Az OpenSSL.org április hetedikén állt elő felfedezésével, mely a világháló eddigi legkomolyabb hibáját mutatja be. A CVE-2014-0160 kódnevű (gúnynevén Heartbleed bug) hiba már két éve lappang a rendszerben, a feltételezések szerint, ha eddig egyáltalán történt is visszaélés az elenyésző mértékű, viszont a bejelentés óta fokozott a veszélyeztetettség, miközben a javítások lassan haladnak.
A Hearbleed bug olyan OpenSSL titkosítási szoftverkönyvtárakat érint, melyek mindennapos munkaalanyai a fejlesztőknek, rendszergazdáknak. Jelenleg a weben elérhető oldalak valamivel több, mint a fele nevezhető biztonságosnak és ezeknek megint csak minimum felénél kihasználható a bug. A hibából kifolyólag olyan titkos információkhoz férhettek hozzá illetéktelenek, melyeket egyébként védettnek hittünk (felhasználónevek, jelszavak, levelezések tartalma, stb.). Sajnos ez többirányú visszaélésre is lehetőséget ad, hiszen az ellopott adatok akár megszemélyesítésére is felhasználhatóak.
Vagyis így elképzelhető, hogy amíg egy nyilvános vezeték nélküli hálózaton keresztül intéztük a banki ügyeinket, egy támadó kihasználva az érintett bank biztonsági rését hozzáférhetett a netbankos adatainkhoz és ezzel szemben az SMS azonosítás csak akkor jelentett védelmet, ha a tranzakciók elindítása is ehhez a szolgáltatáshoz volt kötve. Emiatt mindenkinek javasoljuk, hogy fontos jelszavait a következő napokban cserélje le. Hangsúlyozzuk, hogy a következő napokban, ugyanis sok helyen még nem reagáltak kellő súllyal a problémára és a jelszóváltoztatásnak csak akkor van értelme, hogy ha javították a hibát.
A különböző bankok mellett olyan népszerű oldalak is ki lehetnek téve a támadásoknak, mint a Dropbox, Soundcloud, Tumblr, Yahoo, Facebook. Elvileg a Gmail is gyarapíthatná a sort, de tekintve, hogy egy Google alkalmazott hozta napvilágra az információt feltételezhetjük, hogy a hamarabb meglépték a javításokat. Szerencse a szerencsétlenségben, hogy célirányos támadást (személyre szabva egy bank egy felhasználója ellen) nagyon nehéz kivitelezni, ugyanis a Heartbleed bug kihasználásával véletlenszerű adatokat nyernek a támadók, azokból ki kell hámozni mi az értékes információ.
Némi angoltudás mellett ezen a linken ellenőrizheti, hogy az Ön által használt oldal biztonságos volt-e.
Forrás: http://www.zdnet.com/heartbleed-serious-openssl-zero-day-vulnerability-revealed-7000028166/
Gabe
