News Flash:

Heartbleed, ultimul pericol major pentru securitatea "consumatorilor" de Web

9 Mai 2014
409 Vizualizari | 0 Comentarii
Heartbleed
Indiferent cat de mult s-ar stradui inginerii software, erorile de programare par a avea o vointa proprie si se strecoara atat de des in codul final al unui produs incat se spune ca nu exista practic software lipsit de probleme. In timp ce unele dintre aceste probleme sunt doar enervante, altele, precum recent descoperita vulnerabilitate din OpenSSL, pun in pericol securitatea unui numar atat de mare de site-uri incat panica este garantata.

In dupa-amiaza zilei de luni, administratorii OpenSSL Project au anuntat ca versiunea 1.0.1 a librariei OpenSSL include o vulnerabilitate grava care permite unui atacator sa obtina acces la informatiile stocate in memoria server-ului. Descoperita in codul sursa al extensiei Heartbeat pentru TLS, de unde vulnerabilitatea isi trage de altfel indirect si numele Heartbleed, aceasta bresa de securitate permite unui atacator sa obtina diverse informatii critice de natura sa compromita securitatea server-ului sau a utilizatorilor acestuia.

Vulnerabilitatea a aparut in decembrie 2011 si s-a raspandit pe scara larga incepand cu martie 2012, atunci cand a fost lansata versiunea 1.0.1 a librariei OpenSSL. Ramasa nedescoperita intr-un produs software des implementat, aceasta vulnerabilitate permite atacatorilor sa colecteze date personale precum numele de utilizator, parolele, fisierele cookie sau datele bancare, dar sa obtina si acces la cheia principala de criptare din certificatul de securitate al server-ului si sa intercepteze nestingherit dupa aceea tot traficul care trece prin acesta.

Codul-sursa al librariei OpenSSL a primit actualizarile necesare pentru astuparea bresei de securitate din versiunile 1.0.1 si 1.0.2 Beta, acestea fiind deja disponibile pentru implementare. Deoarece vulnerabilitatea a fost activa timp de doi ani fara ca cineva sa o anunte in mod public, este imposibil de stiut in acest moment daca aceasta nu a fost deja descoperita si folosita pe scara larga pentru interceptarea traficului si furtul de date personale in tot acest rastimp.

Conform unor date estimative, circa jumatate de milion de servere HTTPS erau vulnerabile in ziua in care a fost dezvaluita aceasta bresa de securitate. Pe lista site-urilor vulnerabile se gasesc servicii celebre precum Flickr, Archive.org, Yahoo.com, Yahoo Mail, Imgur, OKCupid, XDA-Developers, SteamCommunity.com, Eventbrite, 500px si altele, in timp ce servicii majore precum Google, Facebook, YouTube sau Wikipedia nu sunt afectate. Aceasta lista este doar una generica si in curs de modificare, unele dintre companii, cum ar fi de pilda Yahoo, anuntand ca au corectat intre timp problema.

Deoarece bresa de securitate este una la nivel de server, utilizatorul nu are prea multe de facut. Cei care au impresia ca le-au fost compromise datele personale pot purcede la schimbarea parolelor si a altor date de identificare, insa acestia nu vor sti niciodata daca cineva a profitat sau nu aceasta vulnerabilitate.

UPDATE:
Puteti verifica ce site-uri sunt expuse si ce site-uri sunt sigure aici: http://filippo.io/Heartbleed/

Sursa:  Go4It!
Daca ti-a placut articolul, te asteptam si pe pagina de Facebook. Avem si Instagram.

aceasta fost openssl securitate date pentru precum server site sunt timp
Distribuie:  

Realitatea.net

Din aceeasi categorie

Mica publicitate

© 2018 - Radio.BZI - Toate drepturile rezervate
Page time :0.1335 (s) | 35 queries | Mysql time :0.062905 (s)