Mandag 7. april ble en stor sårbarhet kjent som "Heartbleed" funnet i det populære OpenSSL kryptografiske biblioteket, som er mye brukt med applikasjoner og webservere. Sidene og tjenestene på Internett er derfor opptatt med å lappe denne sårbarheten og oppdatere SSL-sertifikatene for å beskytte kundene sine. Som sagt, OpenSSL v1.0.1 til og med 1.0.1f (inkludert) er sårbare og OpenSSL 1.0.1g utgitt 7. april 2014 fikser denne feilen.
Et utdrag fra Heartbleed.com sier,
The Heartbleed Bug er en alvorlig sårbarhet i det populære OpenSSL kryptografiske programvarebiblioteket. Denne svakheten gjør det mulig å stjele informasjonen beskyttet, under normale forhold, av SSL/TLS-krypteringen som brukes til å sikre Internett. SSL/TLS gir kommunikasjonssikkerhet og personvern over Internett for applikasjoner som web, e-post, direktemeldinger (IM) og noen virtuelle private nettverk (VPN).
Heartbleed-feilen lar alle på Internett lese minnet til systemene som er beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette lar angripere avlytte kommunikasjon, stjele data direkte fra tjenestene og brukerne og utgi seg for tjenester og brukere.
Sjekk om nettstedet ditt eller Android-telefonen din er berørt av Heartbleed-feilen –
Det er noen tjenester som kan fortelle deg om nettstedet du har betrodd informasjonen din var eller fortsatt er sårbart, og når sertifikatet ble oppdatert.
Filippo Valsordas Heartbleed-test – filippo.io/Heartbleed
Skriv inn en URL eller et vertsnavn for å teste serveren din for Heartbleed (CVE-2014-0160). Du kan spesifisere en port som denne example.com:4433. 443 som standard.
LastPass Heartbleed checker – lastpass.com/heartbleed
Se om et nettsted er sårbart for Heartbleed. Den viser nettstedets serverprogramvare, forteller om det var sårbart og om SSL-sertifikatet nå er trygt og når sist ble opprettet.
Chromebleed (Google Chrome-utvidelse)
Viser en advarsel hvis nettstedet du surfer på er påvirket av Heartbleed-feil. Den sjekker URL-en til siden ved å bruke Filippos tjeneste. Nyttig hvis du ikke ønsker å sjekke sidene manuelt.
Mashable har fulgt en interessant liste over kjente nettsteder som oppgir deres nåværende status, om de ble berørt, og om du bør endre passordet ditt.
Heartbleed Detector for Android –
Android-brukere kan enkelt sjekke om Android-enheten deres er sårbar for HeartBleed-feil med en gratis app kalt "Heartbleed Detector" fra Lookout Mobile Security. Appen bestemmer hvilken versjon av OpenSSL enheten din bruker. Hvis enheten din kjører en av de berørte versjonene av OpenSSL, sjekker den om den spesifikke sårbare oppførselen er aktivert eller ikke.
Men hvis enheten din er sårbar, er det ingen nødvendig handling du kan ta, med mindre en oppdatering er utgitt av Google eller enhetsprodusenten.
Tags: AndroidSecurity