Jeśli w ciągu ostatnich dwóch lat logowaliście się do Gmaila, Facebooka, Dropboksa lub Amazonu, to… lepiej zmieńcie hasła

News/Technologie 10.04.2014
Jeśli w ciągu ostatnich dwóch lat logowaliście się do Gmaila, Facebooka, Dropboksa lub Amazonu, to… lepiej zmieńcie hasła

Jeśli w ciągu ostatnich dwóch lat logowaliście się do Gmaila, Facebooka, Dropboksa lub Amazonu, to… lepiej zmieńcie hasła

Bezpieczeństwo naszych danych w internecie, zwłaszcza ostatnio, stało się niezwykle gorącym tematem. Kontrola ze strony m.in. NSA, problemy z niezabezpieczonymi routerami i podobne były poważnymi problemami, ale prawdopodobnie nie można porównać ich ze skalą tzw. Heartbleed, który uderza w jedne z najczulszych punktów światowej sieci.

Problem, nagłośniony m.in. przez serwis Niebezpiecznik.pl, związany jest z narzędziem OpenSSL, które stosuje się przy szyfrowaniu SSL, będącym dla wielu internautów gwarancją bezpiecznej transmisji danych, które pod żadnym pozorem nie powinny trafić do osób postronnych. Okazuje się, że od ponad 2 lat znajdowała w nim się luka, dzięki której osoby postronne mogły uzyskać do nich dostęp.

Nie wiesz kto, ani kiedy

Całą sytuację pogarsza fakt, że użytkownicy nie mają możliwości podjęcia żadnych kroków w celu zabezpieczenia się przed ewentualną kradzieżą informacji – problem w całości leży po stronie administratorów stron i usług internetowych. Dodatkowo nie istnieje nawet szansa na sprawdzenie, czy nasze dane trafiły do obcych osób czy też nie. Jeśli okaże się, że korzystaliśmy ze stron, które były podatne na ataki, pozostaje nam jedynie szybka zmiana hasła.

internet laptop

Na dobrą sprawę nie wiemy więc czy, a jeśli tak to kto, ani kiedy wszedł w posiadanie naszego hasła i nazwy użytkownika np. do strony z zakupami internetowymi, gdzie do konta podpięta była karta kredytowa. Nie wiedzą też o tym strony internetowe, które były podatne na atak i na których mogło dojść do wycieku.

Rozwiązanie takie będzie przy tym skuteczne jedynie pod warunkiem, że administrator witryny zdecydował się już na dokonanie aktualizacji (1.0.1g), która usuwa odkrytą przed dwoma dniami lukę. W przeciwnym wypadku nadal będziemy narażeni na to samo ryzyko. Co ciekawe, wersje OpenSSL starsze niż 1.0.1 nie są podatne na atak, ale – jak podaje Niebezpiecznik.pl – inne błędy wymusiły w większości przypadków jego aktualizację.

Zagrożenie na wielką skalę

Heartbleed (lub oficjalnie CVE-2014-0160) jest o tyle poważnym zagrożeniem, że wykorzystuje go ponad 60% wszystkich serwisów internetowych, wliczając w to także najpopularniejsze portale oraz serwisy usługowe. Na liście podatnych na ataki lub takich, gdzie warto jest zmienić hasło, znalazł się m.in. Tumblr, Gmail (i inne usługi Google), Yahoo, Facebook, Amazon, Dropbox czy LastPass. W zdecydowanej większości przypadków najwięksi gracze zdążyli usunąć problem i dokonać aktualizacji w zaledwie kilka godzin po jego nagłośnieniu (Google błyskawicznie uodpornił Search, Gmail, YouTube, Wallet, Play, Apps, oraz App Engine), w związku z czym logowanie jest obecnie bezpieczne. Należy jednak pamiętać, że nie ma żadnej gwarancji, że dane te nie trafiły w niepowołane ręce w ciągu ostatnich dwóch lat.

zakupy przez internet

W przypadku stron banków, czyli takich, na których szczególnie nie chcielibyśmy się z nikim dzielić naszymi danymi do logowania, nie powinniśmy mieć większych obaw. Według informacji podanych przez TVN24 wszystkie banki korzystające z OpenSSL dokonały już aktualizacji oprogramowania, natomiast według niektórych badań, w przypadku wielu systemów bankowych problem ten w ogóle nie występował.

Co można zrobić?

Przed atakiem nie mogliśmy się więc bronić przez dwa lata, nie możemy też teraz sprawdzić, czy padliśmy jego ofiarą. Możemy natomiast, oprócz zmiany hasła, przynajmniej spróbować sprawdzić, czy strony, na które zamierzamy się zalogować korzystają z nowej wersji OpenSSL czy też lepiej nie podawać na nich żadnych poufnych informacji. Narzędzi do weryfikacji jest w internecie pod dostatkiem (np. tutaj), jednak nie zawsze podają one do końca prawdziwe informacje. Co gorsza, równie często pojawiają się w sieci narzędzia… umożliwiające wykorzystanie tej luki bezpieczeństwa na serwerach jeszcze niezałatanych.

Na szczęście według danych podanych przez Niebezpiecznika, spora część serwisów (nie tylko tych największych) wydaje się być już bezpieczna. Spośród prawie 30 000 000 hostów podatnych było nieco ponad 600 000. Mimo to zdecydowanie nie zaszkodzi nam, jeśli zmienimy nasze hasło – czy to w wymienionych powyżej serwisach, czy to na portalach, na których mamy konto, a które znalazły się na licznych dostępnych w sieci listach.

Zdjęcia https and lock symbolBusiness person working on computer against technology backgroundWoman’s hands holding a credit card and using laptop for online shopping pochodzi z serwisu Shutterstock.

Tagi:

Dołącz do dyskusji

Advertisement