Nežinoma, kaip plačiai ši klaida buvo išnaudojama (ir ar iš viso buvo), bet aišku, kad tai yra viena didžiausių saugumo problemų, kada nors ištikusių internetą.
Saugumo ekspertas Bruce'as Schneieris apibūdino ją kaip „katastrofišką“. Jis sakė: „Skalėje nuo 1 iki 10, sakyčiau, ją įvertinčiau 11-ka.“
BBC pabandė apibendrinti viską, ką reikia žinoti apie „Kraujuojančią širdį“ (angl. heartbleed).
Kas yra „Kraujuojančios širdies“ klaida?
Klaida yra atvirojo kodo programinėje įrangoje „OpenSSL“, skirtoje koduoti komunikaciją tarp naudotojo kompiuterio ir tinklo serverio – savotiškas slaptas rankos paspaudimas, pradedant saugų pokalbį.
Klaida taip pavadinta, kadangi ji paveikia plėtinį SSL („Secure Sockets Layer“), kurį inžinieriai vadina širdies dūžiu (angl. heartbeat).
Tai vienas iš internete plačiausiai naudojamų kodavimo įrankių, manoma, įdiegtas dviejuose trečdaliuose visų interneto svetainių. Jei naršyklėje matote nedidelį pakabinamos spynos simbolį, tikriausiai, naudojate SSL.
Savo tinklaraštyje vyriausiasis „Co3 Systems“ technologas Bruce'as Schneieris rašo: „Heartbleed“ klaida leidžia bet kam perskaityti pažeidžiama „OpenSSL“ versija apsaugotų sistemų atmintį. Tai yra, slaptus raktus, naudojamus paslaugos tiekėjo identifikavimui ir srauto šifravimui, naudotojų vardus, slaptažodžius ir turinį. Tai leidžia užpuolikams šnipinėti ryšį, vogti duomenis tiesiai iš tarnybų bei naudotojų ir apsimetinėti paslaugų tiekėjais ar naudotojais.“
Klaida tokia rimta, kad jai buvo sukurtas tinklalapis Heartbleed.com, kuriame dėstomi visi problemos aspektai.
Ar turėčiau pasikeisti slaptažodžius?
Kai kurie saugumo ekspertai sako, kad būtų išmintinga tai padaryti, nors nesutariama, kada tai reikėtų atlikti.
Daugelis didžiųjų technologijų kompanijų, tokių kaip „Facebook“ ir „Google“, pažeidžiamumą jau ištaisė. „Google“ atstovė Dorothy Chou pareiškė, kad šios kompanijos paslaugų naudotojams slaptažodžių keisti nereikia. Šaltinis iš šios kompanijos nurodė, kad jie pažeidžiamumą ištaisė dar iki jo paviešinimo ir nemano, kad iki tol programišiai būtų jį išnaudoję.
Kai kas nurodo, kad bus daugybė mažesnių svetainių, dar nesusitvarkiusių su problema. Jų atveju slaptažodžių keitimas gali padaryti daugiau žalos nei duoti naudos, nes tada užpuolikams būtų prieinamas ir senasis, ir naujasis slaptažodis.
Bet dabar, kai pažeidžiamumas plačiai žinomas, kodą pataisys ir mažesnės svetainės, tad daugumai žmonių tikriausiai vertėtų pamąstyti apie slaptažodžių keitimą.
Kompiuterijos mokslininkas profesorius Alanas Woodwardas teigė, kad pakeisti slaptažodį derėjo praėjusios savaitės pabaigoje.
Mikko Hypponenas iš saugumo kompanijos „F-Secure“ suteikė panašų patarimą: „Pasirūpinkite svarbiausiais slaptažodžiais. Gal pakeiskite juos dabar pat, gal per savaitę. Ir jei rūpinatės savo kreditinėmis kortelėmis, labai atidžiai tikrinkite kreditinių kortelių ataskaitas.“
Kaip pasirinkti saugų slaptažodį?
Pažeidžiamumo išnaudojimas nebuvo susijęs su silpnais slaptažodžiais, bet dabar, kai pasigirsta skatinimų pasikeisti visus egzistuojančius, daugelis prisimena, kad juos reikia pasirinkti kuo saugesnius.
