Αναζήτηση
Το πρόβλημα επιτρέπει στους επιτήδειους να κλέψουν τα κλειδιά κρυπτογράφησης που θωρακίζουν τις ηλεκτρονικές συναλλαγές. Οι ερευνητές που το εντόπισαν εκτιμούν ότι το Heartbleed επηρεάζει έως και τα δύο τρίτα των ιστότοπων σε όλο τον κόσμο.
«Η σωστή λέξη είναι «καταστροφή». Στην κλίμακα από το 1 έως το 10 θα βαθμολογούσα το πρόβλημα με 11» είπε ο ειδικός σε θέματα ασφάλειας στο Διαδίκτυο Μπρους Σνάγιερ.
Το μόνο που θα καταφέρουν είναι να επιδεινώσουν το πρόβλημα σε περίπτωση που οι υπηρεσίες που χρησιμοποιούν δεν έχουν μπαλώσει ήδη την τρύπα ασφάλειας αναβαθμίζοντας το λογισμικό τους. «Αν δεν το έχουν κάνει, η αλλαγή του password θα μπορούσε να αυξήσει την πιθανότητα υποκλοπής και του νέου κωδικού» εκτίμησε ο Μαρκ Σλόσερ, ερευνητής ασφάλειας στην εταιρεία Rapid7.
Οι χρήστες μπορούν να ελέγξουν αν ένα σάιτ παραμένει εκτεθειμένο επισκεπτόμενοι τη διεύθυνση http://filippo.io/Heartbleed/.
Μέχρι σήμερα δεν έχει αποδειχθεί ότι το Heartbleed, το οποίο υπάρχει τουλάχιστον από το 2012, έχει γίνει αντικείμενο εκμετάλλευσης από επιτήδειους.
Η ανακάλυψη, ο συναγερμός και η άμεση αναβάθμιση των λογισμικών
Το κενό ασφαλείας στο λογισμικό OpenSSL ανακαλύφθηκε την περασμένη Δευτέρα από ερευνητές της Google και της φινλανδικής εταιρείας Codenomicon κατά τη διάρκεια τυχαίων ελέγχων.
Σύμφωνα με τους ερευνητές, επί δύο και πλέον χρόνια οι κυβερνοεγκληματίες είχαν τη δυνατότητα να βγάλουν αντίγραφα από τα κλειδιά κρυπτογράφησης των ηλεκτρονικών επικοινωνιών και να κλέψουν τα ονόματα χρήστη, τους κωδικούς πρόσβασης και άλλες ευαίσθητες πληροφορίες των ανθρώπων που χρησιμοποιούσαν τα εκτεθειμένα σάιτ (άγνωστο ποια και πόσα).
Το Heartbleed δημιουργεί μια τρύπα στο πρωτόκολλο SSL/TLS, μια εξαιρετικά διαδεδομένη τεχνολογία κρυπτογράφησης που οι περισσότεροι χρησιμοποιούμε σχεδόν καθημερινά σε ιστότοπους ηλεκτρονικών αγορών, τραπεζικών συναλλαγών κ.λπ.
Το εν λόγω πρωτόκολλο, το οποίο υποτίθεται ότι εγγυάται την ασφάλεια των δεδομένων που ανταλλάσσουμε, ενεργοποιείται κάθε φορά που στη γραμμή διευθύνσεων του προγράμματος περιήγησης (browser) βλέπουμε το εικονίδιο κλειδώματος (το χαρακτηριστικό «λουκετάκι») και όταν η διεύθυνση που έχουμε επισκεφθεί αρχίζει με το πρόθεμα https (π.χ. https://www.facebook.com/ όταν πλοηγούμε στο facebook μέσω ασφαλούς σύνδεσης).
Το Heartbleed ουσιαστικά αχρηστεύει αυτή την κρυπτογράφηση, επιτρέποντας στους κυβερνοεγκληματίες να υποκλέψουν τα δεδομένα μας. Το πρόβλημα εμφανίστηκε μόνο σε μία εκδοχή του SSL/TLS, το OpenSSL, το οποίο όμως είναι το πιο ευρέως διαδεδομένο σύστημα κρυπτογράφησης.
Oπως και άλλα παρόμοια κενά ασφαλείας που εντοπίστηκαν πρόσφατα, το Heartbleed πέρασε απαρατήρητο για τουλάχιστον δύο χρόνια. Ορισμένοι ερευνητές υποστηρίζουν ότι το πρόβλημα προκάλεσε ένας προγραμματιστής κατά τη διάρκεια μιας εργασίας ρουτίνας που εκτέλεσε την παραμονή της Πρωτοχρονιάς του 2012.
Η ανακάλυψη του Heartbleed ανάγκασε χιλιάδες ιστότοπους να προχωρήσουν άμεσα σε αναβάθμιση του λογισμικού τους για να προστατεύσουν τα δεδομένα των χρηστών.
