.

Heartbleed bug: Η ήττα του open source, η ασφάλεια του Android και η 'δικαίωση' της Microsoft


 

Είναι γνωστή η αγάπη μας για το open source το οποίο εκθειάζουμε και υποστηρίζουμε με κάθε ευκαιρία καθώς πιστεύουμε ότι εκεί βρίσκεται το μέλλον του software. Το μεγαλύτερο προσόν κάθε λογισμικού ανοιχτού κώδικα είναι ότι ο πηγαίος κώδικάς του είναι διαθέσιμος σε όλους και έτσι οποιοσδήποτε μπορεί να βρει ένα κενό ασφαλείας και να το αναφέρει στην εταιρία που το δημιούργησε για να το κλείσει. Απαραίτητη προϋπόθεση, κάποιος να κοιτάξει!

Έτσι ξεκίνησε η ιστορία του Hartbleed ενός bug που υπήρχε για χρόνια στον κώδικα του OpenSSL, το οποίο κανείς δεν είχε βρει ακόμα ή έτσι θέλουμε να πιστεύουμε. Για να το εξηγήσουμε με απλά λόγια το OpenSSL είναι ένα πρωτόκολλο που χρησιμοποιείται από πολλές εταιρίες στις λεγόμενες ασφαλείς σελίδες (https) και το Heartbleed είναι ένα κενό ασφαλείας που επιτρέπει την κλοπή προσωπικών δεδομένων όπως των κωδικών μας. Τη μεγάλη ανακάλυψη έκανε η Google σε συνεργασία με την Codenomicon, οι οποίες ενημέρωσαν τους πάντες για το κρίσιμο αυτό κενό. Ποιες υπηρεσίες επηρεάστηκαν από το Heartbleed; Το Facebook, το Instagram, το Pinterest, το Yahoo!, το GoDaddy, το Dropbox και οι υπηρεσίες της Google φυσικά, ενώ το Twitter και η Apple δεν έχουν ανακοινώσει κάτι ακόμη.

Πώς μας επηρεάζει;

Τι σημαίνει όλο αυτό για εμάς τους χρήστες; Ότι για όσο καιρό αυτό το κενό ήταν ανοιχτό, κάποιος που γνώριζε την ύπαρξή του αλλά δεν το ανέφερε πουθενά μπορούσε να μας παρακολουθεί και να έχει τους κωδικούς μας για όλες αυτές τις υπηρεσίες. Εικάζεται ότι αυτή τη δουλειά την έκανε η Αμερικανική Υπηρεσία Πληροφοριών (NSA) κάτι για το οποίο δε θα πέφταμε από τα σύννεφα αν αποδεικνύονταν. Το κενό έχει κλείσει πλέον από τη μεριά των εταιριών και προληπτικά θα προτείναμε να αλλάξετε κωδικό σε μερικές ή όλες από τις παραπάνω υπηρεσίες.

Όσον αφορά το Android που μας ενδιαφέρει περισσότερο, η Google μας ενημέρωσε και επίσημα ότι η μοναδική έκδοση που χρησιμοποιεί τη συγκεκριμένη έκδοση του OpenSSL (1.0.1c) είναι η 4.1.1 του Android. Με πρωτοβουλία του Lookout Mobile Security δημιουργήθηκε και η εφαρμογή Heartbleed Detector η οποία μας επιτρέπει να ελέγξουμε και μόνοι μας, κατά πόσον το συγκεκριμένο κενό μας επηρεάζει για να μείνουμε ήσυχοι.


Εν κατακλείδι

Το ζουμί της όλης ιστορίας και ο λόγος που γράφουμε αυτό το άρθρο είναι ότι δεν πρέπει να ξεχνάμε ότι στο ίντερνετ είμαστε στην κυριολεξία γυμνοί. Ποιος ξέρει αν υπάρχουν άλλα πέντε κενά τύπου Heartbleed σε διάφορα πρωτόκολλα τα οποία κάποιος εκμεταλλεύεται αυτή τη στιγμή χωρίς να ενημερώνει τους υπόλοιπους; Πρέπει να είμαστε ιδιαίτερα προσεκτικοί στο τι μοιραζόμαστε στα κοινωνικά δίκτυα και τις υπόλοιπες online υπηρεσίες όπως το Facebook γιατί μπορεί να μας γυρίσει μπούμερανγκ και να επηρεάσει την πραγματική μας ζωή.

Θέλετε να μάθετε και το αστείο της όλης υπόθεσης; Η Microsoft η οποία ως γνωστόν δε χρησιμοποιεί και πολύ τα ανοιχτά πρότυπα και κατ' επέκταση δεν επηρεάστηκε από το συγκεκριμένο bug, έσπευσε να ενημερώσει τους χρήστες του Office365 (εκεί το είδαμε εμείς τουλάχιστον) ότι οι υπηρεσίες τους είναι ασφαλείς και δεν επηρεάστηκαν από αυτό. Καλά κάνει φυσικά και ενημερώνει τους χρήστες όμως μόνο σαν ανέκδοτο μπορώ να το εκλάβω από την εταιρία που κατασκευάζει το πιο τρύπιο λειτουργικό σύστημα στον κόσμο, το οποίο χρησιμοποιεί άλλα κλειστού κώδικα ανασφαλή πρωτόκολλα που ίσως δεν ανακαλύψουμε ποτέ.

 
© 2012-2015 Dr. Android | Original theme design by Main-Blogger - Blogger Template and Blogging Stuff | Material design by Chris K.