U opasnosti su sve vaše lozinke na internetu
Ilustracija

Bezbjednosni propust

U opasnosti su sve vaše lozinke na internetu

Tim istraživača je otkrio nevjerovatan sigurnosni propust u enkripcijskim tehnologijama koje koriste milione poznatih adresa, a među kojima su bili i Amazon, Google i Yahoo.

Dok su mnoga odredišta već zakrpila propust, milione stranica to tek čeka, a korisnici rizikuju gubitak osjetljivih podataka poput e-mail poruka, lozinki i slično, prenosi T-portal.

Heartbleed je svojevrstan bug, rupa u sistemu namijenjenom enkripciji spomenutih osjetljivih podataka. Kada se želite prijaviti na određeno odredište poput banke ili webmail servis obično ćete vidjeti HTTPS i zeleni katanac kojim se signalizuje SSL/TLS. OpenSSL zahvaćen ovim propustom je jedna od popularnijih varijanti toga. Heartbleed u suštini omogućava "čitanje" fragmenata memorije servera koji pokreću OpenSSL.

"Time se ugrožavaju tajni ključevi korišteni za prepoznavanje pružatelja usluga i za šifrovanje prometa, imena i lozinki korisnika, baš kao i stvarnog sadržaja. To omogućuje napadačima prisluškivanje komunikacije, krađu podataka direktno iz tih pružatelja usluga i korisnika - te na kraju imitirati te usluge i korisnike za dalje kriminalne radnje", stoji na stranici koju je postavio Codenomicon. Prema dosadašnjim informacijama nije jasno je li ovu otkrivenu ranjivost iko zloupotrijebio, no valja imati na umu da je Heartbleed rupa bila tu već neko vrijeme - pa je teško saznati je li jedan jedini servis potpuno zaštićen.

Codenomicon citira istraživanje Netcrafta, u kojem čak dvije trećine svih aktivnih internet odredišta koristi OpenSSL, što ne olakšava situaciju.

Iako bi mnogima prirodna reakcija bila izmjena lozinki, istraživači navode da je takvo što pogrešan potez - napadači će jednostavno imati uvid i u nove podatke. Savjetuje se čekanje dok se ova otkrivena rupa ne zakrpi na najpopularnijim odredištima, koja su već ionako imala posebne sigurnosne timove koji prate situaciju. Iako su šanse male, većina posjetilaca popularnih sajtova bi trebala biti koliko-toliko sigurna.