Kako se zaščititi pred programsko napako, ki ogroža svetovni splet?

Številna tehnološka podjetja in računalniški strokovnjaki zato uporabnike pozivajo, naj zamenjajo spletna gesla. "Spremenite vsa svoja gesla, predvsem na straneh, ki hranijo vaše osebne podatke, kot so spletne banke in ponudniki elektronske pošte," so zapisali pri Yahoojevi blogerski platformi Tumblr.

Strokovnjak za računalniško varnost Bruce Schneider je napako, ki je dobila ime Heartbleed, označil za "katastrofalno pomanjkljivost, ki na lestvici od ena do deset dosega vrednost 11". Čeprav obstaja možnost, da je napako nekdo namerno vstavil v program, pa je po njegovem mnenju precej bolj verjetno, da se je tam znašla po pomoti.

Kaj je Heartbleed? Heartbleed je napaka v priljubljeni šifrirni knjižnici OpenSSL, ki jo uporabljajo številna spletna mesta. OpenSSL ustvari varno linijo med ponudnikom storitve in uporabnikom, saj digitalno premeša občutljive podatke, ko ti potujejo med strežnikom in računalnikom uporabnika, tako da jih lahko prebereta le ti dve stranki.

V ponedeljek pa sta Googlova varnostna enota in finsko podjetje Codenomicon razkrila, da je v šifrirnem programu že dve leti napaka, zaradi katere lahko hekerji dostopajo do skrivnih ključev, ki jih ponudniki storitev uporabljajo za identifikacijo.

Če bi hekerji ustvarili kopije ključev, bi lahko dostopali do uporabniških imen in gesel ljudi, ki storitve uporabljajo, ter vseh podatkov, ki si jih izmenjajo s spletnimi mesti. Z ukradenimi identifikacijskimi podatki bi lahko postavili tudi lažne spletne strani, prek katerih bi nato pridobivali še druge podatke.

Zamenjajte gesla Strokovnjaki ne vedo, ali so Heartbleed v preteklosti že kdaj izkoristili. Hekerji namreč za seboj ne bi pustili sledi, razen če bi ukradene podatke objavili na spletu. "Če so se ljudje prijavljali v storitve, ko so bile te ranljive, je mogoče, da je njihove podatke že nekdo pridobil," je povedal Ari Takanen, vodja tehnološke enote pri Codenomiconu. "Zato bi bilo pametno, da uporabniki na vseh spletnih mestih, ki so že odpravila napako, zamenjajo svoja gesla."

Nekatera podjetja so za napako izvedela prej Google naj bi sicer že nekaj dni pred ponedeljkovim razkritjem posvaril izbrane ponudnike spletnih storitev, ki so tako Heartbleed pravočasno zakrpali. Naložili so namreč novo različico programa OpenSSL, ki luknje nima več.

Med njimi, zanimivo, ni bilo Yahooja, ki so ga zato v ponedeljek množično napadli hekerji. Ti so pridobili nekatera uporabniška imena in gesla, priznavajo pri ameriškem spletnem velikanu, a zagotavljajo, da so tudi oni na vseh svojih platformah napako že uspešno odpravili.