Daily Comment / Science & Technology

Enter Heartbleed UPDT

Πριν λίγα εικοσιτετράωρα ο χώρος της πληροφορικής ταρακουνήθηκε από μια άσχημη είδηση, ένα συμβουλευτικό δελτίο για την ύπαρξη κενού ασφαλείας στον κώδικα OpenSSL, ενός σφάλματος που ονομάστηκε “Heartbleed” και επιτρέπει σε κάποιον να συλλέξει δεδομένα από την μνήμη ενός διακομιστή την ώρα της λειτουργίας του. Τι σημαίνει πρακτικά αυτό; Όποια εταιρεία η οργανισμός είχε ένα server που «έτρεχε» το λογισμικό ήταν ξαφνικά σε κρίσιμη, από πλευράς ασφάλειας κατάσταση. Για να καταλάβουμε την σοβαρότητα και την έκταση του προβλήματος μπορούμε να αναλογιστούμε ότι 2 στους 3 διακομιστές του Internet βασίζονται στην γλώσσα OpenSSL, αυτό μας κάνει κάποιες δεκάδες εκατομμύρια μηχανήματα σε παγκόσμια κλίμακα εκτεθειμένα στο φαινόμενο.

Με απλά λόγια για την καθημερινότητα μας, κάθε φορά που γράφουμε η δηλώνουμε έναν κωδικό και όνομα χρήστη σε μια ιστοσελίδα προκειμένου να εγγραφούμε σε κάποια υπηρεσία, να κάνουμε Log in στο Facebook, η να πραγματοποιήσουμε κάποια άλλη «ασφαλή» συναλλαγή, ο υπολογιστής μας συνδέεται με τον κεντρικό Server της εταιρείας χρησιμοποιώντας πρωτόκολλα επικοινωνίας ώστε να εξασφαλιστούν τα δεδομένα μας, σε αυτό το σημείο υπάρχει το κενό, δίνοντας την δυνατότητα καταγραφής τους από τρίτους σε πραγματικό χρόνο. Ακόμη χειρότερα σύμφωνα με τελευταίες αναφορές το πρόβλημα χρονολογείται εδώ και 2 χρόνια, ενώ δεν έχει γίνει σαφές για πόσο καιρό ήταν γνωστό. Ένα μήνυμα που αναρτήθηκε στο blog του TOR προτείνει στους χρήστες που θέλουν να κρατήσουν κάποια σχετική ασφάλεια των προσωπικών δεδομένων τους, να μείνουν μακριά από το Internet για μερικές ημέρες μέχρι να ξεκαθαριστεί το ζήτημα. Η Yahoo, και το Amazon που φαίνεται ότι επηρεάστηκαν περισσότερο, ανακοίνωσαν ότι κάλυψαν το κενό, ενώ η Apple, Google και Microsoft δήλωσαν ότι έχουν πάρει ήδη τα απαραίτητα μέτρα προστασίας των πελατών τους.

Θα χρειαστεί χρόνος για εκτιμηθεί η πραγματική έκταση της ζημιάς, και να φανούν οι μεγάλες αλλαγές που θα έρθουν μετά την παραβίαση, το πιο ανησυχητικό μάθημα για όλους είναι ότι όσο πιο δύσκολη γίνεται η ανακάλυψη τρωτών σημείων στις υποδομές μας του πολιτισμού μας, τόσο επιζήμια μπορεί να είναι και μια μη ελεγχόμενη αποκάλυψη τους.

Ενημέρωση: 11 Απριλίου

Σύμφωνα με πληροφορίες του Bloomberg, η υπηρεσία εθνικής ασφάλειας των ΗΠΑ γνώριζε για την ύπαρξη του κενού ασφαλείας, και το εκμεταλλεύτηκε τακτικά για την συλλογή κρίσιμων πληροφοριών από ιστοσελίδες, αναλόγως των συμφερόντων της. Ο λευκός οίκος αλλά και η ίδια υπηρεσία αρνήθηκαν κατηγορηματικά τις καταγγελίες.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s