Τη Δευτέρα, 7 Απριλίου, ένα σημαντικό θέμα ευπάθειας γνωστό ως «Heartbleed» εντοπίστηκε στη δημοφιλή κρυπτογραφική βιβλιοθήκη OpenSSL, η οποία χρησιμοποιείται ευρέως με εφαρμογές και διακομιστές ιστού. Οι ιστότοποι και οι υπηρεσίες στο Διαδίκτυο είναι επομένως απασχολημένοι με την επιδιόρθωση αυτής της ευπάθειας και την ενημέρωση των πιστοποιητικών SSL για την προστασία των πελατών τους. Όπως αναφέρθηκε, το OpenSSL v1.0.1 έως 1.0.1f (συμπεριλαμβανομένου) είναι ευάλωτο και το OpenSSL 1.0.1g που κυκλοφόρησε στις 7 Απριλίου 2014 διορθώνει αυτό το σφάλμα.
Ένα απόσπασμα από το Heartbleed.com λέει,
Το Heartbleed Bug είναι μια σοβαρή ευπάθεια στη δημοφιλή βιβλιοθήκη λογισμικού κρυπτογράφησης OpenSSL. Αυτή η αδυναμία επιτρέπει την κλοπή των πληροφοριών που προστατεύονται, υπό κανονικές συνθήκες, από την κρυπτογράφηση SSL/TLS που χρησιμοποιείται για την ασφάλεια του Διαδικτύου. Το SSL/TLS παρέχει ασφάλεια επικοινωνίας και απόρρητο μέσω του Διαδικτύου για εφαρμογές όπως ο ιστός, το email, η ανταλλαγή άμεσων μηνυμάτων (IM) και ορισμένα εικονικά ιδιωτικά δίκτυα (VPN).
Το σφάλμα Heartbleed επιτρέπει σε οποιονδήποτε στο Διαδίκτυο να διαβάσει τη μνήμη των συστημάτων που προστατεύονται από τις ευάλωτες εκδόσεις του λογισμικού OpenSSL. Αυτό επιτρέπει στους εισβολείς να κρυφακούουν τις επικοινωνίες, να κλέβουν δεδομένα απευθείας από τις υπηρεσίες και τους χρήστες και να μιμούνται τις υπηρεσίες και τους χρήστες.
Ελέγξτε εάν ο ιστότοπός σας ή το τηλέφωνο Android επηρεάζεται από σφάλμα Heartbleed –
Υπάρχουν ορισμένες υπηρεσίες που μπορούν να σας πουν εάν ο ιστότοπος στον οποίο έχετε εμπιστευτεί τις πληροφορίες σας ήταν ή εξακολουθεί να είναι ευάλωτος και πότε ενημερώθηκε το πιστοποιητικό του.
Τεστ Heartbleed του Filippo Valsorda – filippo.io/Heartbleed
Εισαγάγετε μια διεύθυνση URL ή ένα όνομα κεντρικού υπολογιστή για να δοκιμάσετε τον διακομιστή σας για Heartbleed (CVE-2014-0160). Μπορείτε να καθορίσετε μια θύρα όπως αυτή example.com:4433. 443 από προεπιλογή.
Έλεγχος LastPass Heartbleed – lastpass.com/heartbleed
Δείτε εάν ένας ιστότοπος είναι ευάλωτος στο Heartbleed. Εμφανίζει το λογισμικό διακομιστή του ιστότοπου, λέει εάν ήταν ευάλωτο και εάν το πιστοποιητικό SSL είναι πλέον ασφαλές και πότε δημιουργήθηκε για τελευταία φορά.
Chromebleed (επέκταση Google Chrome)
Εμφανίζει μια προειδοποίηση εάν ο ιστότοπος που περιηγείστε επηρεάζεται από σφάλμα Heartbleed. Ελέγχει τη διεύθυνση URL της σελίδας χρησιμοποιώντας την υπηρεσία Filippo. Χρήσιμο εάν δεν θέλετε να ελέγξετε τους ιστότοπους με μη αυτόματο τρόπο.
Το Mashable έχει συμμορφωθεί με μια ενδιαφέρουσα λίστα γνωστών τοποθεσιών που δηλώνουν την τρέχουσα κατάστασή τους, εάν επηρεάστηκαν και αν πρέπει να αλλάξετε τον κωδικό πρόσβασής σας.
Heartbleed Detector για Android –
Οι χρήστες Android μπορούν εύκολα να ελέγξουν εάν η συσκευή τους Android είναι ευάλωτη στο σφάλμα HeartBleed με μια δωρεάν εφαρμογή που ονομάζεται "Heartbleed Detector" από την Lookout Mobile Security. Η εφαρμογή καθορίζει ποια έκδοση του OpenSSL χρησιμοποιεί η συσκευή σας. Εάν η συσκευή σας εκτελεί μία από τις επηρεαζόμενες εκδόσεις του OpenSSL, τότε ελέγχει εάν η συγκεκριμένη συμπεριφορά ευάλωτου είναι ενεργοποιημένη ή όχι.
Ωστόσο, εάν η συσκευή σας είναι ευάλωτη, δεν υπάρχει καμία απαραίτητη ενέργεια που μπορείτε να κάνετε, εκτός εάν κυκλοφορήσει μια ενημέρωση κώδικα από την Google ή τον κατασκευαστή της συσκευής σας.
Ετικέτες: AndroidSecurity