HEARTBLEED NIJE SAM

Pronađen novi opasan propust na internetu

07.06.2014 u 21:45

Bionic
Reading

OpenSSL je ovih dana izbacio zakrpe za čak šest prilično teških sigurnosnih propusta, uključujući i jedan koji omogućuje MITM-u (man-in-the-middle) prisluškivati zaključane veze, kao i drugi koji je omogućio kriminalcima ubaciti malware na sustave visokog rizika

Pronađen je tako i drugi ozbiljan propust, za kojeg istraživači smatraju da je tek nešto benigniji od opasnog Heartbleeda. Ranjivost je prijavljena u četvrtak na OpenSSL softveru, a organizacija koja stoji iza tehnologije sad mora opet nadograditi softver kako bi se spriječili napadi.


Najgore u cijeloj priči je, kao što je to bio i slučaj s Heartbleed bugom, to što nije jasno jesu li neke od ranjivosti već ranije bile iskorištene od strane napadača. Stručnjaci smatraju kako je kritično razdoblje upravo sada, nakon što su nove ranjivosti prijavljene - do trenutka kada se zakrpaju. Web odredišta koja koriste ove tehnologije tako imaju još hrpu novih sigurnosnih rupa, kao da i one stare nisu već bile dovoljno problematične

Kako piše FT.com, internetski divovi poput Googlea, Amazona, Facebooka i drugih su osvježili svoj softver na vrijeme kako bi zakrpali ranjivosti, no postoji niz institucija koje to nisu učinile i našle su se pod napadima. Porezna tijela u Kanadi te neki bankovni sustavi su se tako našli ranjivima već i na sami Heartbleed, a sada postoji velika mogućnost da će i zbog novih rupa stvar postati još gorom.

U sigurnosnoj kompaniji Symantec pozivaju na oprez, ali smatraju da opasnost od novog buga nije ozbiljna poput one kod Heartbleeda. Usprkos tome savjetuju da korisnici zaobilaze otvorene Wi-Fi mreže, redovito mijenjaju svoje lozinke i ne koriste iste podatke za različita internetska odredišta.

Neprofitna organizacija koja stoji iza rasprostranjenog open-source softvera koji koriste različita internet odredišta se često žalila na to da nema dovoljno radne snage. Prije Heartbleed buga, imali su ekvivalent radne snage od dva inženjera na punoj satnici. Microsoft, Google i Salesforce su osnovali Core Infrastructure Initiative kako bi financirali Open SSL i ostale građevne blokove interneta. Više o svemu na linku