Pirmadienį, balandžio 7 d., populiarioje OpenSSL kriptografinėje bibliotekoje, kuri plačiai naudojama su programomis ir žiniatinklio serveriais, buvo rastas didelis pažeidžiamumas, vadinamas „Heartbleed“. Taigi, interneto svetainės ir paslaugos yra užsiėmusios taisydamos šį pažeidžiamumą ir atnaujindamos SSL sertifikatus, kad apsaugotų savo klientus. Kaip minėta, OpenSSL v1.0.1–1.0.1f (imtinai) yra pažeidžiamos, o 2014 m. balandžio 7 d. išleista OpenSSL 1.0.1g ištaiso šią klaidą.
Ištraukoje iš Heartbleed.com rašoma,
„Heartbleed Bug“ yra rimtas pažeidžiamumas populiarioje OpenSSL kriptografinės programinės įrangos bibliotekoje. Šis trūkumas leidžia pavogti informaciją, normaliomis sąlygomis apsaugotą SSL/TLS šifravimu, naudojamu interneto apsaugai. SSL/TLS užtikrina ryšių saugumą ir privatumą internete tokioms programoms kaip žiniatinklis, el. paštas, momentiniai pranešimai (IM) ir kai kurie virtualūs privatūs tinklai (VPN).
„Heartbleed“ klaida leidžia bet kuriam interneto naudotojui skaityti sistemų, apsaugotų pažeidžiamomis OpenSSL programinės įrangos versijomis, atmintį. Tai leidžia užpuolikams klausytis pranešimų, pavogti duomenis tiesiogiai iš paslaugų ir vartotojų bei apsimesti paslaugomis ir vartotojais.
Patikrinkite, ar jūsų svetainę arba „Android“ telefoną nepaveikė „Heartbleed“ klaida –
Yra keletas paslaugų, kurios gali pasakyti, ar svetainė, kuriai patikėjote savo informaciją, buvo arba vis dar yra pažeidžiama, ir kada buvo atnaujintas jos sertifikatas.
Filippo Valsordos Heartbleed testas – filippo.io/Heartbleed
Įveskite URL arba pagrindinio kompiuterio pavadinimą, kad patikrintumėte, ar serveryje nėra „Heartbleed“ (CVE-2014-0160). Galite nurodyti tokį prievadą example.com:4433
. 443 pagal numatytuosius nustatymus.
LastPass Heartbleed tikrintuvas – lastpass.com/heartbleed
Pažiūrėkite, ar svetainė nėra pažeidžiama „Heartbleed“. Tai rodo svetainės serverio programinę įrangą, nurodo, ar ji buvo pažeidžiama ir ar SSL sertifikatas dabar saugus ir kada buvo paskutinį kartą sukurtas.
„Chromebleed“ („Google Chrome“ plėtinys)
Rodo įspėjimą, jei jūsų naršomą svetainę paveikė „Heartbleed“ klaida. Jis tikrina puslapio URL, naudodamas Filippo paslaugą. Naudinga, jei nenorite tikrinti svetainių rankiniu būdu.
„Mashable“ sudarė įdomų gerai žinomų svetainių sąrašą, kuriame nurodyta jų dabartinė būsena, ar jos buvo paveiktos ir ar turėtumėte pakeisti slaptažodį.
Heartbleed detektorius, skirtas Android –
„Android“ naudotojai gali lengvai patikrinti, ar jų „Android“ įrenginys yra pažeidžiamas „HeartBleed“ klaidos, naudodami nemokamą programą „Heartbleed Detector“ iš „Lookout Mobile Security“. Programa nustato, kokią OpenSSL versiją naudoja jūsų įrenginys. Jei jūsų įrenginyje veikia viena iš paveiktų OpenSSL versijų, jis patikrina, ar konkretus pažeidžiamas elgesys įjungtas, ar ne.
Tačiau, jei jūsų įrenginys yra pažeidžiamas, nereikia imtis reikiamų veiksmų, nebent „Google“ arba įrenginio gamintojas išleido pataisą.
Žymos: AndroidSecurity