Παρασκευή 18 Απριλίου 2014

ΕΠΙΣΤΗΜΗ ΤΗΣ TEΧΝΟΛΟΓΙΑΣ ΑΠΡΙΛΙΟΥ ~ heartbleed – το διαδίκτυο σε κρίση

παρουσίαση νέων τεχνολογιών & η χρηστικότητα & συμβολή τους στην καθημερινότητα

Πριν δυο εβδομάδες, όλες οι τεχνολογικές (και μη) ιστοσελίδες έφεραν στο φως ένα περιέργο πρόβλημα που φάνηκε να επηρεάζει αρκετές ιστοσελίδες παγκοσμίως, το Heartbleed bug. Πολλοί το προσπέρασαν θεωρώντας ότι είναι ΕΝΑ ακόμα bug της «ηλεκτρονικής» καθημερινότητάς μας το οποίο δεν τους αφορά. Και εδώ είναι το μεγάλο λάθος!


Το Διαδίκτυο βασίζεται στο πρότυπο SSL για την διασφάλιση των ηλεκτρονικών μας συναλλαγών και την κρυπτογράφηση των κωδικών μας. Όλες οι ιστοσελίδες που ξεκινάνε με HTTPS:// χρησιμοποιούν κάποια εκδοχή του SSL (τράπεζες, ηλεκτρονικό ταχυδρομείο, ηλεκτρονικά καταστήματα, κλπ.). Το Heartbleed έρχεται και «χτυπάει» ακριβώς σε αυτό το κομμάτι! Δεν πρόκειται για ιό, δεν πρόκειται για ενέργεια κακόβουλων hackers αλλά πρόκειται, δυστυχώς, για λάθος στον κώδικα. Ένα τυπογραφικό λάθος που βρίσκεται πολλά χρόνια στον κώδικα του SSL και που δίνει στην δυνατότητα σε οποινδήποτε να αποκτήσει πρόσβαση στους κωδικούς και τις κρυπτογραφημένες πληροφορίες που διατηρεί ένας server στην βάση δεδομένων του. Και δεν απαιτούνται εντυπωσιακά εργαλεία ή γνώσεις για αυτό, παρά μόνο μια απλή εντολή!

Φανταστείτε λοιπόν τα εξής σενάρια (για να καταλάβουμε την έκταση και την σημαντικότητα του προβλήματος):
Σενάριο 1: Κάποιος αποκτά πρόσβαση σε μια ιστοσελίδα ηλεκτρονικού καταστήματος από το οποίο αγοράσαμε μία και μοναδική φορά πριν αρκετά χρόνια. Ο κωδικός πρόσβασης που επιλέξαμε όταν κάναμε την εγγραφή στην ιστοσελίδα, τυχαίνει να είναι ο ίδιος για το ηλεκτρονικό μας ταχυδρομείο, την τράπεζά μας καθώς και 2-3 άλλες υπηρεσίες.Οι επιπτώσεις είναι καταστροφικές!

Σενάριο 2: Κάποιοι πιο προσεκτικοί χρήστες ίσως έχουν συνηθίσει να χρησιμοποιούν διαφορετικούς κωδικούς για κάθε ιστοσελίδα. Σκεφτείτε όμως το εξής: κάποιος αποκτά πρόσβαση στο modem/router του σπιτιού μας (ακόμα και αυτές οι συσκευές χρησιμοποιούν SSL για να εμφανίσουν την ιστοσελίδα με τις ρυθμίσεις τους) και με αυτό τον τρόπο αλλάζουν τις ρυθμίσεις της σύνδεσής μας με αποτέλεσμα όλες μας οι κινήσεις να δρμολογούνται σε «ψεύτικες» ιστοσελίδες. Εκεί λοιπόν που νομίζουμε ότι βάζουμε τον κωδικό μας στην σελίδα της τράπεζάς μας, στην ουσία τον πληκτρολογούμε σε μια ιστοσελίδα που «μοιάζει» με την πραγματική αλλά ανήκει σε κάποιον hacker!

Τα σενάρια είναι αναρίθμητα και επειδή ο αριθμός των συσκευών και ιστοσελίδων που είναι ευάλωτες σε αυτό το bug είναι τεράστιος, χρειάζεται να επιδείξουμε υπερβολική προσοχή! Και το χειρότερο είναι ότι η λύση δεν είναι ακριβώς στο χέρι μας. Οι πάροχοι και οι κατασκευαστές πρέπει να προχωρήσουν σε αναβάθμιση των συστημάτων τους ώστε να διορθώσουν το χαλασμένο κομμάτι κώδικα και αυτό μπορεί να πάρει χρόνο. Μέχρι τότε, οποιαδήποτε απόπειρα αλλαγής των κωδικών μας δεν θα έχει σημασία γιατί το πρόβλημα θα υφίσταται ακόμα.

Τι μπορούμε να κάνουμε προκειμένου να προστατευτούμε όσο το δυνατόν καλύτερα;
  • · Να αλλάξουμε όλους τους κωδικούς πρόσβασης που χρησιμοποιούμε και να τους αντικαταστήσουμε με μοναδικούς, δύσκολους και πολύπλοκους κωδικούς. Προγράμματα διαχείρισης κωδικών όπως το Lastpass και το 1-Password μπορούν να βοηθήσουν σε αυτό το κομμάτι.
  • ·   Να ενεργοποιήσουμε, όπου προσφέρεται, την δυνατότητα διπλής πιστοποίσης (όπου μαζί με τον κωδικό, πρέπει να βάλουμε και ένα δεύτερο κωδικό που μας αποστέλλεται με μήνυμα στο κινητό, κλπ.).
  • · Να ελέγξουμε την κατάσταση των ιστοσελίδων που χρησιμοποιούμε για να βεβαιωθούμε ότι δεν έχουν επηρρεαστεί από το πρόβλημα αυτό. Μπορείτε να χρησιμοποιήσετε αυτό το εργαλείο για αυτό το σκοπό.

Σκεφτείτε το εξής: Ιστοσελίδες όπως το Dropbox, Yahoo Mail, Facebook παραδέχτηκαν ότι επηρρεάστηκαν από το Heartbleed bug και χρειάστηκε να προχωρήσουν σε διορθωτικές κινήσεις. Εσείς, ακόμα πιστεύετε ότι είστε ασφαλείς; +Vassilis Anastasiadis


σχόλια; αντιρρήσεις; ερωτήσεις;
ΠΡΟΣΘΕΣΤΕ ΤΟΝ ΠΡΟΒΛΗΜΑΤΙΣΜΟ ΣΑΣ ΠΑΝΩ ΣΤΟ ΣΗΜΕΡΙΝΟ ΘΕΜΑ

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Προβληματίστηκες; σχολίασε το