(…ή αλλιώς τι συμβαίνει όταν “ραγίζει η καρδιά ενός website και πόσο θα πρέπει να ανησυχείτε)

Ένα κένο στην ασφάλεια των websites που ακούει στο όνομα “HeartBleed Bug”, έχει κάνει αρκετά sites, ανάμεσα σε αυτά το Yahoo αλλά και η επίσημη ιστοσελίδα της NASA, να πονοκεφαλιάσουν με την ύπαρξή του και αποτέλει, σύμφωνα τους ειδικούς, μια από τις μεγαλύτερες απειλές που έχει αντιμετωπίσει ποτέ το Internet. Εάν έχετε εγγραφεί σε κάποιο μολυσμένο site, τότε μπορεί τα προσωπικά σας στοιχεία να έχουν παραβιαστεί, δίνοντας την δυνατότητα σε “απατεώνες” να αλιεύσουν στοιχεία όπως για παράδειγμα κωδικούς για πιστωτικές κάρτες.

Η ομάδα ασφαλείας Codenomicon, που ανήκει στην Google, δήλωσε πως η μόλυνση μπορεί να γίνει είτε άμεσα είτε έμμεσα. Ακόμα χειρότερα, δεν είναι 100% στην ευχέρεια του  χρήστη να κάνει κάτι ώστε να αποφύγει τα χειρότερα σενάρια, αφού πρώτα  θα πρέπει να γίνουν τα απαραίτητα update στους server. Εφόσον οι εταιρείες κάνουν τις απαραίτητες ενέργειες, τότε θα μπορέσετε και εσείς να εξασφαλίσετε τα προσωπικά σας στοιχεία.
Τα ασφαλή website (τα οποία περιέχουν το https στο url) αποτελούν το 56% του συνολικού αριθμού των website, το οποίο σημαίνει ότι περίπου τα μισά ενεργά website, είναι ευάλωτα στο εν λόγω bug. Θεωρητικά, κάθε επίδοξος “κυβερνοαπατεώνας”, θα μπορούσε να εκμεταλλευτεί το κενό ασφαλείας και να έχει πρόσβαση στα προσωπικά σας δεδομένα. Το ευχάριστο της υπόθεσης είναι πως, σύμφωνα με τις δηλώσεις της Codenomicon, δεν φαίνεται να έχουν αναφερθεί τέτοιου είδους επιθέσεις και ότι το κενό ανακαλύφθηκε στα ερευνητικά εργαστήρια. Αυτό βέβαια δεν αποκλείει το ενδεχόμενο να έχουν γίνει κάποιες επιθέσεις στις οποίες, οι επιτήδειοι, κατάφεραν και έσβησαν τα ίχνη τους, γι’αυτό καλό θα ήταν να ακολουθήσετε κάποια απλά βήματα ώστε να μην βρεθείτε προ εκπλήξεως.

 

  • Αρχικά θα πρέπει να ελέγξετε αν έχουν επηρρεαστεί τα site που χρησιμοποιείτε. Επειδή είναι μια ιδιαίτερα βαρετή και κουραστική διαδικασία το να διαβάσετε την λίστα με τα  υπόλογα site, η εταιρεία LastPass ανέπτυξε τον HeartBleed Checker, ο οποίος ελέγχει το url που θα του δώσετε εάν είναι ευάλωτο και εάν υπάρχει κάποια επιδιόρθωση.
  • Σε δεύτερη φάση καλό θα πρέπει να αλλάξετε τους κωδικούς στους κύριους λογαριασμούς σας, όπως είναι web-banking, email, social media, ακόμα και αν οι υπεύθυνοι διαχειριστές σας  εξασφαλίσουν ότι το κενό έχει επιδιορθωθεί. Στην περίπτωση που δεν έχει γίνει κάποια επιδιόρθωση στους servrer κάποιου site, τότε το να αλλάξετε τους κωδικούς ίσως να μην είναι τόσο αποτελεσματικό μιας και οι hackers μπορούν να έχουν πρόσβαση όποτε θέλουν. Παρολαυτά, επικοινωνήστε με τους υπεύθυνους να σας  ενημερώσουν για το πότε θα είναι ασφαλές το site τους.
  • Μεγάλη προσοχή θα πρέπει να δοθεί σε λογαριασμούς της Yahoo, λόγω της μεγάλης ευαισθησίας των δεδομένων που καταχωρούνται, γι’αυτό ήδη η εταιρεία ενημέρωσε πως έχει επιδιορθωθεί το κενό, ώστε οι χρήστες, που χρησιμοποιούν το Yahoo Mail αλλά και τις υπόλοιπες υπηρεσίες, να προχωρήσουν σε ανανέωση των κωδικών τους. Το Facebook και το Twitter χρησιμοποιούν SSL servers, το οποίο δεν διευκρινίζεται πόσο ευάλωτοι είναι αλλά το Facebook προληπτικά εξέδωσε αναφορά για patch  όπως επίσης και η Google. Site όπως το WordPress και το Amazon Web Services δεν ενημέρωσαν γα κάποια επιδιόρθωση αλλά πέρασαν σε update του OpenSSL. Υπάρχουν και κάποια site όπως το AOL, FourSquare και το EverNote τα οποία φαίνεται πως είναι άτρωτα.

Όποια και αν είναι τα site που είστε εγγεγραμμένος και ανεξάρτητα από τις εγγυήσεις που σας δίνουν για την ασφάλειά τους, καλό θα ήταν να ακολουθήσετε τις παραπάνω οδηγίες και να κάνετε έναν έλεγχο στις τραπεζικές σας κινήσεις, μη βρεθείτε προ δυσάρεστων εκπλήξεων.

beast2Το “Τέρας” δίπλα σας, με έναν κλίκ!!!

Πόσο επικίνδυνο είναι το HeartBleed…
Tagged on: