W poniedziałek, 7 kwietnia, w popularnej bibliotece kryptograficznej OpenSSL, która jest szeroko wykorzystywana w aplikacjach i serwerach WWW, została znaleziona poważna luka znana jako „Heartbleed”. Witryny i usługi w Internecie są zatem zajęte poprawą tej luki i aktualizacją certyfikatów SSL w celu ochrony swoich klientów. Jak wspomniano, OpenSSL v1.0.1 do 1.0.1f (włącznie) są podatne na ataki, a OpenSSL 1.0.1g wydany 7 kwietnia 2014 naprawia ten błąd.
Fragment z Heartbleed.com mówi,
Błąd Heartbleed to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość umożliwia kradzież informacji chronionych w normalnych warunkach przez szyfrowanie SSL/TLS używane do zabezpieczenia Internetu. SSL/TLS zapewnia bezpieczeństwo komunikacji i prywatność w Internecie dla aplikacji takich jak WWW, poczta e-mail, komunikatory (IM) i niektóre wirtualne sieci prywatne (VPN).
Błąd Heartbleed umożliwia każdemu użytkownikowi Internetu odczytanie pamięci systemów chronionych przez podatne na ataki wersje oprogramowania OpenSSL. Umożliwia to atakującym podsłuchiwanie komunikacji, kradzież danych bezpośrednio z usług i użytkowników oraz podszywanie się pod usługi i użytkowników.
Sprawdź, czy Twoja witryna lub telefon z Androidem jest dotknięty błędem Heartbleed –
Istnieje kilka usług, które mogą poinformować Cię, czy witryna, której powierzyłeś swoje dane, była lub nadal jest podatna na zagrożenia oraz kiedy jej certyfikat został zaktualizowany.
Test Krwawienia Serca Filippo Valsordy – filippo.io/Heartbleed
Wprowadź adres URL lub nazwę hosta, aby przetestować serwer pod kątem Heartbleed (CVE-2014-0160). Możesz określić port w ten sposób example.com:4433. 443 domyślnie.
Tester LastPass Heartbleed – lastpass.com/heartbleed
Sprawdź, czy strona jest podatna na Heartbleed. Pokazuje oprogramowanie serwera witryny, informuje, czy było podatne na ataki, a także czy certyfikat SSL jest teraz bezpieczny i kiedy został ostatnio utworzony.
Chromebleed (rozszerzenie Google Chrome)
Wyświetla ostrzeżenie, jeśli witryna, którą przeglądasz, jest dotknięta błędem Heartbleed. Sprawdza adres URL strony za pomocą usługi Filippo. Przydatne, jeśli nie chcesz ręcznie sprawdzać witryn.
Mashable opracował ciekawą listę dobrze znanych witryn, podając ich aktualny status, czy zostały one dotknięte i czy należy zmienić hasło.
Wykrywacz krwawienia sercowego dla Androida –
Użytkownicy systemu Android mogą łatwo sprawdzić, czy ich urządzenie z systemem Android jest podatne na błąd HeartBleed, korzystając z bezpłatnej aplikacji o nazwie „Heartbleed Detector” firmy Lookout Mobile Security. Aplikacja określa, z jakiej wersji OpenSSL korzysta Twoje urządzenie. Jeśli na Twoim urządzeniu działa jedna z wersji OpenSSL, których dotyczy luka, sprawdza ono, czy określone zachowanie z luką jest włączone, czy nie.
Jeśli jednak Twoje urządzenie jest podatne na ataki, nie możesz podjąć żadnych działań, chyba że poprawka zostanie opublikowana przez Google lub producenta Twojego urządzenia.
Tagi: AndroidBezpieczeństwo