Τι είναι το Heartbleed στο OpenSSL και τι σημαίνει για την ασφάλεια;
Ανακαλύφθηκε επίσης ότι το Heartbleed bug βρισκόταν σε μία έκδοση του λογισμικού OpenSSL που ήταν δύο χρόνων –και ενδεχομένως τη συγκεκριμένη ευπάθεια να μπορούσαν να την εκμεταλλεύονται για αρκετό διάστημα κάνοντας επιθέσεις κάποιοι που είχαν τους πόρους και το συμφέρον να το κάνουν.
Οι ειδικοί σε θέματα ασφάλειας της Sophos μας βοηθούν να καταλάβουμε το Heartbleed και τι σημαίνει, πως μπορούμε να προστατευτούμε καθώς και γιατί θα πρέπει να είμαστε ευγνώμονες στο λογισμικό ανοιχτού κώδικα, έστω και αν δεν είναι τέλειο.
Ο Chester Wisniewski, Ανώτερος Σύμβουλος σε θέματα ασφάλειας της Sophos εξηγεί τι είναι το Heartbleed και γιατί είναι σπουδαίο για την ασφάλεια στο Internet. O Wisniewski εξηγεί ότι το OpenSSL στέλνει ένα μικρό πακέτο δεδομένων εμπρός και πίσω μεταξύ web servers για να σιγουρέψει ότι η σύνδεση μεταξύ τους εξακολουθεί να λειτουργεί κανονικά, και αυτό ονομάζεται TLS Heartbeat.
Μόνο που τώρα αποδεικνύεται ότι οι web servers μπορούν να “παρασυρθούν” ώστε να στείλουν τεράστιες ποσότητες από δεδομένα που είναι αποθηκευμένα στο σύστημα ως απάντηση σε ένα Heartbeat ping –δεδομένα που θα μπορούσαν να περιλαμβάνουν passwords αλλά και κρυπτογραφημένα κλειδιά. O Wisniewski σε μία στήλη που υπέγραψε στο CNN.com περιέγραψε πως τα δύο τρίτα του συνόλου των ιστοσελίδων στο Internet είναι ευάλωτες στο Heartbleed.
“Ευτυχώς, οι περισσότερες μεγάλες υπηρεσίες στο Web έχουν ήδη εφαρμόσει διορθώσεις στους servers και στις υπηρεσίες τους που επηρεάζονταν από την ευπάθεια. Τα κακά νέα είναι ότι μικρότερες ιστοσελίδες καθώς και προϊόντα/ υπηρεσίες πολλών εταιρειών που βασίζονται στο OpenSSL ενδεχομένως να συνεχίσουν να λειτουργούν για πολλά χρόνια χωρίς να έχουν διορθώσει την ευπάθεια” λέει ο Wisniewski.
Ο Wisniewski δήλωσε επίσης στο BuzzFeed ότι ακόμα μεγαλύτερη ανησυχία προκαλεί το ερώτημα, ποιος θα μπορούσε να γνωρίζει την ύπαρξη της ευπάθειας πριν όλοι οι υπόλοιποι αντιληφθούν την ύπαρξη του, και ότι ο πιο πιθανός οργανισμός που ξέρουμε ότι θα μπορούσε να γνωρίζει είναι η Υπηρεσία Ασφάλειας των Ηνωμένων Πολιτειών (NSA), που έχει συμφέρον να εντοπίζει τέτοιου είδους ευπάθειες. “Ακριβώς αυτό είναι που κάνουν τα προγράμματα της NSA που διέρρευσαν: να εντοπίζουν ευπάθειες και να τις εκμεταλλεύονται χωρίς να το μαθαίνει κανείς” δήλωσε ο Wisniewski.
Σύμφωνα με τον Wisniewski, το “ανοικτό” τμήμα του OpenSSL σημαίνει ότι το λογισμικό συντηρείται από εθελοντές ερευνητές, και όχι από εμπορικά συμφέροντα. Και αυτό σημαίνει ότι θα πρέπει να επικεντρώσουμε την προσοχή μας στην υποστήριξη των ανοιχτών μερών του Internet στα οποία βασιζόμαστε για την ελευθερία της επικοινωνίας.
“Όλοι μας βασιζόμαστε στο Internet, σε κοινωνικό, πολιτικό ή οικονομικό επίπεδο. Τα δισεκατομμύρια δολάρια το χρόνο που κερδίζουν γίγαντες της τεχνολογίας δεν θα ήταν δυνατό να κερδίζονται χωρίς τα εκατομμύρια των ωρών που έχουν αφιερώσει εθελοντές για τη συντήρηση του ελεύθερου και ανοιχτού λογισμικού όπως είναι το OpenSSL , το Linux , ο Apache web server ή ο mail server Postfix συμπλήρωσε ο Wisniewski.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.