Nežinoma, kaip plačiai ši klaida buvo išnaudojama ir ar iš viso buvo, bet aišku, kad tai viena didžiausių saugumo problemų, kada nors ištikusių internetą.
Saugumo ekspertas Bruce'as Schneieris apibūdino ją kaip „katastrofišką“. Jis sakė: „Skalėje nuo 1 iki 10, sakyčiau, ji yra 11.“
BBC pabandė apibendrinti viską, ką reikia žinoti apie „kraujuojančią širdį“ – „Heartbleed“.
Kas yra „Heartbleed“ klaida?
Klaida yra atvirojo kodo programinėje įrangoje „OpenSSL“, skirtoje koduoti komunikaciją tarp naudotojo kompiuterio ir tinklo serverio, savotiškas slaptas rankos paspaudimas, pradedant saugų pokalbį.
Klaida pavadinta „Heartbleed“ (kraujuojanti širdis), kadangi ji paveikia plėtinį į SSL (Secure Sockets Layer), kurį inžinieriai vadina „Heartbeat“ (širdies dūžis).
Tai vienas iš internete plačiausiai naudojamų kodavimo įrankių, manoma, įdiegtas dviejuose trečdaliuose visų interneto svetainių. Jei naršyklėje matote nedidelį pakabinamos spynos simbolį, tikriausiai naudojate SSL.
Manoma, tai paveikė pusę milijono svetainių.
Savo tinklaraštyje vyriausiasis „Co3 Systems“ technologas Bruce'as Schneieris srašo: „Heartbleed“ klaida leidžia bet kam perskaityti pažeidžiama „OpenSSL“ versija apsaugotų sistemų atmintį. Tai yra slaptus raktus, naudojamus paslaugos tiekėjo identifikavimui ir srauto šifravimui, naudotojų vardus, slaptažodžius ir turinį,“ paaiškina jis ir prideda – „Tai leidžia užpuolikams šnipinėti komunikacijas, vogti duomenis tiesiai iš tarnybų bei naudotojų ir apsimetinėti paslaugų tiekėjais ar naudotojais“.
Klaida tokia rimta, kad jai skirtas nuosavas tinklalapis Heartbleed.com, kuriame dėstomi visi problemos aspektai.
Ar turėčiau pasikeisti slaptažodžius?
Kai kurie saugumo ekspertai sako, kad būtų išmintinga tai padaryti, nors šiek tiek nesutariama, kada tai reikėtų atlikti ir ar iš viso reikia.
Daugelis didžiųjų technologijų kompanijų, tarp kurių „Facebook“ ir „Google“, pažeidžiamumą jau ištaisė.
Keista, tačiau „Google“ atstovė Dorothy Chou pasakė: „Google“ naudotojams slaptažodžių keisti nereikia.“ Šaltinis iš kompanijos sakė BBC, kad jie pažeidžiamumą ištaisė dar iki jo paviešinimo ir nemano, kad jis iki tol programišiai būtų jį išnaudoję.
Kai kas nurodo, kad bus daugybė mažesnių svetainių, dar nesusitvarkiusių su problema ir jų atveju slaptažodžių keitimas gali padaryti daugiau žalos, nei duoti naudos, nes tada užpuolikams būtų prieinamas ir senasis, ir naujasis slaptažodis.
Bet dabar, kai pažeidžiamumas plačiai žinomas, kodą pataisys ir mažesnės svetainės, tad daugumai žmonių tikriausiai vertėtų pamąstyti apie slaptažodžių keitimą.
„Kada nors per artimiausias 48 valandas būtų tinkamas laikas“, BBC sako Surrey universiteto kompiuterijos mokslininkas profesorius Alanas Woodwardas .
Mikko Hypponenas iš saugumo kompanijos „F-Secure“ davė panašų patarimą: „Pasirūpinkite svarbiausiais slaptažodžiais. Gal pakeiskite juos dabar pat, gal per savaitę. Ir jei rūpinatės savo kreditinėmis kortelėmis, labai atidžiai tikrinkite kreditinių kortelių ataskaitas.“
Kaip pasirinkti saugų slaptažodį?
Pažeidžiamumo išnaudojimas nebuvo susijęs su silpnais slaptažodžiais, bet dabar, kai pasigirsta skatinimų pasikeisti visus egzistuojančius, daugelis prisimena, kad juos reikia daryti kuo saugesnius.
