Το σάιτ τεχνολογίας Mashable προσπάθησε να περιορίσει τη σύγχυση που προκάλεσε η ανακάλυψη του κενού ασφάλειας Heartbleed,δημιουργώντας μια λίστα με βάση τις δηλώσεις που έχουν κάνει έως τώρα οι δημοφιλέστερες online υπηρεσίες, σχετικά με το αν προτρέπουν ή όχι τους χρήστες να αλλάξουν άμεσα τους κωδικούς τους.
Έχοντας χαρακτηρισθεί από την πρώτη στιγμή ως μία από τις μεγαλύτερες ευπάθειες στην ιστορία του ίντερνετ, το Heartbleed είναι μια «κερκόπορτα» στο OpenSSL, ένα από τα δημοφιλέστερα λογισμικά κρυπτογράφησης. Έτσι, αν και το OpenSSL κανονικά εγγυάται πως κάθε είδους ευαίσθητη πληροφορία (όπως οι κωδικοί πρόσβασης) διακινείται με ασφάλεια μεταξύ υπολογιστών και σέρβερ, η ύπαρξη του Heartbleed σημαίνει πως εδώ και τουλάχιστον δύο χρόνια θα μπορούσε να αποκτήσει πρόσβαση σε αυτά τα δεδομένα οποιοσδήποτε χάκερ.
Η είδηση για την ευπάθεια στο λογισμικό κρυπτογράφησης προκάλεσε σύγχυση στους περισσότερους χρήστες ανά τον κόσμο, οι οποίοι δεν γνώριζαν κατά πόσο οι online υπηρεσίες που προτιμούν βασίζονται στο OpenSSL για την κρυπτογράφηση – και επομένως κατά πόσο είναι πιθανόν να έχουν υποκλαπεί ευαίσθητα δεδομένα τους.
Ακόμη χειρότερα, αν και αρχικά πολλοί αναλυτές συνέστησαν την άμεση αλλαγή των password σε όλες τις ευάλωτες πλατφόρμες, στην πορεία φάνηκε πως η λύση αυτή είναι αποτελεσματική μόνον για εκείνες που έχουν αναβαθμισθεί σε μια νέα και ασφαλή έκδοση του OpenSSL. Κι αυτό γιατί, αν αλλάξει κανείς τον κωδικό του σε μία υπηρεσία που συνεχίζει να χρησιμοποιεί τη «διάτρητη» παραλλαγή του OpenSSL, τότε στην πραγματικότητα θέτει σε κίνδυνο τόσο τον παλιό όσο και τον νέο κωδικό του.
Ο κατάλογος του Mashable έρχεται να βάλει μια τάξη στο χάος, ξεκαθαρίζοντας κατ’ αρχάς ποιες εταιρείες δεν χρησιμοποιούν το OpenSSL και, κατά συνέπεια, η ανακάλυψη του Heartbleed δεν έχει καμία επίδραση στη λειτουργία τους.
Συνεπώς, με βάση τις δηλώσεις τους, το LinkedIn, η Apple, η Amazon, η Microsoft, το eBay, το PayPal και το Evernote βασίζονται σε άλλα λογισμικά κρυπτογράφησης. Κάτι που σημαίνει πως οι χρήστες τους μπορούν να εμπιστεύονται τα password που έχουν επιλέξει ήδη.
Στον αντίποδα, το Instagram, το Pinterest, η Yahoo, το Dropbox, το Box και το SoundCloud ανέφεραν πως αξιοποιούν το OpenSSL, έχοντας πάντως αναβαθμίσει στο μεταξύ τα συστήματά τους στη νέα έκδοση του λογισμικού κρυπτογράφησης. Έτσι, οι χρήστες των υπηρεσιών τους θα πρέπει να αλλάξουν κωδικό.
Πιο διπλωματικά, το Facebook δήλωσε πως αντιμετώπισε την ευπάθεια πριν καν αυτή δημοσιοποιηθεί, χωρίς μάλιστα να έχει εντοπίσει «ίχνη» υποκλοπής. Πάντως, προσθέτει πως το Heartbleed είναι μια πρώτης τάξεως ευκαιρία ώστε τα μέλη του να ορίσουν ένα password για το κοινωνικό δίκτυο, που να μην χρησιμοποιούν σε κανένα άλλο σάιτ.
Τέλος, η Google ανέφερε πως χρησιμοποιεί στις υπηρεσίες του το OpenSSL, το οποίο έχει ήδη αναβαθμίσει. Εντούτοις, υποστηρίζει πως οι χρήστες δεν χρειάζεται να αλλάξουν τους κωδικούς τους.
Πηγή: http://www.kathimerini.gr
Επιμέλεια: Θανάσης Φρυδάς, Μηχανικός Η/Υ και πληροφορικής
