U ponedjeljak, 7. travnja, velika ranjivost poznata kao "Heartbleed" pronađena je u popularnoj OpenSSL kriptografskoj biblioteci, koja se naširoko koristi s aplikacijama i web poslužiteljima. Stranice i usluge diljem Interneta stoga su zauzete krpanjem ove ranjivosti i ažuriranjem SSL certifikata kako bi zaštitile svoje klijente. Kao što je rečeno, OpenSSL v1.0.1 do 1.0.1f (uključivo) su ranjivi, a OpenSSL 1.0.1g objavljen 7. travnja 2014. ispravlja ovu grešku.
Izvadak s Heartbleed.com kaže,
Heartbleed Bug ozbiljna je ranjivost u popularnoj biblioteci kriptografskog softvera OpenSSL. Ova slabost omogućuje krađu informacija zaštićenih, u normalnim uvjetima, SSL/TLS enkripcijom koja se koristi za osiguranje interneta. SSL/TLS pruža komunikacijsku sigurnost i privatnost putem interneta za aplikacije kao što su web, e-pošta, razmjena trenutnih poruka (IM) i neke virtualne privatne mreže (VPN).
Heartbleed bug omogućuje svakome na internetu čitanje memorije sustava zaštićenih ranjivim verzijama softvera OpenSSL. To napadačima omogućuje prisluškivanje komunikacija, krađu podataka izravno od usluga i korisnika te lažno predstavljanje usluga i korisnika.
Provjerite je li vaša web-lokacija ili Android telefon zahvaćen Heartbleed bugom –
Postoje neke usluge koje vam mogu reći je li stranica kojoj ste povjerili svoje podatke bila ili je još uvijek ranjiva i kada je njezin certifikat ažuriran.
Heartbleed test Filippa Valsorde – filippo.io/Heartbleed
Unesite URL ili naziv hosta za testiranje vašeg poslužitelja na Heartbleed (CVE-2014-0160). Možete odrediti port kao što je ovaj primjer.com:4433. 443 prema zadanim postavkama.
LastPass Heartbleed provjera – lastpass.com/heartbleed
Provjerite je li web-mjesto osjetljivo na Heartbleed. Prikazuje poslužiteljski softver web-mjesta, govori je li bio ranjiv i je li SSL certifikat sada siguran i kada je zadnji put stvoren.
Chromebleed (proširenje za Google Chrome)
Prikazuje upozorenje ako je web-mjesto koje pregledavate zahvaćeno greškom Heartbleed. Provjerava URL stranice koristeći Filippovu uslugu. Korisno ako ne želite ručno provjeravati stranice.
Mashable je ispunio zanimljiv popis dobro poznatih web-mjesta u kojima se navodi njihov trenutni status, jesu li pogođene i trebate li promijeniti svoju lozinku.
Heartbleed Detector za Android –
Korisnici Androida mogu jednostavno provjeriti je li njihov Android uređaj ranjiv na HeartBleed bug pomoću besplatne aplikacije pod nazivom “Heartbleed Detector” tvrtke Lookout Mobile Security. Aplikacija određuje koju verziju OpenSSL-a koristi vaš uređaj. Ako vaš uređaj koristi jednu od zahvaćenih verzija OpenSSL-a, tada provjerava je li određeno ranjivo ponašanje omogućeno ili ne.
Međutim, ako je vaš uređaj ranjiv, ne možete poduzeti potrebne radnje, osim ako Google ili proizvođač vašeg uređaja ne objavi zakrpu.
Oznake: AndroidSecurity