Žmonės turėtų reguliariai keisti savo slaptažodžius, pažymi prof. A. Woodwardas, ir turi būti tikri, kad pasirinko ką nors, kas nesusiję su jais, o ne, tarkime, naminio gyvūno vardą. Geriau naudoti žodžius, kurių nėra žodynuose, o taip pat patartina maišyti raides ir skaičius.
Žmonėms, kurie linkę slaptažodžius atstatyti kaskart apsilankę svetainėje, kadangi pamiršo jį, irgi yra pagalba.
Yra daug įrankių, saugančių ir tvarkančių visus jūsų kompiuterio, programų ir tinklų slaptažodžius ir PIN kodus. Jie taip pat gali generuoti slaptažodžius ir automatiškai įvesti naudotojo vardą ir slaptažodį interneto svetainių formose.
Tokios programos saugo slaptažodžius šifruotuose failuose, kuriuos galima pasiekti tik naudojant pagrindinį slaptažodį. Tokių programų pavyzdžiai – „KeePass“, „LastPass“ ir „1Password“.
Kai kurios firmos siūlo slaptažodžių alternatyvas.
Mobiliųjų įrenginių firmos, tarp kurių „Apple“ ir „Samsung“ integruoja pirštų atspaudų skaitytuvus, leidžiančius naudotis telefonu ir kai kuriomis jo funkcijomis vos perbraukus pirštu per ekraną.
Kurios svetainės pažeistos?
Manoma, kad yra apie pusę milijono pažeidžiamų svetainių, tad jų visų nevardinsime, bet yra naujų svetainių, siūlančių patikrinti, ar naudojamos svetainės pažeidžiamos.
„LastPass“ svetainė sąrašą sudarė, kaip ir naujoji „Mashable“ svetainė. Tuo tarpu saugumo firma „Kaspersky“ nukreipia žmones į „Heartbleed“ testą.
Nors „Facebook“ ir „Google“ sako savo paslaugas pataisę, tačiau dar daugeliui per ateinančias kelias dienas teks atlikti tą patį.
Bruce'as Schneieris paragino interneto kompanijas gauti naujus sertifikatus ir raktus interneto srauto kodavimui. Taip pavogti raktai taptų beverčiai.
Koks blogiausias scenarijus?
Blogos žinios, pasak saugumo kompanijos „Kaspersky“ tinklaraščio įrašo, kad „pasinaudojimas „Heartbleed“ nepalieka jokių pėdsakų, tad neina sužinoti, ar į serverį buvo įsilaužta ir kokie duomenys buvo pavogti“.
Saugumo ekspertai teigia, kad ima rodytis ženklai, kad programišių grupės atlieka automatinius interneto skenavimus, ieškodamos neatnaujintą „OpenSSL“ versiją naudojančių serverių.
O „Kaspersky“ sakė turintys nepatvirtintų duomenų, kad grupės, manoma, susijusios su valstybės finansuojamu kibernetiniu šnipinėjimu vykdė tokius skenavimus netrukus po žinių apie pažeidžiamumą paskelbimo.
Kodėl problema iškilo tik dabar?
Pažeidžiamumą pirmieji pastebėjo „Google Security“ ir Suomijos saugumo firma „Codenomicon“, sakiusi, kad jis atsirado dėl programavimo klaidos.
Visų pirma, klaida rasta, kad „OpenSSL“ yra atviro kodo programa, ir tyrėjai galėjo nuodugniai išstudijuoti kodą.
Tačiau tokios kodo bibliotekos yra nežmoniškai sudėtingos, tad tokios problemos aptikimas gali užtrukti.
„Tai buvo tokia netikėta problema, kad tyrėjai jos net neieškojo,“ BBC sakė prof. A. Woodwardas.
Ar pažeidžiamumas susijęs su JAV ir JK vyriausybinio šnipinėjimo atskleidimu?
Nėra tiesioginių įkalčių, nors paaiškėjus detalėms, daug spekuliuojama, kad Nacionalinio saugumo agentūra (NSA) tyrė šifravimo nulaužimo būdus.
Vyriausybės komunikacijos būstinė (GCHQ) paprasčiausiai atsakė, kad yra laikomasi „žvalgybos reikalų nekomentavimo politikos“.
Ir daugelis, panašu, mano, kad problema blogame kode, o ne kas nors labiau piktavališko.
„Veikiau sumaištis, nei sąmokslas,“ sakė prof. A. Woodwardas, konsultavęs GCHQ.
