Heartbleed
Sigurno ste u poslednje vreme dobili veliki broj e-mailova od društvenih mreža na kojima imate naloge, u kojima piše da bi trebalo da promenite lozinku (password), jer se pojavio “Heartbleed”. A onda ste se, kao i polovina sveta, zapitali šta je to, uopšte, Heartbleed?
Komunikacija između svih korisnika interneta se vrši u šifrovanim (encrypted) porukama. Ovakve poruke možemo nazvati “tajnim jezikom” koji ne može razumeti niko osim pošiljaoca poruke i njenog primaoca, jer samo oni imaju ključeve za dešifrovanje. Šifrovanje je jako korisno, jer su takve poruke čitljive samo za onog kome su zaista namenjene i u slučaju krađe prilikom putovanja Internetom iste će, za znatiželjnog lopova, biti potpuno nečitljive, jer oni ne poseduju ključeve za dešifrovanje. To nisu samo poruke, to su i vaši lični podaci, brojevi vaših kartica, lični kontakti, lozinke. Jednom rečju, to je vaša digitalna duša.
Na Internetu se koristi set protokola koji se brinu o sigurnom prenosu podataka. Ti protokoli se nazivaju Secure Sockets Layer (SSL) i Transport Layer Security (TLS), a na webu ih možete prepoznati da su upotrebi po httpS://www.nekisajt.me – obratite pažnju na slovo S posle http. Ovo S znači da je http siguran (secured).
SSL/TLS šifrovanje koje koristi većina web sajtova i aplikacija je najčešće implementirana uz pomoć OpenSSL otvorenog koda (OpenSSL open source). Nisu samo web stranice i aplikacije te koje koriste OpenSSL. Veliki broj rutera, štampača, i instant messaging aplikacija takođe koriste ovaj način šifrovanja.
Šta je tu toliko strašno?
Zamislite sada da vaš kanal za sigurnu komunikaciju ima manu i razmislite šta bi se desilo kada bi neko posedovao ključ komunikacije izmedju vas i servera. Kada bi mogao da ga iskopira i onda snima sve što vi komunicirate sa serverom. Zvuči jezivo, zar ne? Nažalost, desio se upravo ovaj scenario, a mana internetom kruži već dve godine. Otkrivena je nedavno, i nazvana “Heartbleed”. Heartbleed je “rupa” koja se nalazi u kodu OpenSSL softvera, i koja omogućava hakerima da ukradu Vaš ključ, a samim tim i da prisluškuju Vaše “razgovore” sa serverima onim tajnim jezikom koji očigledno više nije tajni, odnosno, slobodno pristupe svim vašim podacima koje prenosite Internetom.
Kako je sve počelo?
Internet bug, svetu poznat kao Heartbleed, svetlost dana je prvi put ugledao 31. decembra 2011. Godine kao bug (propust) u protokolu HeartBeat koji je sastavni dio OpenSSL softvera. Međutim, verovali ili ne, najveća pretnja za internet je nastala skroz slučajno. Desilo se to da je Robin Seggelman napisao deo koda za verziju OpenSSL 1.7, koja je, onda kada su je ubacili, dovela do Heartbleeda. Pošto niko od programera nije primetio grešku, nova verzija je otišla online 31.
decembra 2011. godine, a sa njom i Heartbleed. Koliko je ta greška bila slučajna, govori i činjenica da smo za nju saznali tek dve godine kasnije. Interesantno je da ovoj propust otklonjen i ne postoji u verziji OpenSSL 2.0, koju očigledno retko ko koristi. Kao što vidite HeartBleed je dobio ime po HeartBeatu.
Kako se zaštititi od Heartbleeda?
Napad Heartbleeda je nevidljiv, tako da nije moguće oceniti da li ste u prošlosti bili njegova žrtva. Ipak, nije sve tako crno. Ako ne možemo uticati na prošlost, možemo na budućnost. Kako bi korisnici širom sveta bili sigurni u svoju online budućnost, svetski IT stručnjaci preporučuju promenu passworda na svim nalozima registrovanim na intenetu. Najčešća greška koju korisnici prave je odabir jednostavnih passworda, kao i korišćenje istih passworda na više naloga, u koje najčešće spadaju društvene mreže i e-mail. Za najbolje passworde važe one koje se sastoje iz naizmeničnog niza brojeva, velikih i malih slova. Prilikom pravljenja passworda, ne preporučuje se upotreba vašeg datuma rođenja i tome slično. Istina, takve passworde je najlakše zapamtiti, ali su takođe i najlakše za prevazilaženje, što je i njihova slaba tačka. U suštini važi pravilo: Što je password komplikovaniji i duži, to je bolja zaštita. Pre nego se upustite u ovaj posao i počnete da menjate sve passworde, proverite da se neki serveri nisu ”zakrpili” sami. Primjer za to je Yahoo mail koji je takođe pretrpeo napad ovog jezivog baga, ali je kompanija, ipak, ubrzo nakon saznanja o njegovom postojanju, promenila enkripciju svog e-mail servisa, i time zaštitila sve svoje korisnike od potencijalnih budućih napada.
Činjenica je da je situacija u kojoj su se našli korisnici širom sveta prilično neprijatna, ali zbog nje ipak ne treba previše brinuti. U suštini, za to nemamo ni velikog razloga, jer, kao što već rekosmo, na prošlost ne možemo uticati. Iskustvo sa Heartbleedom nema neku pouku za budućnost, već je ono samo situacija sa million gubitnika i nijednim pobednikom.
