Jeszcze raz wracamy do spraw związanych z dziurą w zabezpieczeniach biblioteki OpenSSL, o której pisaliśmy już kilkukrotnie. Tym razem z garścią opinii od międzynarodowych specjalistów od bezpieczeństwa w internecie. Na nasze pytania odpowiedzieli m. in. Geoffroy Couprie oraz Lorenzo Martínez.
Obaj podzielają takie same opinie, szczególnie jeśli chodzi o skalę zjawiska, konieczność zmiany haseł oraz rolę NSA w całej tej sytuacji. Zgadzają się co do tego, że Heartbleed to naprawdę poważna luka, a cała ta sytuacja nie powinna pozostać bez reakcji. Szczególnie, że jak twierdzi Geoffroy Couprie:
Atak za wykorzystaniem luki w OpenSSL może ujawnić dane użytkownika jakie są przepuszczane przez serwer. W zależności od serwera mogą to być hasła, pliki cookies, dane kart kredytowych adresy czy numery telefonów.
Obaj specjaliści zmienili hasła oraz inne dane logowania do stron z których korzystają. Co więcej, zwracają uwagę, że to dobry moment na to by zacząć korzystać z menedżera haseł.
W sieci pojawiły się też informacje o tym, że amerykańska agencja bezpieczeństwa, NSA, korzystała z wycieku Heartbleed. Dzięki temu Amerykanie mogli uzyskać dostęp do bardzo wielu danych, nie tylko należących do obywateli Stanów Zjednoczonych. Geoffroy Couprie twierdzi jednak, że użytkownicy nie powinni się tym specjalnie przejmować.
Martwienie się o ty, że NSA mogło dostać się do naszych danych za pomocą dziury w OpenSSL jest nie na miejscu. Szczególnie, że błąd ten umożliwiał dostęp do tych danych w zasadzie każdemu kto wiedział jak wykorzystać tę sytuację.
Co można zalecić użytkownikom w takiej sytuacji? Lorenzo Martínez twierdzi, że:
Obecnie należy korzystać tylko z niezbędnych nam serwisów sieciowych i to tylko z tych, które nie były dotknięte luką OpenSSL lub już oficjalnie sobie z nią poradziły. Dodatkowo, zawsze należy korzystać z długich, nieprzewidywalnych haseł oraz nie wykorzystywać jednakowych kodów dla kilku serwisów jednocześnie. Można też zacząć korzystać z menedżerów haseł i z podwójnej weryfikacji dostępu, jeśli jest to możliwe.
Ciekawą radę ma Geoffroy Couprie:
Jeśli jeden z serwisów z którego korzystacie nie zareagował na potencjalny wyciek lub Was o tym nie poinformował, informujcie ich o takiej potrzebę aż to naprawią lub porzućcie ich usługę w ogóle. Luka w OpenSSL jest łatwa do naprawienia, więc jeśli jeszcze ktoś tego nie zrobił, nie warto powierzać mu swoich danych.
Jeśli chcecie dowiedzieć się więcej o problemach z OpenSSL, zajrzyjcie do naszych newsów i artykułów na ten temat:
- Czym jest Heartbleed: 5 kroków dla ochrony i bezpieczeństwa
- Ogromna dziura w zabezpieczeniach wielu serwerów, 65% z nich narażona na kradzież danych użytkowników
- Luka w OpenSSL – kolejne doniesienia z frontu
Źródło: Własne
