Reklama

Artykuł

Ogromna dziura w zabezpieczeniach wielu serwerów, 65% z nich narażona na kradzież danych użytkowników

Ogromna dziura w zabezpieczeniach wielu serwerów, 65% z nich narażona na kradzież danych użytkowników
Paweł Kański

Paweł Kański

  • Zaktualizowany:

Ponad połowa serwerów w internecie, także te na których pracuje Wasz bank, ulubiony sklep czy blog, przez dwa lata narażona była (i prawdopodobnie wciąż jest) na “podsłuchiwanie” i kradzież danych. Wszystko przez lukę w zabezpieczeniach protokołów OpenSSL z których korzysta większość serwerów w internecie.

Na czym polega zagrożenie? OpenSSL to biblioteka kluczy oraz szyfrów, które umożliwiają szyfrowanie i deszyfrowanie informacji jakie przepływają przez dany serwer, np. podczas logowania się użytkownika na stronę sklepu internetowego. Jeśli ktoś wiedział o tej dziurze w zabezpieczeniach, mógł w łatwy sposób odczytać wymianę informacji pomiędzy serwerami jakiejś usługi, a użytkownikiem. Mogą to być np. dane dotyczące kart kredytowych, dane logowania do sklepu czy inne, wrażliwe dane pochodzące z prywatnych kont np. na Facebooku. Co gorsza – kradzież takich informacji nie zostawia na serwerze żadnych śladów i dlatego nie wiadomo, które z serwerów mogły paść ofiarami takich ataków. Dziura o której piszemy zyskała już nawet przydomek “heartbleed“.

Co można zrobić, by zabezpieczyć się przed ewentualnym atakiem? Niestety nic. Cała odpowiedzialność spoczywa na administratorach serwerów. Jedyne co mogą oni zrobić w tej chwili to aktualizacja protokołu OpenSSL do najnowszej wersji, która pozbawiona jest krytycznej luki. Na wszelki wypadek możemy tylko zmienić hasło do serwisów z których korzystamy.

O komentarz spytaliśmy się specjalistę od bezpieczeństwa internetowego w Softonic. Zapewnił nas, że strona Softonic.pl jest bezpieczna, a nasze serwery mają zaktualizowaną wersję OpenSSL. Jeśli chcecie sami sprawdzić czy serwis z którego korzystacie jest bezpieczny, możecie zrobić to na stronie http://filippo.io/Heartbleed/. Wystarczy wpisać tam adres strony, która może być potencjalnie narażona na atak. W zamian otrzymamy informację, czy jest ona już bezpieczna. Obecnie usługa ta może działać powoli z powodu dużej ilości zapytań.

Więcej szczegółowych informacji na ten temat możecie znaleźć na specjalnie przygotowanej stronie tutaj.

Zobacz także:

Źródło: Techcrunch, Heartbleed


//

Paweł Kański

Paweł Kański

Najnowsze od Paweł Kański

Editorial Guidelines