Kraujuojančios širdies klaida: ką reikia žinoti apie didžiausią saugumo spragą internete (1)
Šią savaitę paaiškėjo, kad didžiulė saugumo spraga pačioje interneto širdyje pastaruosius porą metų galėjo programišiams atskleisti naudotojų asmeninius duomenis ir slaptažodžius programišiams.
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Nežinoma, kaip plačiai ši klaida buvo išnaudojama ir ar iš viso buvo, bet aišku, kad tai viena didžiausių saugumo problemų, kada nors ištikusių internetą.
Saugumo ekspertas Bruce'as Schneieris apibūdino ją kaip „katastrofišką“. Jis sakė: „Skalėje nuo 1 iki 10, sakyčiau, ji yra 11.“
BBC pabandė apibendrinti viską, ką reikia žinoti apie „kraujuojančią širdį“ – Heartbleed.
Kas yra Heartbleed klaida?
Klaida yra atvirojo kodo programinėje įrangoje OpenSSL, skirtoje koduoti komunikaciją tarp naudotojo kompiuterio ir tinklo serverio, savotiškas slaptas rankos paspaudimas, pradedant saugų pokalbį.
Klaida pavadinta Heartbleed (kraujuojanti širdis), kadangi ji paveikia plėtinį į SSL (Secure Sockets Layer), kurį inžinieriai vadina Heartbeat (širdies dūžis).
Tai vienas iš internete plačiausiai naudojamų kodavimo įrankių, manoma, įdiegtas dviejuose trečdaliuose visų interneto svetainių. Jei naršyklėje matote nedidelį pakabinamos spynos simbolį, tikriausiai naudojate SSL.
Manoma, tai paveikė pusę milijono svetainių.
Savo tinklaraštyje vyriausiasis Co3 Systems technologas Bruce'as Schneieris srašo: „Heartbleed klaida leidžia bet kam perskaityti pažeidžiama OpenSSL versija apsaugotų sistemų atmintį. Tai yra slaptus raktus, naudojamus paslaugos tiekėjo identifikavimui ir srauto šifravimui, naudotojų vardus, slaptažodžius ir turinį,“ paaiškina jis ir prideda – „Tai leidžia užpuolikams šnipinėti komunikacijas, vogti duomenis tiesiai iš tarnybų bei naudotojų ir apsimetinėti paslaugų tiekėjais ar naudotojais“.
Klaida tokia rimta, kad jai skirtas nuosavas tinklalapis Heartbleed.com, kuriame dėstomi visi problemos aspektai.
Ar turėčiau pasikeisti slaptažodžius?
Kai kurie saugumo ekspertai sako, kad būtų išmintinga tai padaryti, nors šiek tiek nesutariama, kada tai reikėtų atlikti ir ar iš viso reikia.
Daugelis didžiųjų technologijų kompanijų, tarp kurių Facebook ir Google pažeidžiamumą jau ištaisė.
Keista, tačiau Google atstovė Dorothy Chou pasakė: „Google naudotojams slaptažodžių keisti nereikia.“ Šaltinis iš kompanijos sakė BBC, kad jie pažeidžiamumą ištaisė dar iki jo paviešinimo ir nemano, kad jis iki tol programišiai būtų jį išnaudoję.
Kai kas nurodo, kad bus daugybė mažesnių svetainių, dar nesusitvarkiusių su problema ir jų atveju slaptažodžių keitimas gali padaryti daugiau žalos, nei duoti naudos, nes tada užpuolikams būtų prieinamas ir senasis, ir naujasis slaptažodis.
Bet dabar, kai pažeidžiamumas plačiai žinomas, kodą pataisys ir mažesnės svetainės, tad daugumai žmonių tikriausiai vertėtų pamąstyti apie slaptažodžių keitimą.
„Kada nors per artimiausias 48 valandas būtų tinkamas laikas,“ BBC sako Surreys universiteto kompiuterijos mokslininkas profesorius Alanas Woodwardas .
Mikko Hypponenas iš saugumo kompanijos F-Secure davė panašų patarimą: „Pasirūpinkite svarbiausiais slaptažodžiais. Gal pakeiskite juos dabar pat, gal per savaitę. Ir jei rūpinatės savo kreditinėmis kortelėmis, labai atidžiai tikrinkite kreditinių kortelių ataskaitas.“
Kaip pasirinkti saugų slaptažodį?
