Mis on Heartbleed ja kuidas ennast kaitsta?

OpenSSL-Heartbleed-vulnerability-CVE-2014-0160

7. aprillil teatas Codenomiconi ning Google-i turvaspetsialistid, et maailma levinumas turvaprotokollis on avastatud kriitiline turvaauk, mis seab ohtu 2/3 kõigist Interneti veebilehtedest. Antud postituses kirjutan ma sellest sellest turvaaugust lähemalt ning jagan ka nõuandeid, mida enda kaitseks ette võtta.

gmailMaailma levinumas turvaprotollis on avastatud kriitiline turvaauk, mis seab ohtu 66% veebilehtede turvalisuse. Antud turvaauk, mis kannab nime Heartbleed on võimaldanud kräkkeritel jälgida veebilehtede kasutajate ning serverite vahelist krüpteeritud andmevahetust viimase kahe aasta jooksul.

Heartbleed turvaauk on levinud veebilehtedel, mis kasutavad OpenSSL-i turvaprotokolli versioone 1.0.1 kuni 1.0.1f.  Ohustatud veebilehtede hulgas on Netcrafti uuringute kohaselt üle poole miljoni veebilehe. Tänase hommiku seisuga on Heartbleed mõjutanud selliseid veebilehti nagu Facebook, Google, Gmail,  Yahoo, Yahoo Mail,  Tumblr, Dropbox, SoundCloud ja paljusid teisi. Täispika nimekirja mõjutatud veebilehtedest, leiate GitHub-st.

AlienVault Labs-i juhi, Jamie Blasco, sõnul ei seisne probleem ainult selles, et Heartbleed teeb krüpteeringu lihtsamini  muugitavaks, vaid ka selles, et nüüd peavad teenuspakkujad ning ettevõtted muutma kõiki krüpteerimisvõtmeid ning sertifikaate, mis kasutasid aukliku turvasoklite kihti. Ning selle jaoks võib kuluda päris kaua aega. Õnneks on olemas juba uus OpenSSL-i versioon, mis kriitilise turvaaugu kinni lapib ning loodetavasti selle nädala lõpuks pole enam kasutajate andmed ohustatud.

heartbleed-openssl-bugMida Heartbleed endast ette kujutab?

Alustuseks teeme selgeks, mis on SSL ja kuidas ta toimib: iga kord, kui kasutaja sisestab veebilehele andmed (kasutaja andmed, paroolid), saadetakse need serverile. Kuid need andmed saadetakse turvalisuse tagamiseks kasutades infoturbeprotokolli, mis kannab nime Secure Socket Layer (turvasoklite kiht) ehk SSL. Antud protokollist on loodud mitmeid versioone, millest kõige laialt levinum on OpenSSL, mida kasutavad 2/3 internetis asuvatest veebilehtedest.

Heartbleed on OpenSSL-s olev turvaauk, mida kräkkerid võisid kasutada et saada ligipääsu kasutajate kirjavahetusele, kasutajanimede, paroolide ning kõige muu, mis saadetakse veebiserverile aukliku turvaprotokolli vahendusel. Samuti võimaldab Heartbleed varastada ka privaatvõtmeid, mida kasutatakse andmete krüpteerimiseks ning dekrüpteerimiseks. Kräkker võib jälgida andmevahetust, koguda paroole, kasutajate andmeid, muud salajast infot ning vajaduse korral saab ta ka võltsida andmevahetuses olevaid faile.


Kuidas ennast kaitsta?

Heartbleed on tõsine probleem ning sellesse tuleks suhtuda väga tõsiselt. Kuigi meie, kui tavakasutajad, ei saa midagi suurt ette võtta (see las jääb suurte firmade probleemiks), saame me siiski midagi enda andmete kaitseks ette võtta.

  • Ärge külastage Heartbleed-st mõjutatud veebilehti. Jälgige oma igapäevaselt külastatavate veebilehtede uudiseid, vaadake üle kas nad olid turvaaugu poolt mõjutatud või mitte. Kaks head allikat on GitHub-i leht, kus on välja toodud Alexa TOP 1000 veebilehe analüüs ning veidi mugavam viis jälgimiseks on Mashable artikkel, kus on ka öeldud, kas tasub kasutaja parooli muuta või mitte. Internetis on juba saadaval paar veebikeskkonda, mis võimaldavad kontrolli läbi viia veidi mugavamalt. Nendeks on Lastpass-i loodud Heartbleed Checker ning Filippo Valsorda loodud veebileht. Mina juba tegin pisikest uuringut, ning võin teile kinnitada, et   Swedbank, Nordea, SEB bleeding-heart e-pangad ning eesti.ee on täiesti ohutud kasutamiseks. Kui eelpool mainitud viisid teile ei sobi, siis võite paigaldada Chrome veebilehitsejale pistikprogrammi, mis annab teile automaatselt teada, kas veebilehe süda veritseb või mitte.
  • Kui te näete, et veebilehel on juba uuendatud turvaprotokolli, siis palun muutke sellel kasutatavat parooli. NB! Ärge tehke seda enne, kui turvaauk on veebilehel kinni lapitud!
  • Palun jälgige väga hoolikalt järgnevate nädalate jooksul, ega teie veebilehtede, e-pangakontodega midagi ebatavalist ei toimu.

Seniks aga, olge valvsad ning jälgige arvutimaailma uudiseid. Kui te saite sellest postitusest midagi kasulikku teada, siis palun jagage seda, teile meelepärases sotsiaalvõrgustikus.

Allikad

HuffingtonPost  http://www.huffingtonpost.com/2014/04/08/heartbleed-66-percent_n_5112793.html

Huffington Post http://www.huffingtonpost.com/2014/04/09/heartbleed-protect_n_5117268.html

Mashable http://mashable.com/2014/04/08/major-security-encryption-bug-heartbleed/

Mashable http://mashable.com/2014/04/09/heartbleed-what-to-do/

Krebs on Security http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/

Heartbleet http://heartbleed.com/

Advertisements

Kirjuta kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s