W poniedziałek, 7 kwietnia, poważna luka w zabezpieczeniach „Heartbleed„W popularnej bibliotece kryptograficznej OpenSSL, która jest powszechnie używana w aplikacjach i serwerach internetowych, znaleziono lukę. Strony i usługi w całym Internecie są więc zajęte łataniem tej luki i aktualizowaniem certyfikatów SSL, aby chronić swoich klientów. Jak już wspomniano, OpenSSL v1.0.1 przez 1.0.1f (włącznie) są podatne na atak i OpenSSL 1.0.Wersja 1g wydana 7 kwietnia 2014 r. usuwa ten błąd.
Fragment Heartbleed.com mówi ,
Heartbleed Bug to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ten słaby punkt umożliwia kradzież informacji chronionych w normalnych warunkach przez szyfrowanie SSL/TLS używane do zabezpieczania Internetu. SSL/TLS zapewnia bezpieczeństwo i prywatność komunikacji przez Internet w takich zastosowaniach, jak WWW, poczta elektroniczna, komunikatory internetowe (IM) i niektóre wirtualne sieci prywatne (VPN).
Błąd Heartbleed umożliwia każdemu w Internecie odczytanie pamięci systemów chronionych przez podatne wersje oprogramowania OpenSSL. Pozwala to atakującym na podsłuchiwanie komunikacji, kradzież danych bezpośrednio z usług i użytkowników oraz podszywanie się pod usługi i użytkowników.
Sprawdź, czy Twoja strona lub telefon z systemem Android są dotknięte błędem Heartbleed –
Istnieją pewne usługi, które mogą powiedzieć Ci, czy witryna, której powierzyłeś swoje informacje, była lub jest nadal podatna na atak oraz kiedy jej certyfikat został zaktualizowany.
Test Heartbleed przeprowadzony przez Filippo Valsordę – filippo.io/Heartbleed
Wprowadź adres URL lub nazwę hosta, aby przetestować swój serwer pod kątem Heartbleed (CVE-2014-0160). Port można określić w następujący sposób przykład.com:4433. 443 domyślnie.
LastPass Heartbleed checker – lastpass.com/heartbleed
Sprawdź, czy dana witryna jest podatna na Heartbleed. Pokazuje oprogramowanie serwera witryny, informuje, czy było ono podatne na ataki i czy certyfikat SSL jest obecnie bezpieczny oraz kiedy został ostatnio utworzony.
Chromebleed (rozszerzenie Google Chrome)
Wyświetla ostrzeżenie, jeśli witryna, którą przeglądasz, jest dotknięta błędem Heartbleed. Sprawdza adres URL strony, korzystając z usługi Filippo. Przydatne, jeśli nie chcesz sprawdzać witryn ręcznie.
Mashable przygotował ciekawą listę znanych witryn z ich aktualnym statusem, informacją, czy zostały dotknięte problemem i czy należy zmienić hasło.
Wykrywacz Heartbleed dla systemu Android –
Użytkownicy Androida mogą łatwo sprawdzić, czy ich urządzenie jest podatne na błąd HeartBleed, korzystając z darmowej aplikacji o nazwie „Wykrywacz Heartbleed” z Lookout Mobile Security. Aplikacja ta określa, z jakiej wersji OpenSSL korzysta urządzenie użytkownika. Jeśli urządzenie korzysta z jednej z wersji OpenSSL, której dotyczy błąd, sprawdza, czy określone zachowanie jest włączone, czy nie.
Jeśli jednak Twoje urządzenie jest podatne na atak, nie możesz podjąć żadnych niezbędnych działań, chyba że zostanie wydana poprawka przez Google lub producenta urządzenia.
