Το heartbleed bug επηρεάζει όλο το Internet αλλά και το Bitcoin
Τί είναι το OpenSSL;
Πρόκειται για την Open Source υλοποίηση των πρωτοκόλλων SSL and TLS η οποία παρέχει λειτουργίες κρυπτογραφίας. Πολλά προγράμματα αλλά και υπηρεσίες στο Internet, βασίζονται στη βιβλιοθήκη OpenSSL για να κρυπτογραφούν από άκρο ως άκρο την επικοινωνία δύο υπολογιστών / συσκευών.
Τί είναι το κενό ασφάλειας heartbleed;
Στις 08 Απριλίου η Φινλανδική εταιρία ασφάλειας Codenomicon καθώς κι ένας αναλυτής της Google, ο οποίος εργαζόταν αναξάρτητα, ανακάλυψαν το κενό ασφάλειας heartbleed στο OpenSSL, το οποίο αφορά την τεχνολογία κρυπτογράφησης που χρησιμοποιείται ευρέως στο Internet αλλά και σε εφαρμογές. Κάποιος που εκμεταλεύεται αυτό το κενό, μπορεί να «ακούσει» την κρυπτογραφημένη επικοινωνία των δύο μερών.
Ποιοί επηρεάζονται;
Η βιβλιοθήκη OpenSSL χρησιμοποιείται ευρέως στο Internet. Κάθε ιστοσελίδα, στην οποία εμφανίζεται το λουκετάκι στο πρόγραμμα περιήγησης που χρησιμοποιούμε όταν την επισκεπτόμαστε, χρησιμοποιεί τεχνολογία SSL. Πολύ συνοπτικά μπορούμε να αναφέρουμε τις: υπηρεσίες email, υπηρεσίες web banking, αναζητήσεις σε μηχανές αναζήτησης, Online κοινότητες συζήτησης, χάρτες, τηλεφωνία, υπηρεσίες κοινωνικής δικτύωσης και πολλές άλλες.
Πως μπορούμε να προστατευτούμε;
Το πρόβλημα μπορεί να λυθεί μόνο από την πλευρά όσων παρέχουν τις υπηρεσίες. Οι χρήστες δε μπορούν να κάνουν κάτι για να προστατευτούν πέρα από το να αποφεύγουν για κάποιο διάστημα να πραγματοποιούν είσοδο σε υπηρεσίες που χρησιμοποιούν την OpenSSL ή αν το κάνουν να είναι ιδιαίτερα προσεκτικοί στα δεδομένα που στέλνουν στην υπηρεσία (π.χ. αριθμούς πιστωτικών καρτών, κλπ). Μόλις καταλαγιάσει η σκόνη και οι διαχειριστές των συστημάτων ενημερώσουν τα συστήματά τους, τότε συνίσταται οι χρήστες να αλλάξουν τους κωδικούς τους.
Τί σχέση έχει το Bitcoin;
Αν και το ίδιο το πρωτόκολλο του Bitcoin δεν επηρεάζεται καθόλου από το κενό ασφάλειας heartbleed, οι Bitcoin clients βασίζονται σε μεγάλο βαθμό στη βιβλιοθήκη OpenSSL για να λειτουργήσουν. Συνεπώς επηρεάζονται από το κενό ασφάλειας heartbleed. Όσοι χρησιμοποιούν τον Bitcoin Core client θα πρέπει να αναβαθμίσουν το συντομότερο δυνατό στην έκδοση 0.9.1 η οποία χρησιμοποιεί διορθωμένη έκδοση της βιβλιοθήκης OpenSSL, σύμφωνα με τη σχετική ανακοίνωση. Κατόπιν της αναβάθμισης και ως επιπλέον μέτρο προφύλαξης, καλό θα ήταν οι χρήστες να δημιουργήσουν κι ένα εντελώς νέο πορτοφόλι, όπου θα μεταφέρουν όλα τα νομίσματα.
Εκτός όμως από τους Bitcoin clients, πολλοί χρηστες χρησιμοποιούν και Online υπηρεσίες πορτοφολιού, ανταλλακτήρια κι άλλες σχετικές υπηρεσίες, οι οποίες θα πρέπει να ενημερώσουν τα συστήματά τους, αν δεν το έχουν ήδη κάνει. Μέχρι στιγμής, από τις αναφορές που υπάρχουν οι γνωστές και δημοφιλείς υπηρεσίες Bitstamp, Bitcurex, Cryptsy και Blockchain.info, έχουν ενημερώσει τα συστήματά τους.
We are happy to announce that the OpenSSL issues have been resolved. All previously disabled functions are once again available.
— Bitstamp (@Bitstamp) April 9, 2014
We have updated all of our OpenSSL servers and our DDOS provider has also updated. More information here: http://t.co/ZjaCC1mT3l
— BigVern (@cryptsy) April 8, 2014
Our external facing services have recently been patched and are not affected by the #OpenSSL #heartbleed vulnerability.
— MintPal (@MintPalExchange) April 8, 2014