Αρκετές εταιρείες του χώρου της τεχνολογίας προτρέπουν ήδη τους χρήστες τους να αλλάξουν τους κωδικούς τους, ειδικά σε υπηρεσίες email, αποθήκευσης αρχείων και e-banking, καθώς το Heartbleed χαρακτηρίζεται ως μια από τις σημαντικότερες απειλές ασφαλείας στα διαδικτυακά χρονικά. Μεταξύ αυτών, η πλατφόρμα κοινωνικής δικτύωσης Tumblr, αλλά και η καναδική εφορία που σταμάτησε τη λειτουργία των online υπηρεσιών της.
Το Heartbleed συναντάται στο λογισμικό OpenSSL, που χρησιμοποιείται για την κρυπτογράφηση δεδομένων που περνούν από servers, έτσι ώστε μόνο ο πάροχος της υπηρεσίας και οι παραλήπτες να μπορούν να τα «διαβάσουν». Οπως επισημαίνουν οι Google Security και η φινλανδική Codenomicon, το πρόβλημα υπάρχει περισσότερα από δύο χρόνια, καθιστώντας δυνατή την υποκλοπή των «κλειδιών» online υπηρεσιών, ονομάτων και κωδικών χρηστών, καθώς και τη δημιουργία ψεύτικων ιστοσελίδων που φαίνονταν αυθεντικές επειδή χρησιμοποιούσαν τους κλεμμένους κωδικούς.
Όπως αναφέρει το BBC, η Google ενημέρωσε έναν αριθμό φορέων σχετικά με το θέμα πριν τη δημοσιοποίησή του, για να προβούν σε αναβαθμίσεις σε νέα έκδοση του OpenSSL.
Παράλληλα, δημοσίευμα του CNET, υπάρχουν αναφορές από στελέχη εταιρειών του χώρου της ασφάλειας και developers για εντοπισμό-υποκλοπή κωδικών της Yahoo μέσω εκμετάλλευσης του Heartbleed.
Η Yahoo φέρεται μάλιστα να έχει προχωρήσει σε σχετικές ενέργειες, προβαίνοντας σε διορθώσεις στα Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr και Tumblr. Μέχρι στιγμής, ο developer και σύμβουλος κρυπτογράφησης Φιλίπο Βαλσόρντα, ανέπτυξε ένα εργαλείο που επιτρέπει στους χρήστες να ελέγξουν αν ιστοσελίδες τους είναι «τρωτές» απέναντι στην νέα απειλή.
Προτείνει, δε, την αλλαγή κωδικών σε σειρά δημοφιλών υπηρεσιών, ακόμη και στην περίπτωση που φαινομενικά δεν υπάρχει πρόβλημα. Η πρόληψη φέρεται γενικώς ως η αποτελεσματικότερη πρακτική για την προστασία από το Heartbleed.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου