Datu drošība pēc Heartbleed ievainojamības izziņošanas
Pēdējā laika skaļākie draudi IT drošības jomā ir OpenSSL ievainojamības izziņošana, radot ne mazums galvassāpju IT sistēmu uzturētājiem un interneta lietotājiem. Ievainojamība plašāk pazīstama arī kā "Heartbleed bug" vai vienkārši Heartbleed.
Kopš ievainojamības izziņošanas 7.aprīlī pagājis vairāk kā mēnesis, tomēr vairāki nozīmīgi interneta un komunikāciju pakalpojumu sniedzēji visā pasaulē joprojām cīnās ar dažādu Heartbleed ievainojamības seku novēršanu. Arī interneta lietotāji nesteidzas mainīt paroles - pēc dažādu aptauju sniegtajām ziņām, ASV apmēram puse lietotāju nav veikuši paroles nomaiņu pēc ievainojamības izziņošanas.
Pēc CERT.LV datiem, Latvijā vismaz 1500 serveros joprojām nav novērstas dažādas ar ievainojamību saistītas kļūmes, kā arī interneta vietņu uzturētāji nesteidzas informēt lietotājus par nepieciešamību mainīt pieejas datus populārākajām vietnēm.
Heartbleed ir nopietna ievainojamība populārajā OpenSSL kriptogrāfijas programmatūras bibliotēkā, kas ļauj nolasīt servera atmiņas apgabalus un piekļūt informācijai, kas normālos apstākļos tiktu aizsargāta ar SSL / TLS šifrēšanu. Izmantojot šo ievainojamību, iespējams attālināti no servera iegūt lietotāju paroles un lietotājvārdus, transakciju datus, kriptogrāfiskās atslēgas, konfigurācijas detaļas, e-pasta sistēmu lietotāju datus un citu sensitīvu vai aizsargājamu informāciju. Apdraudētas var būt tīmekļa vietnes, kas lieto https://, pasta sistēmas, virtuālo privāto tīklu (VPN) vārtejas, kā arī citi risinājumi, kas izmanto OpenSSL.
Ko servisa uzturētājiem vajadzētu darīt?
Vairākas pasaulē plaši izmantotas interneta vietnes atzina, ka viņus skārusi Heartbleed ievainojamība un aicināja lietotājus mainīt paroles, taču Latvijā šādi paziņojumi netika izplatīti, līdz ar to lietotāji nebija informēti par paroļu nomaiņas nepieciešamību.
Gadījumā, ja servisu uzturētāji ir novērsuši ievainojamības radītās kļūmes, ir īstais brīdis centralizēti informēt lietotājus par paroles nomaiņu.
Atgādinām, ka serveriem, kuri izmanto OpenSSL, nepieciešams uzstādīt OpenSSL 1.0.1g versiju, kurā ievainojamība ir novērsta. Svarīgi arī nomainīt visas ar ievainojamu OpenSSL versiju ģenerētās atslēgas, kas tika izmantotas serverī, kurā pastāvēja ievainojamība.
Jautājumu gadījumā aicinām sazināties ar CERT.LV pārstāvjiem.
Ko lietotājam vajadzētu darīt?
Šobrīd drošākais risinājums ir paroles nomaiņa visos izmantotajos servisos, kurus ikdienā lietojat ar SSL (HTTPS, SMTPS, secure POP3 utt.)un veicat pieslēgšanos, ievadot lietotājvārdu un paroli. Tomēr, paroli ir nozīme mainīt, tikai tad, ja servera turētājs ir novērsis problēmu.
Ja pēdējā mēneša laikā nav veikta paroles nomaiņa sociālajos portālos, piemēram, draugiem.lv, facebook.com, gmail.com un citos, tad šobrīd ir īstais brīdis to darīt.
Lai pārbaudītu vai jūsu interesējošā vietne ir droša, aicinām izmantot šos resursus:
http://possible.lv/tools/hb/ vai http://filippo.io/Heartbleed/
Atgādinām, ka neveicot paroles nomaiņu, uzbrucējam, kas ieguvis paroles no ievainojama servera, ir iespējams tās izmanto lai veiktu pieslēgšanos e-pastam, sociālajiem tīkliem un citām vietnēm, kurās tās izmantotas. Diemžēl daudzi lietotāji izmanto vienu paroli piekļuvei vairākiem resursiem, tāpēc tā jāmaina tajos visos, pat ja tos uzturošie serveri nav bijuši ievainojami.
Vairāk informācijas par to, kā sevi pasargāt internetā – CERT.LV uzturētajā portālā ne-IT profesionāļiem - www.esidross.lv