Pažeidžiamumo išnaudojimas nebuvo susijęs su silpnais slaptažodžiais, bet dabar, kai pasigirsta skatinimų pasikeisti visus egzistuojančius, daugelis prisimena, kad juos reikia daryti kuo saugesnius.
Žmonės turėtų reguliariai keisti savo slaptažodžius, pažymi prof. Woodwardas, ir turi būti tikri, kad pasirinko ką nors, kas nesusiję su jais, o ne, tarkime, naminio gyvūno vardą. Geriau naudoti žodžius, kurių nėra žodynuose, o taip pat patartina maišyti raides ir skaičius.
Žmonėms, kurie linkę slaptažodžius atstatyti kaskart apsilankę svetainėje, kadangi pamiršo jį, irgi yra pagalba.
Yra daug įrankių, saugančių ir tvarkančių visus jūsų kompiuterio, programų ir tinklų slaptažodžius ir PIN kodus. Jie taip pat gali generuoti slaptažodžius ir automatiškai įvesti naudotojo vardą ir slaptažodį interneto svetainių formose.
Tokios programos saugo slaptažodžius šifruotuose failuose, kuriuos galima pasiekti tik naudojant pagrindinį slaptažodį. Tokių programų pavyzdžiai – KeePass, LastPass ir 1Password.
Kai kurios firmos siūlo slaptažodžių alternatyvas.
Mobiliųjų įrenginių firmos, tarp kurių Apple ir Samsung integruoja pirštų atspaudų skaitytuvus, leidžiančius naudotis telefonu ir kai kuriomis jo funkcijomis vos perbraukus pirštu per ekraną.
Kurios svetainės pažeistos?
Manoma, kad yra apie pusę milijono pažeidžiamų svetainių, tad jų visų nevardinsime, bet yra naujų svetainių, siūlančių patikrinti, ar naudojamos svetainės pažeidžiamos.
LastPass svetainė sąrašą sudarė, kaip ir naujoji Mashable svetainė. Tuo tarpu saugumo firma Kaspersky nukreipia žmones į Heartbleed testą.
Nors Facebook ir Google sako savo paslaugas pataisę, tačiau dar daugeliui per ateinančias kelias dienas teks atlikti tą patį.
Bruce Schneier paragino interneto kompanijas gauti naujus sertifikatus ir raktus interneto srauto kodavimui. Taip pavogti raktai taptų beverčiai.
Koks blogiausias scenarijus?
Blogos žinios, pasak saugumo kompanijos Kaspersky tinklaraščio įrašo, kad „pasinaudojimas Heartbleed nepalieka jokių pėdsakų, tad neina sužinoti, ar į serverį buvo įsilaužta ir kokie duomenys buvo pavogti“.
Saugumo ekspertai teigia, kad ima rodytis ženklai, kad programišių grupės atlieka automatinius interneto skenavimus, ieškodamos OpenSSL naudojančių serverių.
O Kaspersky'is sakė turintis nepatvirtintų duomenų, kad grupės, manoma, susijusios su valstybės finansuojamu kibernetiniu šnipinėjimu vykdė tokius skenavimus netrukus po žinių apie pažeidžiamumą paskelbimo.
Kodėl problema iškilo tik dabar?
Pažeidžiamumą pirmieji pastebėjo Google Security ir Suomijos saugumo firma Codenomicon, sakiusi, kad jis atsirado dėl programavimo klaidos.
Visų pirma, klaida rasta, kad OpenSSL yra atviro kodo programa, ir tyrėjai galėjo nuodugniai išstudijuoti kodą.
Tačiau tokios kodo bibliotekos yra nežmoniškai sudėtingos, tad tokios problemos aptikmas gali užtrukti.
„Tai buvo tokia netikėta problema, kad tyrėjai jos net neieškojo,“ BBC sakė prof. Woodwardas.
Ar pažeidžiamumas susijęs su JAV ir JK vyriausybinio šnipinėjimo atskleidimu?
Nėra tiesioginių įkalčių, nors paaiškėjus detalėms, daug spekuliuojama, kad Nacionalinio saugumo agentūra (NSA) tyrė šifravimo nulaužimo būdus.
Vyriausybės komunikacijos būstinė (GCHQ) paprasčiausiai atsakė, kad yra laikomasi „žvalgybos reikalų nekomentavimo politikos“.
Ir daugelis, panašu mano, kad problema blogame kode, o ne kas nors labiau piktavališko.
„Veikiau sumaištis, nei sąmokslas,“ sakė prof. Woodwardas, konsultavęs GCHQ.
Jane Wakefield
www.bbc.com