Ļoti ieteicams drošības labad nomainīt paroles teju visu populārāko pakalpojumu kontiem, biznesa portālam «Nozare.lv» paziņoja Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV) sabiedrisko attiecību speciālists Vilnis Tukums.
Ievērojamais drošības defekts «Heartbleed» varētu apdraudēt teju visu populārāko pakalpojumu lietotāju kontu pieejas datus, tāpēc visprātīgāk tos būtu pēc iespējas ātrāk nomainīt. Lai arī atklāšanas brīdī «Google» jau samērā laicīgi nāca klajā ar «ielāpu», tomēr situāciju neskaidru padara fakts, ka šī «OpenSSL» ievainojamība nemanīti eksistējusi vairākās programmatūras versijās jau vairāk nekā divus gadus. Vairāki drošības speciālisti norāda, ka nav zināms, kurš vēl par to zinājis, pirms «Heartbleed» nokļuva sabiedrības uzmanības centrā.
Īpaši nopietni paroļu nomaiņa attiecas uz cilvēkiem, kas vairākiem resursiem pielieto vienu un to pašu paroli, jo atliek tikai vienai vietnei izmantot kādu no nedrošajām «OpenSSL» versijām, lai ļaundari potenciāli varētu iegūt pieeju visām.
Jau ziņots, ka CERT.LV ir apzinājis Latvijā ievainojamos interneta resursus - vismaz 1300 vietnes - un strādā pie šo resursu turētāju informēšanas un problēmas risināšanas. Izmantojot šo ievainojamību, iespējams attālināti no servera iegūt lietotāju paroles un lietotājvārdus, transakciju datus, kriptogrāfiskās atslēgas, konfigurācijas detaļas, e-pasta sistēmu lietotāju datus un citu sensitīvu vai aizsargājamu informāciju, kuras noplūde var sekmēt ne tikai informācijas sistēmas kompromitēšanu, bet visu informācijas sistēmas lietotāju datu un elektroniskās identitātes kompromitēšanu.
Šonedēļ atklāta viena no pēdējā laika bīstamākajām ievainojamībām «OpenSSL 1.0.1 TLS/DTLS», kas plašāk pazīstama kā «ssl heartbeat» vai «heartbleed bug».
Ievainojamība ļauj nesankcionēti iegūt sensitīvus datus no servera, kas izmanto ievainojamu «OpenSSL» pakotni, kas normālā situācijā būtu pasargāta pārsūtīšanas brīdī ar «SSL/TLS» šifrēšanas protokolu.
Defektu jaunākajos «OpenSSL» datu šifrēšanas algoritmos eksperti sauc par katastrofālu un lēš, ka tas ietekmējis ap divām trešdaļām pasaules serveru. Lai arī «Heartbleed» pamanīts tikai šīs nedēļas sākumā, tomēr norādīts, ka defektā programmatūra bijusi lietošanā jau kopš 2011.gada 31.decembra.
Apdraudētas var būt tīmekļa vietnes, kas lieto »https://», pasta sistēmas, VPN vārtejas, kā arī citi risinājumi, kas izmanto «OpenSSL». Ievainojamībai pakļautas «OpenSSL» versijas no 1.0.1 līdz 1.0.1f .
Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV darbojas kopš 2011.gada 1.februāra saskaņā ar IT drošības likumu un ir atbildīga par informācijas tehnoloģiju drošības veicināšanu Latvijā. CERT.LV savus uzdevumus izpilda Aizsardzības ministrijas pakļautībā.