Το υπουργείο Οικονομικών του Καναδά έκλεισε την πρόσβαση στον ιστότοπο υποβολής φορολογικών δηλώσεων προκειμένου «να διαφυλαχθεί η ακεραιότητα των πληροφοριών που έχουμε στην κατοχή μας», όπως ανακοίνωσε. Το λουκέτο μπήκε μόλις τρεις εβδομάδες πριν από τη λήξη της προθεσμίας υποβολής των δηλώσεων επιστροφής φόρου.
Στον αντίποδα, πολλές μεγάλες εταιρείες του Διαδικτύου υποστήριξαν ότι δεν κινδύνευσαν ποτέ από την τρύπα ασφαλείας διότι δεν χρησιμοποιούν το OpenSSL ή επειδή πρόλαβαν να θωρακιστούν εγκαίρως.
Η Google, το facebook και η Yahoo! επιβεβαίωσαν ότι επηρεάστηκαν από το κενό στο OpenSSL και διόρθωσαν άμεσα τα συστήματά τους.
Ειδικοί στην ψηφιακή ασφάλεια εκτιμούν ότι κυρίως οι χρήστες των υπηρεσιών της Yahoo! πρέπει να αλλάξουν τους κωδικούς πρόσβασής τους διότι η εταιρεία δεν είχε αναβαθμίσει πλήρως το λογισμικό της αμέσως μετά την ανακάλυψη του προβλήματος. Το βράδυ της περασμένης Τρίτης αρκετοί ερευνητές ασφαλείας ανέφεραν ότι ήταν σε θέση να υποκλέψουν ονόματα χρήστη και κωδικούς πρόσβασης από τις πλατφόρμες της Yahoo!
Αντιθέτως, η Google είναι τόσο σίγουρη για την ασφάλεια των υπηρεσιών της ώστε ανακοίνωσε ότι οι χρήστες δεν χρειάζεται να αλλάξουν τα passwords που χρησιμοποιούν στο Gmail, στο YouTube και στις υπόλοιπες υπηρεσίες της.
Το facebook, το οποίο αριθμεί περισσότερους από 1,2 δισ. χρήστες, επίσης εκτίμησε ότι δεν έχει επηρεαστεί από το Heartbleed. Το twitter και ο γίγαντας του ηλεκτρονικού εμπορίου Amazon ανακοίνωσαν ότι δεν είχαν εκτεθεί στον κίνδυνο. Το eBay, το οποίο ελέγχει την υπηρεσία πληρωμών PayPal, ενημέρωσε ότι οι περισσότερες υπηρεσίες του δεν αντιμετώπισαν πρόβλημα.
Οι προκλήσεις της ασφάλειας
Μετά τις αποκαλύψεις για τις μαζικές ηλεκτρονικές παρακολουθήσεις πολιτών από την NSA, το κενό ασφαλείας Heartbleed αποτέλεσε μία ακόμη – ιδιαιτέρως οδυνηρή – υπενθύμιση ότι το Διαδίκτυο εξακολουθεί να είναι ευάλωτο σε παντός είδους κινδύνους.
Τα ψηφιακά συστήματα είναι σήμερα πανταχού παρόντα: στο σπίτι – από τους υπολογιστές μέχρι τις έξυπνες τηλεοράσεις -, στον δρόμο – από τις ταμπλέτες και τα smartphones μέχρι τις πιστωτικές κάρτες -, στις επιχειρήσεις και στη δημόσια διοίκηση. Λίγοι είναι αυτοί που έχουν επιλέξει να τα αποφύγουν.
Οι υπόλοιποι έχουμε αποφασίσει, ως κοινωνία, να οικοδομήσουμε έναν κόσμο στον οποίο η ψηφιακή τεχνολογία θα διαδραματίζει πρωταρχικό ρόλο. Οσο περνούν τα χρόνια αποθηκεύουμε όλο και περισσότερες πληροφορίες στο Διαδίκτυο και στις συσκευές που μας περιβάλλουν.
Οι περισσότερες υπηρεσίες είναι αλληλένδετες, ενώ πολλοί από εμάς συνδεόμαστε σε αυτές χρησιμοποιώντας το ίδιο password, γεγονός που καθιστά τα δεδομένα μας κάτι περισσότερο από εκτεθειμένα.
Σαν να μην έφθανε αυτό, η ασφάλεια περνά συχνά σε δεύτερη μοίρα και από τις ίδιες τις εταιρείες τεχνολογίας, οι οποίες θα έπρεπε να φυλάνε ως κόρην οφθαλμού τα δεδομένα που τους εμπιστευόμαστε (από τα οποία συχνά θησαυρίζουν).
