Το κενό στο ανοικτό λογισμικό OpenSSL εξαναγκάζει τους χρήστες διαδικτυακών υπηρεσιών και εφαρμογών να αναθεωρήσουν την πρακτική που ακολουθούν για να προστατεύσουν τα προσωπικά τους δεδομένα. Εκτός από την αλλαγή password παντού στο σωστό χρόνο, οι χρήστες καλούνται να τηρούν στο έντυπο σημειωτάριό τους διαφορετικά username και μακροσκελή, ισχυρά password για κάθε διαδικτυακή υπηρεσία.
- Τι κάνει το Heartbleed; Μπορεί να αποκαλύψει το περιεχόμενο της μνήμης ενός διακομιστή, όπου μπορεί να βρίσκονται ευαίσθητα προσωπικά δεδομένα όπως κρυπτογραφημένα e-mail, usernmame, password, έγγραφα και αριθμοί πιστωτικών καρτών. Μπορεί επίσης να υποκλαπεί αντίγραφο των ψηφιακών κλειδιών ενός server, τα οποία είναι αρκετά για να εμφανιστούν ψευδεπίγραφοι server ως αυθεντικοί με αποτέλεσμα να νομίζει κανείς ότι χρησιμοποιεί τα στοιχεία του για να χρησιμοποιήσει μια υπηρεσία, αντ'αυτού όμως να παραδίδει τα στοιχεία του στον πλαστό δικτυακό τόπο.
Με άλλα λόγια, το Heartbleed, θα επέτρεπε σε χάκερ να διαβάζουν το περιεχόμενο της μνήμης των διακομιστών, στην οποία αποθηκεύονται ευαίσθητα δεδομένα, αλλά και να υποκλέπτουν τα κλειδιά της κρυπτογράφησης. Θα μπορούσαν έτσι να κλέψουν κωδικούς πρόσβασης και άλλα δεδομένα των χρηστών, ή ακόμα και να στήσουν ψεύτικους δικτυακούς τόπους που παριστάνουν νόμιμες υπηρεσίες.
Το γεγονός οδήγησε στην προσθήκη κώδικα στους server διαδικτυακών υπηρεσιών που βασίζονται στο OpenSSL. Η αλλαγή κωδικών από τους χρήστες κρίνεται απαραίτητη, ακόμα και όταν η υπηρεσία δηλώνει ότι κάτι τέτοιο δεν είναι απαραίτητο γιατί έχει υποβληθεί το patch. Κι αυτό καθώς, εάν τα στοιχεία εισόδου χρησιμοποιούνται επίσης και έχουν κλαπεί από μια άλλη ευάλωτη υπηρεσία τότε η πόρτα και στην ασφαλή υπηρεσία θα είναι ανοικτή.
Από την άλλη, η αλλαγή password δεν εξασφαλίζει το απόρρητο της επικοινωνίας με τον διακομιστή μιας υπηρεσίας, στους server της οποίας δεν έχει γίνει το «μπάλωμα». Γι'αυτό αναμένεται οι χρήστες πολλών υπηρεσιών να λάβουν ενημερωτικό e-mail με το οποίο θα ενημερώνονται για την εφαρμογή του patch στους server και την αλλαγή password.
Στο https://lastpass.com/heartbleed/ υπάρχει ένα εργαλείο στο οποίο μπορεί κανείς να εισάγει τις διευθύνσεις των υπηρεσιών που χρησιμοποιεί για να ελέγξει εάν πράγματι οι διακομιστές τους έχουν «επιδιορθωθεί». Εντούτοις, η υπηρεσία προτείνει στους χρήστες να αλλάξουν password εάν η προηγούμενη αλλαγή έγινε πριν από 6 ή 4 ημέρες, ανάλογα με το πότε έγινε το patch FixedOpenSSL.
Άλλες υπηρεσίες που κάνουν τον ίδιο έλεγχο, προτεινόμενες από τον ειδικό σε θέματα ασφάλειας Brian Krebs είναι:
Ο ίδιος ειδικός συνιστά στους χρήστες να μην ανταποκρίνονται σε e-mail που τους παροτρύνουν να ακολουθήσουν ένα link για να αλλάξουν password, καθώς υπάρχει ο κίνδυνος παραπλάνησης. Αντ'αυτού, προτείνεται να επισκέπτονται τον δικτυακό τόπο της υπηρεσίας που χρησιμοποιούν και να αλλάζουν από εκεί κωδικό εισόδου.
Google (όλες οι υπηρεσίες), Facebook και Dropbox εμφανίζονται πλέον οχυρωμένες, ωστόσο αυτό δεν σημαίνει ότι στο παρελθόν δεν έχει γίνει εκμετάλλευση του εν λόγω bug. Πάντως, η Microsoft δεν χρησιμοποιεί το OpenSSL στα Windows ή στις διαδικτυακές της υπηρεσίες, επεσήμανε η εταιρεία και δήλωσε πως Microsoft Account και Microsoft Azure, καθώς και η πλειονότητα των Microsoft Services δεν χρησιμοποιούν OpenSSL.
