חוקרי אבטחה גילו פגיעות רצינית ב-OpenSSL, ספריית התוכנה ההצפנה המגנה על אתרי אינטרנט רבים באינטרנט. הנה מה זה אומר עבורך, המשתמש הממוצע.
יש כאן הרבה מידע טכני וניואנסים, אבל אנחנו הולכים לנסות ולהפוך את זה לפשוט להבנה ככל האפשר. אם אתה יותר מתמצא בטכנולוגיה, אני ממליץ בחום לקרוא אתשאלות נפוצות על Heartbleed כאן, המספק מידע נוסף על הבעיה.
מה זה OpenSSL ו-Heartbleed?
OpenSSL הוא יישום קוד פתוח של SSL ו-TLS, הפרוטוקולים המאבטחיםהרבה ממה שאתה רואה באינטרנט. לאחרונה התגלה באג קריטי שקיים ב-OpenSSL כבר יותר משנתיים, שיכול לאפשר לכל אחד באינטרנט אולי לחשוף שמות, סיסמאות ותוכן שאתה שולח לאתר אינטרנט שנראה מאובטח. כפי שאתה יכול לדמיין, זה עניין גדול. (אם אתה סקרן לגבי אופן הפעולה של הבאג, בדוקפוסט זה מאתר האחות שלנו, Gizmodo).
אילו אתרים ושירותים מושפעים?
באג Heartbleed, כפי שהוא ידוע כעת, משפיע על כל אתרים ושירותים המריצים גרסאות ספציפיות של OpenSSL (1.0.1 עד 1.0.1f). אתרים רבים עשויים להפעיל גרסאות ישנות יותר של OpenSSL שאינן פגיעות, וסביר להניח שרבים כבר עדכנו לגרסה קבועה. יתר על כן, לא כל האתרים והשירותים משתמשים ב-OpenSSL. לדוגמה, 1Password מאבטח את המידע שלהם באמצעים שונים. LastPass משתמש ב-OpenSSL והיה פגיע (עד הבוקר), אך עקב הצפנה נוספת שמתרחשת במחשב שלך,LastPass אומר שהנתונים שלך עדיין בטוחים.
ההערכה היא כי למעלה מ-66% מהאינטרנט משתמש ב-OpenSSL, כך שחלק ניכר מהרשת עשוי להיות פגיע. אתה יכול לבדוק אתרים מסוימים באמצעותהכלי הזה, אם כי הוא לא יענה אם אתר היה פגיע בעבר בנקודה כלשהי בעבר. אתה יכולמצא רשימה של אתרים מושפעים כאן(מידע נוסף למטה).
מה אני, המשתמש הממוצע, יכול לעשות?
למרבה הצער, אין הרבה מה לעשות בנידון. הדרך היחידה לתקן בעיה זו היא שהאתרים הפגיעים יעדכנו את OpenSSL ויוציאו מחדש את אישורי האבטחה שלהם.
במידת האפשר, נסה להימנע מחיבור לאתרים ולשירותים פגיעים עד שהם מודיעים לך על תיקון. שינוי הסיסמה שלך לא יעזור עד שהאתר יתקן את הבאג, אז המתן לאישור מהאתרים המועדפים עליך לפני שאתה הולך לשנות סיסמאות. אם וכאשר תקבל אישור,לבדוק ולעדכן את הסיסמאות שלךכרגיל. אם אתר אינו פגיע אך אינו מוציא הצהרה, שנה את הסיסמאות שלך למקרה שהן היו פגיעות בעבר. אחרי הכל, זה לא יכול להזיק.עדכון: LastPassעכשיו יש כלישמאפשר לך לדעת אילו סיסמאות לשנות ומתי. גם ל-Mashable ישרשימה טובהשל שירותים לבדוק. מדהים!
זו רק סקירה בסיסית של מה קורה ואיך זה משפיע עליך. כמו שאמרנו, אם אתה טיפה יותר טכני,שאלות נפוצות זה של Heartbleedיש עוד מידע טכני על מה שקורה. מלבד זאת, הדבר הטוב ביותר שאנו המשתמשים יכולים לעשות הוא לחכות ולהישאר ערניים.