Žmonės turėtų reguliariai keisti savo slaptažodžius, pažymi prof. A.Woodwardas, ir jie turėtų pasirinkti kažką nesusijusio su jais pačiais (taigi naminio gyvūno vardas netinka). Geriau naudoti žodžius, kurių nėra žodynuose, o taip pat patartina maišyti raides ir skaičius.
Žmonėms, kurie slaptažodžius dažnai pamiršta, patariama naudotis programomis, saugančiomis ir tvarkančiomis visus jūsų kompiuterio, programų ir tinklų slaptažodžius bei PIN kodus. Jie taip pat gali generuoti slaptažodžius ir automatiškai įvesti naudotojo vardą ir slaptažodį interneto svetainių formose.
Tokios programos saugo slaptažodžius šifruotuose failuose, kuriuos galima pasiekti tik naudojant pagrindinį slaptažodį. Tokių programų pavyzdžiai – „KeePass“, „LastPass“ ir „1Password“.
Kai kurios firmos siūlo slaptažodžių alternatyvas.
Mobiliųjų įrenginių gamintojai, tokie kaip „Apple“ ir „Samsung“, integruoja pirštų atspaudų skaitytuvus, leidžiančius naudotis telefonu ir kai kuriomis jo funkcijomis tiesiog nuskaičius piršto atspaudą.
Kurios svetainės pažeistos?
Manoma, kad yra maždaug pusė milijono pažeidžiamų svetainių, tad jų visų nevardinsime, bet yra naujų svetainių, siūlančių patikrinti, ar naudojamos svetainės pažeidžiamos.
Pavyzdžiui, sąrašus sudarė „LastPass“ ir „Mashable“ svetainės. O saugumo kompanija „Kaspersky“ nukreipia žmones į „Heartbleed“ testą.
Nors „Facebook“ ir „Google“ tikina savo paslaugas pataisę, tačiau dar likę daug tinklalapių, kurie turės atlikti tą patį.
Bruce Schneier paragino interneto kompanijas gauti naujus sertifikatus ir raktus interneto srauto kodavimui. Taip pavogti raktai taptų beverčiai.
Koks blogiausias scenarijus?
Saugumo kompanija „Kaspersky“ pastebi, kad pasinaudojimas „Heartbleed“ spraga nepalieka jokių pėdsakų, tad neįmanoma sužinoti, ar į serverį buvo įsilaužta ir kokie duomenys buvo pavogti.
Saugumo ekspertai taip pat pastebi, kad programišių grupės atlieka automatinius interneto skenavimus, ieškodamos „OpenSSL“ naudojančių serverių.
O „Kaspersky“ nurodo turintis nepatvirtintų duomenų, kad grupės, manoma, susijusios su valstybės finansuojamu kibernetiniu šnipinėjimu, vykdė tokius skenavimus vos paskelbus apie naują pažeidžiamumą.
Kodėl problema iškilo tik dabar?
Pažeidžiamumą pirmieji pastebėjo „Google Security“ ir Suomijos saugumo firma „Codenomicon“, nurodžiusi, kad jis atsirado dėl programavimo klaidos.
Ši klaida atrasta dėl to, kad „OpenSSL“ yra atviro kodo programa, tad tyrėjai galėjo nuodugniai išstudijuoti jos kodą. Tačiau tokios kodo bibliotekos yra nežmoniškai sudėtingos, todėl tokio pobūdžio problemų aptikimas gali užtrukti itin ilgai.
„Tai buvo tokia netikėta problema, kad tyrėjai jos specialiai net neieškojo“, – sakė prof. A.Woodwardas.
Ar pažeidžiamumas susijęs su JAV ir Didžiosios Britanijos vyriausybinio šnipinėjimo atskleidimu? Nėra tiesioginių įkalčių, nors paaiškėjus detalėms, daug spekuliuojama, kad Nacionalinio saugumo agentūra (NSA) tyrė šifravimo nulaužimo būdus.
Kaip buvo iš tiesų, ko gero, niekada nesužinosime – žvalgybos politika nėra viešai komentuojama. Visgi panašu, kad klaida nebuvo tyčinė. „Veikiau sumaištis, o ne sąmokslas“, – sakė A.Woodwardas.