כך תתגוננו מפני Heartbleed
פרצת האבטחה ב-OpenSSL יכולה להשפיע לרעה על רבים מהמכשירים החכמים ● עיקר הבעיה היא באנדרואיד - התקלה לא משפיעה על מכשירים של אפל, אלא אם כן מורידים אפליקציות שנפגעו ממנה, ומיקרוסופט בכלל משתמשת בדרך אחרת לקידוד והצפנה
בשבוע שבו מיקרוסופט (Microsoft) מסירה את התמיכה בחלונות XP – מהלך שעלול לעורר בעיות אבטחה רבות – "גונבת את ההצגה" Heartbleed, תקלה קריטית שקשורה ל-OpenSSL – מערכת ההצפנה של רבים מאתרי האינטרנט, שמשתמשת בקידוד והצפנה SSL או TSL.
התקלה מאפשרת לקרוא את הזיכרון הפעיל של מערכות שמוגנות על ידי גרסאות של מערכת ההצפנה, אם אותה מערכת כוללת את התקלה הזו. כל מה שצריך כדי לעשות זאת הוא דפדפן.
לפי ההערכה, Heartbleed עלולה להשפיע על כשני שליש מהאתרים בעולם. גוגל (Google) כבר מסרה שהיא נמצאת בשלבי הסיום של הטלאת השרתים שלה, אבל זה לא אומר שיתר האתרים בעולם כבר תיקנו את הבעיה.
אם אתם משתמשים בכרום (Chrome), ביכולתכם להוריד אפליקציה בשם Chromebleed Checker, שבודקת את האתרים שאתם גולשים בהם. במידה שהאפליקציה נתקלת באתר בו גרסת ה-OpenSSL שנמצאת בשימוש עדיין לא עודכנה וכוללת את הבאג, היא מתריעה על כך מייד ומאפשרת לכם לברוח ממנו מהר ככל האפשר, לפני שהנתונים שלכם נרשמים בו.
עד כאן לגבי הדפדפן של גוגל. אבל מה עם המכשירים? ובכן, גוגל ויצרניות הטלפונים לא עדכנו את מערכות ההפעלה, מה שמהווה כמובן בעיה. המשמעות היא שרבים מבין הטלפונים מבוססי אנדרואיד (Android) מכילים את הפגיעות הזו. לבעלי המכשירים אין הרבה מה לעשות, כי כאמור, גוגל היא זו שצריכה לעדכן את מערכת ההפעלה, אולם יש אפליקציה שתאפשר להם להיות מודעים לבעיה.
שמה של האפליקציה הוא, באופן לא מפתיע, Heartbleed Detector (להורדה מ-Google Play לחצו כאן). היא קובעת האם "הלב המדמם" עלול לפגוע במכשיר שלכם או לא. התוצאות האפשריות הן: גרסת ה-OpenSSL במכשיר לא מושפעת מהתקלה; היא מושפעת אבל ההתנהגות הפוגענית לא ניתנת לביצוע ולכן הכול בסדר; והתוצאה החמורה מכל: הגרסה פגיעה ומאופשרת, מה שאומר שהמכשיר ניתן לחדירה מרחוק בעת גלישה ממנו באינטרנט.
מה עם אפל ומיקרוסופט?
אם יש לכם מכשיר של אפל (Apple), אתם יכולים להיות רגועים יותר מבעלי האנדרואיד, שכן כברירת מחדל, התקלה לא משפיעה על אף גרסה של OS X ו-iOS. אפל לא משתמשת ב-OpenSSL במערכות ההפעלה שלה. עם זאת, יכול להיות שהתקנתם אפליקציה, אחת או יותר, שמשתמשת ב-OpenSSL, והבאג יכול לחדור למכשיר דרכה. בנוסף, בדיוק כמו בכל מכשיר אחר, במידה שאתם גולשים לאתרים שמשתמשים ב-OpenSSL, לדוגמה כדי לאחסן קבצים שמורים מוצפנים, המידע יכול להיחשף לתקלה. הדרך היחידה לוודא שהנתונים שלכם מוגנים היא לבדוק האם השירותים ברשת אותם אתם צורכים להעברות המידע משתמשים ב-OpenSSL ואם כן, האם הם תוקנו או לא.
מיקרוסופט (Microsoft) מסרה כי מערכות ההפעלה שלה לא מושפעות מהתקלה מאחר שהיא משתמשת בדרך שונה כדי ליישם תהליכי SSL או TSL. אלא שגם במקרה הזה, משתמשי חלונות פון (Windows Phone) יכולים להיתקל בבעיה באתרים שלא ביצעו תיקון. שוב, יש הבדל בין מערכות ההפעלה לבין השימוש במידע באתרים השונים.
תגובות
(0)