημες ιστοσελίδες, όπως εκείνη της εταιρείας Airbnb Inc. και εκείνη της αλυσίδας ξενοδοχείων Four Seasons. Όπως αναφέρει η αμερικανική εφημερίδα Wall Street Journal, “εξαιρετικά ευάλωτη” αποδείχθηκε η εφαρμογή Netflix (εξ’ ου και η ανάλογη πτώση της μετοχής κατά 4,18%).
Τεχνολογικά, η εξήγηση είναι κάτι παραπάνω από απλή, καθώς η Sonatype Inc., η οποία έχει δημιουργήσει την εφαρμογή, υποστηρίζει προγραμματισμό λογισμικού ανοικτού τύπου (open-source software), το πλήγμα όμως που δέχτηκε στη φήμη της ήταν μεγάλο.
Ο Μάθιου Πρινς, διευθύνων σύμβουλος της CloudFlare Inc., εταιρείας ασφάλειας του κυβερνοχώρου, δήλωσε: “Εύκολα μπορούμε να δώσουμε τον τίτλο ότι πρόκειται για το χειρότερο δείγμα του ευάλωτου internet και μιας αλυσίδας καταστροφής, που θα μπορούσε θεωρητικά να κάνει τα πράγματα ακόμη πιο άσχημᔨ.
Πρώτοι βρήκαν το λογισμικό κενό, κάτι σαν “μαύρη τρύπα” του internet, ερευνητές της Google, η οποία, παρ’ όλα αυτά, δε γλίτωσε την καθίζηση στο αμερικανικό χρηματιστήριο (-3,26%).
Τώρα όλοι οι προγραμματιστές γλωσσών και εφαρμογών του διαδικτύου, που δουλεύουν στους διαδικτυακούς κολοσσούς, αναζητούν τη “μαύρη τρύπα” και σε δεύτερο χρόνο, το “μπάλωμα” που θα βάλουν για να είναι εξασφαλισμένοι οι τιτάνες-εργοδότες τους…
Μεγάλο κενό ασφαλείας στην τεχνολογία κρυπτογράφησης OpenSSL γνωστοποιήθηκε την περασμένη Δευτέρα από ερευνητές προκαλώντας κύματα πανικού και προβλημάτων σε ένα μεγάλο αριθμό ιστοσελίδων. Το bug με την ονομασία ‘Heartbleed’ έχει ήδη διορθωθεί αλλά μέσα σε αυτές τις ώρες που το σύστημα ήταν ευάλωτο υπήρξαν δεκάδες εκατομμύρια servers σε κίνδυνο.
Τι είναι πρακτικά το SSL;
Πρόκειται για μια τεχνολογία κρυπτογράφησης που επιτρέπει την ασφαλή μετάδοση πληροφοριών στο Internet. Όταν για παράδειγμα επισκέπτεστε μια ιστοσελίδα (πχ Gmail) και βλέπετε στη διεύθυνση το σήμα της κλειδαριάς αυτό σημαίνει ότι η επικοινωνία σας με τον server της ιστοσελίδας είναι κρυπτογραφημένη μέσω SSL. Καταλαβαίνετε, συνεπώς, ότι το Heartbleed είναι ένα από τα σημαντικότερα και πιο σοβαρά bugs στην ιστορία αφού επιτρέπει σε κάποιον να δει πέρα από το κρυπτογραφημένο περιεχόμενο. Το bug δεν είναι καινούργιο, όμως.
Το OpenSSL έχει το Hearbleed bug τα τελευταία δύο χρόνια αλλά μόλις πρόσφατα γνωστοποιήθηκε και ως εκ τούτου είναι άγνωστο το ποιος και αν θα μπορούσε κανείς να γνωρίζει την ύπαρξή του πριν από την Δευτέρα. Το μυαλό όλων πάει αμέσως σε υπηρεσίες κατασκοπείας (βλέπε NSA) για τις οποίες αυτό το bug είναι θεόσταλτο δώρο. Δεν μπορούμε να είμαστε για τίποτα σίγουροι, βέβαια, αλλά οι πιθανότητες ευνοούν το απαισιόδοξο σενάριο.
Τι γίνεται με τις ιστοσελίδες που έχουν επηρεαστεί από το Heartbleed;
Ήδη μεγάλες ιστοσελίδες (Yahoo, Microsoft, Google) έχουν προβεί σε αναβάθμιση του OpenSSL στους servers τους. Οι χρήστες δεν μπορούν να κάνουν τίποτα από τη μεριά τους εκτός από το να μην επισκέπτονται καν αυτές τις σελίδες. Δηλαδή, πράγμα αδύνατον. Για να είστε ακόμα πιο ασφαλείς μπορείτε, βέβαια, να προβείτε σε αλλαγή των κωδικών σας σε αυτές τις σελίδες μιας και δεν υπάρχει τρόπος να ξέρετε εάν κάποιος σας έχει κλέψει τον κωδικό σας αλλά να το κάνετενμετά την αναβάθμιση του server.
με πηροφορίες από techit.gr & techgear.gr
