Kakve veze ''Heartbleed bag'' ima sa vama i koje bi lozinke trebalo da promenite odmah

Vesti, 10.04.2014, 09:18 AM

Kakve veze ''Heartbleed bag'' ima sa vama i koje bi lozinke trebalo da promenite odmah

Verovatno ste već čuli za bag u OpenSSL koji je nazvan “Heartbleed” i za koji stručnjaci kažu da je jedna od najvećih bezbednosnih pretnji koju je internet ikada video.

Koliko je situacija ozbiljna potvrđuju i reči Brusa Šnajera, istaknutog stručnjaka za kriptografiju i kompjutersku bezbednost. “Katastrofalno je prava reč. Na skali od 1 do 10, ovo je 11”, ocenjuje Šnajer. On smatra da je vrlo moguće da su obaveštajne službe koristile ovaj bag.

“Pravo je pitanje da li je neko namerno ubacio ovaj bag u OpenSSL i imao dve godine slobodnog pristupa svemu”, kaže Šnajer.

Oni koji su znali za bag i koji su umeli da ga iskoriste, mogli su zahvaljujući tome da ukradu privatne ključeve, lozinke i sve šifrovane podatke, ne ostavljajući bilo kakve tragove o svojim aktivnostima. Bag je doveo u pitanje je bezbednost mnogih web sajtova i servisa, a među njima i onih veoma popularnih koje milioni korisnika koriste svakodnevno, kao što su Facebook ili Google, a lista sajtova koji su možda bili ugroženi tokom prethodne dve godine je veoma duga.

Na žalost, korisnici ne mogu da urade ništa da bi popravili štetu ako je već učinjena. Ako su informacije prikupljane i privatni ključevi kompromitovani, sve prošle komunikacije između njihovih računara i ranjivih web servera su trajno ugrožene. Ipak, buduće komunikacije mogu se zaštititi.

Naravno, korisnici sami ne mogu da reše problem. Vlasnici servera sa ranjivim softverom moraju da preuzmu najnoviju verziju OpenSSL koja je objavljena u ponedeljak, da povuku sve bezbednosne ključeve i da izdaju nove. Međutim, i korisnici ne treba da sede skrštenih ruku, već da bez odlaganja promene sve potencijalno ugrožene lozinke.

Nisu svi sajtovi bili ranjivi, ali stručnjaci procenjuju da je dve trećine svih servera imalo bag. Sada su na internetu dostupni testovi pomoću kojih se mogu proveriti pojedinačni sajtovi, kao što je test koji je ponudio Qualys SSL Labs. Test koji je, na primer, ponudio LastPass i kojim možete proveravati pojedinačne sajtove, daje i više informacija od toga da li je sajt ugrožen. Ako je na primer sajt do pre dva dana koristio ranjivu verziju OpenSSL, rezultati testa LastPass će to i pokazati. Tako možete proveriti sve sigurne sajtove koje koristite.

Mnoge kompanije su već rešile problem sa novom verzijom OpenSSL, a verovatno će i one koje nisu, učiniti to ubrzo.

Sledeći korak je na korisnicima koji treba da promene svoje lozinke na svim ranjivim sajtovima, ali ne pre nego što vlasnici sajtova reše problem sa bagom. Neki sajtovi će o tome obavestiti svoje korisnike, ali će verovatno biti i onih koji to neće uraditi. Idealno bi bilo da svi takvi sajtovi resetuju sve lozinke i na taj način primoraju korisnike da odaberu nove lozinke.

Važno je da korisnici shvate važnost promene lozinke, bez obzira koliko je jaka lozinka koju su koristili na ranjivom sajtu. Lozinke su ugrožene zajedno sa svim drugim podacima, a dodatno, ugroženi su i nalozi na drugim sajtovima za koje su korišćene iste lozinke.

Sajt Mashable je kontaktirao najpopularnije sajtove tražeći informacije o tome da li su sajtovi bili ranjivi i da li korisnici tih sajtova treba da promene lozinke. Listu tih sajtova možete pogledati ovde.

Ukratko, lozinke bi bez odlaganja trebalo da promene korisnici Facebooka, Tumblra, Yahooa, pa i Googlea, iako u Googleu kažu da nema potrebe za promenom lozinki. Lozinke bi trebalo promeniti i za email servise - Gmail i Yahoo Mail, ali i za Dropbox, LastPass, OKCupid i SoundCloud. I tu se lista ne završava. Mashable još uvek nije dobio odgovor od nekih kompanija kao što je Apple. Na listi ovog sajta su i sajtovi i servisi na koje ovaj bag nije imao uticaj.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Darcula je nova taktika sajber kriminalaca a ako vam stigne ova poruka ne odgovarajte na nju

Darcula je nova taktika sajber kriminalaca a ako vam stigne ova poruka ne odgovarajte na nju

Izveštaj kompanije za sajber bezbednost Netcraft razotkrio je sofisticiranu phishing-as-a-service (PhaaS) platformu pod nazivom „Darcula“... Dalje

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje