Heartbleed

Το Heartbleed είναι ένα σφάλμα λογισμικού που προκαλεί κενό ασφάλειας (security bug) στην ανοιχτού κώδικα βιβλιοθήκη κρυπτογραφίας OpenSSL, που χρησιμοποιείται ευρέως στο πρωτόκολλο ασφάλειας επιπέδου μεταφοράς του Διαδικτύου TLS (Transport Layer Security). Πρόκειται για ένα τρωτό σημείο, που οφείλεται σε απουσία ελέγχου ορίων, στην επέκταση heartbeat του πρωτοκόλλου TLS.^[3] Μία διορθωμένη έκδοση του OpenSSL, διατέθηκε στις 7 Απριλίου 2014, ημερομηνία που αποκαλύφθηκε δημοσίως το Heartbleed. Τότε, περίπου 17% (σχεδόν μισό εκατομμύριο) από τους ασφαλείς εξυπηρετητές ιστού του Διαδικτύου, που είχαν πιστοποιηθεί από έμπιστες αρχές, θεωρήθηκε ότι ήταν τρωτοί σε επίθεση, επιτρέποντας την κλοπή των ιδιωτικών κλειδιών των εξυπηρετητών, καθώς και των συνθηματικών και των cookies των συνεδριών επισκέψεων των χρηστών του Διαδικτύου.^[4]^[5]^[6]^[7]^[8] Τόσο το Ίδρυμα Ηλεκτρονικών Συνόρων (Electronic Frontier Foundation)^[9], όσο και η Ars Technica^[10] και ο Μπρους Σνάϊερ^[11] θεώρησαν το Heartbleed καταστροφικό. Ο αρθογράφος του Φόρμπς σε θέματα κυβερνοασφάλειας Τζόζεφ Στάινμπεργκ έγραψε: "Ορισμένοι θεωρούν ότι το Heartbleed αποδεικνύεται το σοβαρότερο κενό ασφάλειας (τουλάχιστον αναφορικά με τις εν δυνάμει επιπτώσεις του) που έχει ανακαλυφθεί αφότου ξεκίνησε η εμπορική χρήση του Διαδικτύου".^[12]

Εκπρόσωπος της κυβέρνησης του Ηνωμένου Βασιλείου πραγματοποίησε την ακόλουθη σύσταση: "Οι άνθρωποι πρέπει να ακολουθούν τη συμβουλή να αλλάζουν τα συνθηματικά σε ιστοχώρους που επισκέπτονται... Οι περισσότεροι ιστότοποι έχουν διορθώσει το σφάλμα και οι εκπρόσωποί τους είναι οι πλέον αρμόδιοι για να συμβουλέψουν τους χρήστες".^[13] Την ημέρα της αποκάλυψης του σφάλματος, το Tor Project συμβούλεψε οποιονδήποτε αναζητά "ισχυρή ανωνυμία ή ασφάλεια στο Διαδίκτυο να το αποφύγει εντελώς για τις επόμενες ημέρες μέχρι να καταλαγιάσουν τα πράγματα."^[14]

To Heartbleed έχει καταχωρηθεί στο Σύστημα Κοινών Αδυναμιών (Common Vulnerabilities and Exposures) ως CVE-2014-0160.^[15] Το ομοσπονδιακό Καναδικό Κέντρο Αντιμετώπισης Κυβερνοσυμβάντων εξέδωσε ανακοινωθέν προς διαχειριστές ασφαλείας σχετικά με το σφάλμα.^[16]

↑ McKenzie, Patrick (9 Απριλίου, 2014 "What Heartbleed can Teach The OSS Community About Marketing"
↑ Biggs, John (9 Απριλίου 2014). "Heartbleed, The First Security Bug With A Cool Logo".TechCrunch.
↑ "Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL" Αρχειοθετήθηκε 2014-11-05 στο Wayback Machine.. April 11, 2014.
↑ Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd.
↑ Perlroth, Nicole; Hardy, Quentin (April 11, 2014). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times.
↑ Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times.
↑ Wood, Molly (April 10, 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times.
↑ Manjoo, Farhad (April 10, 2014). "Users’ Stark Reminder: As Web Grows, It Grows Less Secure". New York Times.
↑ Zhu, Yan (April 8, 2014). "Why the Web Needs Perfect Forward Secrecy More Than Ever". Electronic Frontier Foundation.
↑ Goodin, Dan (April 8, 2014). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.
↑ "Schneier on Security: Heartbleed". Schneier on Security. April 11, 2014.
↑ Steinberg, Joseph (April 10, 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.
↑ Kelion, Leo (April 11, 2014). "BBC News - US government warns of Heartbleed bug danger". BBC.
↑ "OpenSSL bug CVE-2014-0160". Tor Project. April 7, 2014.
↑ "CVE – CVE-2014-0160". Cve.mitre.org. Ανακτήθηκε 17 Απριλίου, 2014.
↑ "OpenSSL Heartbleed Vulnerability Αρχειοθετήθηκε 2014-04-15 στο Wayback Machine.". Cyber Security Bulletins. Public Safety Canada. April 11, 2014. Ανακτήθηκε στις 17 Απριλίου, 2014.

[1] McKenzie, Patrick (9 Απριλίου, 2014 "What Heartbleed can Teach The OSS Community About Marketing"

[2] Biggs, John (9 Απριλίου 2014). "Heartbleed, The First Security Bug With A Cool Logo".TechCrunch.

[3] "Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL" Αρχειοθετήθηκε 2014-11-05 στο Wayback Machine.. April 11, 2014.

[4] Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd.

[5] Perlroth, Nicole; Hardy, Quentin (April 11, 2014). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times.

[6] Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times.

[7] Wood, Molly (April 10, 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times.

[8] Manjoo, Farhad (April 10, 2014). "Users’ Stark Reminder: As Web Grows, It Grows Less Secure". New York Times.

[9] Zhu, Yan (April 8, 2014). "Why the Web Needs Perfect Forward Secrecy More Than Ever". Electronic Frontier Foundation.

[10] Goodin, Dan (April 8, 2014). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.

[11] "Schneier on Security: Heartbleed". Schneier on Security. April 11, 2014.

[12] Steinberg, Joseph (April 10, 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.

[13] Kelion, Leo (April 11, 2014). "BBC News - US government warns of Heartbleed bug danger". BBC.

[14] "OpenSSL bug CVE-2014-0160". Tor Project. April 7, 2014.

[15] "CVE – CVE-2014-0160". Cve.mitre.org. Ανακτήθηκε 17 Απριλίου, 2014.

[16] "OpenSSL Heartbleed Vulnerability Αρχειοθετήθηκε 2014-04-15 στο Wayback Machine.". Cyber Security Bulletins. Public Safety Canada. April 11, 2014. Ανακτήθηκε στις 17 Απριλίου, 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

Our website is made possible by displaying online advertisements to our visitors. Please consider supporting us by disabling your ad blocker.

Heartbleed

Our website is made possible by displaying online advertisements to our visitors.
Please consider supporting us by disabling your ad blocker.