Tot ce trebuie să ştii despre Heartbleed, vulnerabilitatea care a speriat Internetul

0
Publicat:
Ultima actualizare:

Săptămâna care tocmai se încheie a fost sub semnul „Heartbleed“. Ai auzit de asta, ai citit şi probabil te-ai întrebat: dar ce e, mai exact, Heartbleed şi de ce îmi pasă? Iată de ce adunăm toate informaţiile într-un articol şi explicăm de ce contează această „inimă“ de software.

În primul rând, Heartbleed nu e un virus. Au fost publicaţii, site-uri care tratează subiecte din aria tehnologiei care i-au spus virus. Nu, e o vulnerabilitate în librăria de criptare OpenSSL, o versiune open-source de gestionare a protocoalelor de securitate online SSL şi TLS. Nu trebuie să reţii fiecare acronim, doar să ştii că OpenSSL gestionează informaţiile pe care nu ai vrea să le vadă alţii, atunci când intri pe un site.

Orice gaură de securitate în OpenSSL, folosit de aproximativ două treimi din site-urile de pe Internet, este o mare problemă. De aceea, Heartbleed a speriat suficiente companii şi pune în pericol milioane de utilizatori. În OpenSSL versiunea 1.0.1 lansată în aprilie 2012 există o „scăpare“ de programare, o eroare, după cum a spus creatorul, Robin Seggelmann, conform NBCNews.

Eroarea a survenit când Seggelman a introdus o nouă funcţionalitate în OpenSSL, el fiind unul dintre contributorii acestui program. În ultima zi din decembrie 2011, Seggelman a finalizat implementarea şi odată cu asta avea să pornească valul care în 2014 a devenit un tsunami.

OpenSSL a afectat, conform Mashable, câteva site-uri celebre, cum ar fi Facebook, Instagram, Tumblr, Dropbox, OKCupid sau SoundCloud. Înainte de a vorbi despre Google trebuie menţionat că Neel Mehta, inginer Google, este cel care a descoperit vulnerabilitatea şi i-a anunţat pe cei care se ocupă de proiectul OpenSSL (este open-source, nu are o companie care îl supervizează).

Au fost informate, în primul rând, companiile mari precum Facebook, Yahoo! şi altele, iar faţă de publicul obişnuit nu au fost furnizate informaţii. Totuşi, a existat o scăpare. Codenomicon, o companie finlandeză specializată în securitate, a descoperit Heartbleed, dar nu ştia de parcursul Google şi de politica de secretizare a OpenSSL. A pus la punct un site, i-a dat un nume acestui bug şi vestea s-a răspândit rapid. Administratorii OpenSSL au trebuit apoi să facă publice toate informaţiile.

O provocare lansată de CloudFlare (prin hackeri) pentru a vedea cât de uşor poţi folosi Heartbleed

Ce face, propriu-zis, Heartbleed

Heartbleed, şi acum vei afla şi de unde vine numele, se bazează pe o funcţionalitate din OpenSSL denumită „heartbeat“. Când accesezi un domeniu online, există o comunicare între dispozitiv şi site, iar asta se numeşte „heartbeat“ (în trad.: bătaia inimii). Nu o folosesc toate site-urile însă, e o extensie opţională. Comunicarea în acest caz, ca în oricare altul când vine vorba de mediul digital, se face cu schimb de date. Mai precis, se face cu retur cu pachetul de date pe care dispozitivul l-a trimis.

Prin Heartbleed trimiţi ceva şi poţi primi altceva. Un hacker se poate folosi de vulnerabilitatea din OpenSSL pentru a cere, în plus faţă de pachetul trimis, până la 64KB (kilobiţi) de date din memoria serverului. Informaţiile pe care le primeşte înapoi pot sau nu să conţină informaţii confindenţiale, dar riscul există.

De la platformă la platformă, cu cât se conectează mai multe dispozitive la server, cu atât există un surplus mai mare de date în memorie pe care Heartbleed le-ar putea întoarce unui hacker. Dacă execută suficiente cereri, după cum a informat CloudFlare, poate obţine suficiente parole pentru a compromite un serviciu. Folosirea acestei metode nu lasă urme, de aceea e greu de stabilit numărul exact de domenii compromise.

Un grup de analişti de la Universitatea din Michigan, Statele Unite ale Americii, a folosit un instrument de scanare a celor mai importante un milion de site-uri indexate de Alexa. Rezultatul analizei arată că 34% din acestea folosesc TLS. Din aceste aproximativ 340.000 de site-uri securizate, 11% sunt vulnerabile, 27% folosesc heartbeat, dar nu au probleme, iar restul de 61% nu folosesc deloc heartbeat. Conform unui studiu Netcraft, procentul site-urilor vulnerabile (din totalul site-urilor care folosesc SSL) este de circa 17%, notează Go4IT.

„Sângerarea inimii“ şi mai departe

Cei care se ocupă de OpenSSL au lansat deja versiunea 1.0.1g şi au informat că problema nu mai există. De asemenea, dacă site-ul respectiv n-a folosit niciodată extensia heartbeat, n-a fost niciodată vulnerabil. Ar trebui să îţi faci griji? Desigur, dar nu este motiv de panică. Schimbă-ţi parolele importante, la serviciile care contează pentru tine, şi niciodată nu folosi aceeaşi parolă pe două servicii importante (ex.: Facebook şi Google).

În timpul crizei Heartbleed, NSA ştia de această scăpare şi a folosit-o timp de doi ani pentru a supraveghea oameni. Agenţia a negat aceste informaţii şi a spus că n-a aflat de Heartbleed decât când vestea a ajuns şi în sectorul privat. Totuşi, NSA are 1.000 de experţi dedicaţi găsirii de astfel de „găuri“. Conform Bloomberg, vulnerabilitatea Heartbleed a devenit o parte esenţială a setului de instrumente ale agenţiei pentru a fura parolele conturilor utilizatorilor.

Barack Obama, preşedintele SUA, a cerut agenţiilor americane să nu abuzeze de astfel de scăpări. El a menţionat că se poate recurge la acestea în măsura în care securitatea este pusă în pericol.

[<a href="//storify.com/razvanbaltaretu/mai-multe-informa-ii-despre-heartbleed" target="_blank">View the story "Mai multe informaţii despre Heartbleed" on Storify</a>]

Tehnologie



Partenerii noștri

Ultimele știri
Cele mai citite