Luni, 7 aprilie, o vulnerabilitate majoră cunoscută sub numele de „Heartbleed” a fost găsită în populara bibliotecă criptografică OpenSSL, care este utilizată pe scară largă cu aplicații și servere web. Site-urile și serviciile de pe Internet sunt astfel ocupate cu corectarea acestei vulnerabilități și actualizarea certificatelor SSL pentru a-și proteja clienții. După cum sa spus, OpenSSL v1.0.1 până la 1.0.1f (inclusiv) sunt vulnerabile, iar OpenSSL 1.0.1g lansat pe 7 aprilie 2014 remediază această eroare.
Un extras de pe Heartbleed.com spune,
Heartbleed Bug este o vulnerabilitate gravă în populara bibliotecă de software criptografic OpenSSL. Această slăbiciune permite furtul informațiilor protejate, în condiții normale, de criptarea SSL/TLS folosită pentru securizarea internetului. SSL/TLS asigură securitatea comunicațiilor și confidențialitatea prin Internet pentru aplicații precum web, e-mail, mesagerie instantanee (IM) și unele rețele private virtuale (VPN).
Bug-ul Heartbleed permite oricui de pe Internet să citească memoria sistemelor protejate de versiunile vulnerabile ale software-ului OpenSSL. Acest lucru permite atacatorilor să asculte cu urechea comunicațiilor, să fure date direct de la servicii și utilizatori și să uzurpare identitatea serviciilor și utilizatorilor.
Verificați dacă site-ul dvs. sau telefonul Android este afectat de eroarea Heartbleed –
Există unele servicii care vă pot spune dacă site-ul căruia i-ați încredințat informațiile a fost sau este încă vulnerabil și când a fost actualizat certificatul acestuia.
Testul Heartbleed al lui Filippo Valsorda – filippo.io/Heartbleed
Introduceți o adresă URL sau un nume de gazdă pentru a vă testa serverul pentru Heartbleed (CVE-2014-0160). Puteți specifica un port ca acesta exemplu.com:4433
. 443 implicit.
Verificator LastPass Heartbleed – lastpass.com/heartbleed
Vedeți dacă un site este vulnerabil la Heartbleed. Arată software-ul serverului site-ului, spune dacă acesta a fost vulnerabil și dacă certificatul SSL este acum în siguranță și când au fost create ultima dată.
Chromebleed (extensia Google Chrome)
Afișează un avertisment dacă site-ul pe care îl navigați este afectat de eroarea Heartbleed. Verifică adresa URL a paginii folosind serviciul Filippo. Util dacă nu doriți să verificați site-urile manual.
Mashable a respectat o listă interesantă de site-uri bine cunoscute, care indică starea lor actuală, dacă au fost afectate și dacă ar trebui să vă schimbați parola.
Heartbleed Detector pentru Android –
Utilizatorii Android pot verifica cu ușurință dacă dispozitivul lor Android este vulnerabil la bug-ul HeartBleed cu o aplicație gratuită numită „Heartbleed Detector” de la Lookout Mobile Security. Aplicația determină ce versiune de OpenSSL folosește dispozitivul tău. Dacă dispozitivul dvs. rulează una dintre versiunile de OpenSSL afectate, apoi verifică dacă comportamentul vulnerabil specific este activat sau nu.
Cu toate acestea, dacă dispozitivul dvs. este vulnerabil, nu puteți lua nicio acțiune necesară, cu excepția cazului în care Google sau producătorul dispozitivului lansează un patch.
Etichete: AndroidSecuritate