Οι ειδικοί εκτιμούν ότι ενώ είναι εφικτή η περαιτέρω θωράκιση του Διαδικτύου, οι εταιρείες την αποφεύγουν καθώς απαιτεί μακροπρόθεσμες επενδύσεις στην εκπαίδευση των μηχανικών λογισμικού και στη βελτίωση των συστημάτων και των υποδομών που χρησιμοποιούν.
«Ακολουθούμε αυστηρά πρότυπα ασφαλείας σε τομείς όπως οι αερομεταφορές, αλλά δεν είμαι σίγουρος ότι θα τα εφαρμόζαμε κάπου αλλού» είπε στους «Νιου Γιορκ Τάιμς» ο Μάθιου Γκριν, καθηγητής στο Πανεπιστήμιο Τζονς Χόπκινς, ο οποίος ειδικεύεται στην κρυπτογράφηση.
Αυστηρότερες προδιαγραφές ασφαλείας στο Διαδίκτυο θα απαιτούσαν από τους προγραμματιστές να αυξήσουν σημαντικά τον χρόνο που δαπανούν για να κάνουν δοκιμές στα συστήματά τους, κάτι που, κατά τα φαινόμενα, δεν θέλουν να κάνουν.
Σύμφωνα με πρόσφατη έρευνα της εταιρείας Risk Based Security, το 2013 εντοπίστηκαν περισσότερες από 2.000 παραβιάσεις ασφαλείας δεδομένων. Οι επιθέσεις ήταν μεν λιγότερες από αυτές που σημειώθηκαν το 2012 (περίπου 3.000), αλλά προκάλεσαν πολύ μεγαλύτερη ζημιά: περίπου 814 εκατ. αρχεία δεδομένων διέρρευσαν μέσα στο 2013, αριθμός διπλάσιος από κάθε άλλη προηγούμενη χρονιά.
Η τρύπα στο Ιντερνετ σε πέντε ερωτήσεις και απαντήσεις
Ε.: Τι είναι το Heartbleed;
A.: Πρόκειται για ένα σημαντικό κενό ασφαλείας που επηρεάζει την κρυπτογράφηση των ευαίσθητων πληροφοριών στο Διαδίκτυο. Οταν κάνετε μια ηλεκτρονική συναλλαγή (τραπεζική, εμπορική κ.ά.), μέρος της ασφάλειας των δεδομένων σας εγγυάται ένα πρωτόκολλο με το όνομα SSL, μέσω του οποίου κρυπτογραφούνται οι πληροφορίες που διακινούνται. Το Heartbleed δίνει τη δυνατότητα στους κυβερνοεγκληματίες να κλέψουν τις πληροφορίες αυτές (κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κ.λπ.).
Ε.: Πώς δημιουργήθηκε το πρόβλημα;
Α.: Από ανθρώπινο λάθος περίπου πριν από δύο χρόνια δημιουργήθηκε μια τρύπα ασφαλείας στο λογισμικό OpenSSL, μία εκδοχή του πρωτοκόλλου SSL μέσω της οποίας διακινούνται ευαίσθητα δεδομένα. Πολλά σάιτ χρησιμοποιούν το OpenSSL για να κρυπτογραφήσουν τις πληροφορίες που στέλνουν και λαμβάνουν. Το κενό ασφαλείας ανακαλύφθηκε τυχαία αυτή την εβδομάδα.
Ε.: Εχουν κλαπεί τα δεδομένα μου;
A: Δεν υπάρχουν αποδείξεις ότι εκλάπησαν πληροφορίες χρηστών ή εταιρειών εξαιτίας του Heartbleed. Ωστόσο, οι ειδικοί στην ψηφιακή ασφάλεια ανησυχούν ιδιαίτερα διότι το πρόβλημα άφησε εκτεθειμένο το Διαδίκτυο για δύο χρόνια.
Ε.: Αφού το πρόβλημα εντοπίστηκε χρειάζεται να ανησυχώ;
Α.: Εξαρτάται από τα σάιτ που επισκέπτεστε. Εναπόκειται στο καθένα ξεχωριστά να αναβαθμίσει το λογισμικό του και να κλείσει την τρύπα ασφαλείας. Για να ελέγξετε αν ένα συγκεκριμένο σάιτ παραμένει ευάλωτο επισκεφθείτε τη διεύθυνση http://filippo.io/Heartbleed/.
Ε.: Πώς μπορώ να προστατευθώ;
Α.: Θα πρέπει να αλλάξετε τους κωδικούς πρόσβασης σε όλες τις διαδικτυακές υπηρεσίες που χρησιμοποιείτε. Ωστόσο, αυτό πρέπει να γίνει μόνο όταν οι υπηρεσίες αυτές αναβαθμίσουν το λογισμικό τους και θωρακιστούν απέναντι στο πρόβλημα.
