Heartbleed: Gracze, lepiej zmieńcie hasła
Od kilku dni w sieci panuje blady strach - luka w zabezpieczeniach szyfrującej biblioteki OpenSSL zwana Heartbleed spędza sen z powiek działom IT mnóstwa firm i administratorom serwerów. Dziura uderzyła w spory procent serwerów, na których "stoją" tysiące stron i wpłynęła także na witryny związane z gamingiem.
Z OpenSSL korzystają nie tylko same strony odpalane na pecetach, ale także routery. Również smartfony oparte na Androidzie 4.1.1 zostały wskazane jako zagrożone. W dużym skrócie - luka umożliwia podczas nawiązywania połączenia z serwerem wyciągać z jego pamięci pakiety informacji w porcjach po 64 kilobajty. Serwery przetwarzają mnóstwo danych, więc jedna paczka może zawierać rzeczy zupełnie nieprzydatne nawet dla żądnego sensacji hakera, ale - jak wiadomo - w bazie danych mogą znaleźć się choćby hasła użytkowników czy inne poufne informacje.
Jak mówił na antenie TVN24 Piotr Konieczny, ekspert i szef bezpieczeństwa bloga niebezpiecznik.pl: "Każdy człowiek, który jest w stanie odpalić prosty program, wpisać nazwę domenową i wcisnąć jeden przycisk jest w stanie odczytywać fragmenty pamięci danego serwera [...] Sytuacja jest tragiczna. Nie przypominam sobie tak rozległego, tak strasznego błędu, który pozwala w tak łatwy sposób dotrzeć do poufnych danych".
Oczywiście najbardziej zalecaną metodą zapobiegania złym skutkom działania Heartbleed jest zmiana haseł, szczególnie jeśli używamy jednego w różnych usługach, kiedy luka w OpenSSL zostanie załatana przez dostawców. Przed załataniem, co logiczne, nie ma to sensu. Problem w tym, że (wybaczcie prostą formę) aktualizacja wszystkiego może potrwać całe lata. A szkody już mogły zaistnieć, bo o luce dowiadujemy się po dwóch latach.
Dla wzrokowców - w formie obrazkowej zasadę działania Heartbleed przedstawił autor komiksu XKCD:
Wśród dużych stron, które otrzymały negatywny wynik w testach, kiedy rozprzestrzeniła się wieść o luce, znalazły się m.in. Yahoo, Imgur, Flickr i WeTransfer. Zmiany haseł polecają też Facebook, Google, Amazon i Dropbox.
Z szyfrowania połączeń korzysta też wiele witryn związanych z grami. Na ogromnej liście testowanych domen znajduje się m. in. Steam Communities, jednak sam sklep Steama wskazano jako bezpieczny. Serwis Digital Trends skontaktował się jednak z największymi firmami i cytuje komentarz Valve o naprawieniu szkód, więc dla bezpieczeństwa warto jednak swoje hasło zmienić. Stuprocentowo bezpieczne są - cytując DT - Battle.net, EVE Online, MLG.tv i Xbox Live. Nie wszędzie doczekano się oficjalnego komentarza, ale zmiana haseł jest zalecana w usługach m.in. GOG, Battlelog, Apple Game Center, Call of Duty, Humble Bundle, Origin, PlayStation Store, League of Legends czy Wargaming. Także Mojang przyznał, że oberwały serwery Minecrafta.
Pełną listę wraz z komentarzami i statusem znajdziecie tutaj.
Co robić po zmianie hasła, by nie wpaść w tę samą dziurę? Na przykład korzystać z pluginów, które sprawdzają, czy strona, z której korzystamy, jest dziurawa - jednym z nich jest wtykany do Chrome'a Chromebleed lub specjalny dodatek do Firefoxa.