Kakve veze ''Heartbleed bag'' ima sa vama i koje bi lozinke trebalo da promenite odmah

Vesti, 10.04.2014, 09:18 AM

Verovatno ste već čuli za bag u OpenSSL koji je nazvan “Heartbleed” i za koji stručnjaci kažu da je jedna od najvećih bezbednosnih pretnji koju je internet ikada video.

Koliko je situacija ozbiljna potvrđuju i reči Brusa Šnajera, istaknutog stručnjaka za kriptografiju i kompjutersku bezbednost. “Katastrofalno je prava reč. Na skali od 1 do 10, ovo je 11”, ocenjuje Šnajer. On smatra da je vrlo moguće da su obaveštajne službe koristile ovaj bag.

“Pravo je pitanje da li je neko namerno ubacio ovaj bag u OpenSSL i imao dve godine slobodnog pristupa svemu”, kaže Šnajer.

Oni koji su znali za bag i koji su umeli da ga iskoriste, mogli su zahvaljujući tome da ukradu privatne ključeve, lozinke i sve šifrovane podatke, ne ostavljajući bilo kakve tragove o svojim aktivnostima. Bag je doveo u pitanje je bezbednost mnogih web sajtova i servisa, a među njima i onih veoma popularnih koje milioni korisnika koriste svakodnevno, kao što su Facebook ili Google, a lista sajtova koji su možda bili ugroženi tokom prethodne dve godine je veoma duga.

Na žalost, korisnici ne mogu da urade ništa da bi popravili štetu ako je već učinjena. Ako su informacije prikupljane i privatni ključevi kompromitovani, sve prošle komunikacije između njihovih računara i ranjivih web servera su trajno ugrožene. Ipak, buduće komunikacije mogu se zaštititi.

Naravno, korisnici sami ne mogu da reše problem. Vlasnici servera sa ranjivim softverom moraju da preuzmu najnoviju verziju OpenSSL koja je objavljena u ponedeljak, da povuku sve bezbednosne ključeve i da izdaju nove. Međutim, i korisnici ne treba da sede skrštenih ruku, već da bez odlaganja promene sve potencijalno ugrožene lozinke.

Nisu svi sajtovi bili ranjivi, ali stručnjaci procenjuju da je dve trećine svih servera imalo bag. Sada su na internetu dostupni testovi pomoću kojih se mogu proveriti pojedinačni sajtovi, kao što je test koji je ponudio Qualys SSL Labs. Test koji je, na primer, ponudio LastPass i kojim možete proveravati pojedinačne sajtove, daje i više informacija od toga da li je sajt ugrožen. Ako je na primer sajt do pre dva dana koristio ranjivu verziju OpenSSL, rezultati testa LastPass će to i pokazati. Tako možete proveriti sve sigurne sajtove koje koristite.

Mnoge kompanije su već rešile problem sa novom verzijom OpenSSL, a verovatno će i one koje nisu, učiniti to ubrzo.

Sledeći korak je na korisnicima koji treba da promene svoje lozinke na svim ranjivim sajtovima, ali ne pre nego što vlasnici sajtova reše problem sa bagom. Neki sajtovi će o tome obavestiti svoje korisnike, ali će verovatno biti i onih koji to neće uraditi. Idealno bi bilo da svi takvi sajtovi resetuju sve lozinke i na taj način primoraju korisnike da odaberu nove lozinke.

Važno je da korisnici shvate važnost promene lozinke, bez obzira koliko je jaka lozinka koju su koristili na ranjivom sajtu. Lozinke su ugrožene zajedno sa svim drugim podacima, a dodatno, ugroženi su i nalozi na drugim sajtovima za koje su korišćene iste lozinke.

Sajt Mashable je kontaktirao najpopularnije sajtove tražeći informacije o tome da li su sajtovi bili ranjivi i da li korisnici tih sajtova treba da promene lozinke. Listu tih sajtova možete pogledati ovde.

Ukratko, lozinke bi bez odlaganja trebalo da promene korisnici Facebooka, Tumblra, Yahooa, pa i Googlea, iako u Googleu kažu da nema potrebe za promenom lozinki. Lozinke bi trebalo promeniti i za email servise - Gmail i Yahoo Mail, ali i za Dropbox, LastPass, OKCupid i SoundCloud. I tu se lista ne završava. Mashable još uvek nije dobio odgovor od nekih kompanija kao što je Apple. Na listi ovog sajta su i sajtovi i servisi na koje ovaj bag nije imao uticaj.