Maanantaina, 7. huhtikuuta, suuri haavoittuvuus, joka tunnetaan nimellä "Heartbleed", löydettiin suositusta OpenSSL-salauskirjastosta, jota käytetään laajasti sovelluksissa ja verkkopalvelimissa. Internetin sivustot ja palvelut ovat siis kiireisiä tämän haavoittuvuuden korjaamisessa ja SSL-sertifikaattien päivittämisessä asiakkaidensa suojaamiseksi. Kuten sanottu, OpenSSL v1.0.1 - 1.0.1f (mukaan lukien) ovat haavoittuvia, ja 7. huhtikuuta 2014 julkaistu OpenSSL 1.0.1g korjaa tämän virheen.
Ote Heartbleed.com-sivustolta sanoo,
Heartbleed Bug on vakava haavoittuvuus suositussa OpenSSL-salausohjelmistokirjastossa. Tämä heikkous mahdollistaa tietojen varastamisen, jotka on normaaleissa olosuhteissa suojattu Internetin suojaamiseen käytetyllä SSL/TLS-salauksella. SSL/TLS tarjoaa viestintäsuojauksen ja yksityisyyden Internetissä sovelluksille, kuten web, sähköposti, pikaviestit (IM) ja eräät virtuaaliset yksityiset verkot (VPN).
Heartbleed-virheen avulla kuka tahansa Internetin käyttäjä voi lukea OpenSSL-ohjelmiston haavoittuvilla versioilla suojattujen järjestelmien muistia. Tämän ansiosta hyökkääjät voivat salakuunnella viestintää, varastaa tietoja suoraan palveluista ja käyttäjistä sekä esiintyä palveluina ja käyttäjinä.
Tarkista, vaikuttaako Heartbleed-virhe sivustoosi tai Android-puhelimeesi –
Jotkin palvelut voivat kertoa, oliko sivusto, jolle olet uskonut tietosi, haavoittuvainen ja milloin sen varmenne päivitettiin.
Filippo Valsordan Heartbleed-testi – filippo.io/Heartbleed
Anna URL-osoite tai isäntänimi testataksesi palvelimesi Heartbleedin varalta (CVE-2014-0160). Voit määrittää tällaisen portin esimerkki.fi:4433. 443 oletuksena.
LastPass Heartbleed -tarkistus – lastpass.com/heartbleed
Tarkista, onko sivusto haavoittuvainen Heartbleedille. Se näyttää sivuston palvelinohjelmiston, kertoo, oliko se haavoittuvainen ja onko SSL-varmenne nyt turvassa ja milloin se on viimeksi luotu.
Chromebleed (Google Chromen laajennus)
Näyttää varoituksen, jos selaamallasi sivustolla on Heartbleed-vika. Se tarkistaa sivun URL-osoitteen Filippon palvelulla. Hyödyllinen, jos et halua tarkistaa sivustoja manuaalisesti.
Mashable on laatinut mielenkiintoisen luettelon hyvin tunnetuista sivustoista, joissa kerrotaan niiden nykyinen tila, onko tämä vaikuttanut niihin ja pitäisikö sinun vaihtaa salasanasi.
Heartbleed Detector Androidille –
Android-käyttäjät voivat helposti tarkistaa, onko heidän Android-laitteensa alttiina HeartBleed-virheelle Lookout Mobile Securityn ilmaisella "Heartbleed Detector" -sovelluksella. Sovellus määrittää, mitä OpenSSL-versiota laitteesi käyttää. Jos laitteessasi on käytössä jokin OpenSSL:n versio, jota se koskee, se tarkistaa, onko kyseinen haavoittuva toiminta käytössä vai ei.
Jos laitteesi on kuitenkin haavoittuvainen, et voi tehdä tarvittavia toimenpiteitä, ellei Google tai laitteen valmistaja ole julkaissut korjaustiedostoa.
Tunnisteet: AndroidSecurity