Online Tržište

Još jedan vrlo ozbiljan bezbedonosni propust uznemirio je online javnost. Naime, postoji velika opasnost da su vaše lozinke i finansijske informacije možda bile izložene, reč je o bezbednosnom propustu u kodu koji koristi dve trećine “bezbednih” sajtova na Internetu.

Bezbedonosni propust u kodu nazvan Heartbleed je ranjivost u OpenSSL kriptografskoj biblioteci koja omogućava napadačima da nevidljivo čitaju osetljive podatke sa Web servera kao što su kriptografski ključevi, korisnička imena i lozinke. Heartbleed propust je otkrila Finska kompanija koja se bavi bezbednosti na Internetu Codenomicon i Google-ov stručnjak za bezbednost Neel Mehta.

Šta je Heartbleed?

Heartbleed je bezbednosni propust u kodu popularnih OpenSSL verzija, softvera koji se koristi za šifriranje i zaštitu privatnosti vaših lozinki, bankovnih informacija i ostalih poverljivih podataka koje unosite na “bezbednim” sajtovima, kao što su Yahoo, Google i ostali sajtovi koji se mogu prepoznati po ikoni “katanac” u vašem pretraživaču.

OpenSSL je najpopularniji open source Kod za šifrovanje na Internetu. Važno je naglasiti da Heartbleed propust utiče na verzije koje koristi više od dve trećine aktivnih sajtova na Internetu, kao i e-mail i chat serveri, virtuelne privatne mreže i neki hardverski uređaji kao što su ruteri.

Treba reći da Heartbleed nije virus niti malware, ali on može biti iskorišćen od strane zlonamernih programa i sajber kriminalaca.

Ranjivost omogućava “svakome na Internetu” da pročita memoriju sistema zaštićenog sa OpenSSL tj. sa kodom koji sadrži ovaj bezbedonosni propust, tako da oni mogu dobiti ključeve potrebne za dekodiranje i čitanje podataka. Testovi su pokazali da Heartbleed propust omogućava pristup korisničkim imenima, lozinkama, instant porukama, e-mailovima, poslovnih dokumenata i poslovnoj komunikaciji.

Napadači imaju mogućnost da prisluškuju komunikaciju, kradu podatke direktno iz servisa i korisnika i da imitiraju usluge i korisnike,

navodi se na Heartbleed sajtu gde možete pronaći više informacija o ovom bezbedonosnom propustu.

Koje Internet usluge su pogođene?

Kompanija Microsoft je potvrdila da su njeni Azure Services prilično imuni na Heartbleed OpenSSL propust, osim za klijente koji koriste Linux slike u njenom Cloud-u. Google, Amazon, Rackspace i drugi su obavestili javnost o tome koje njihove usluga su pogođene.

Google navodi da je objavio zakrpu sa kojom rešava problem u uslugama Search, Gmail, YouTube, Wallet, Play, Apps i App Engine dok Chrome i Chrome OS nisu bili pogođeni. Kompanija navodi da će uskoro biti objavljena zakrpa za mobilni operativn i sistem Android 4.1.1, ostale verzije imune na Heartbleed propust, kao i za Search Appliance.

Google je takođe objavio zakrpe za sve instance na Cloud SQL i savetuje korisnike koji koriste Google Compute Engine da je potrebno da manuelno ažuririraju OpenSSL na svakoj pokrenutoj instanci ili da zamene sve postojeće slike sa verzijama koje uključuju ažuriran OpenSSL. Kompanija navodi da Heartbleed utiče na sve Debian, RHEL i CentOS instance u Compute Engine koji nemaju najnoviju verziju OpenSSL-a.

Za korisnike Google-ovog brzog HTTP protokola SPDY kompanija je objavila zakrpu, Apache modul koji podržava SPDY protokol.

Za one koji ne znaju šta je SPDY protokol od koristi će biti članak “Šta je Google-ov SPDY protokol i kako on pomaže u ubrzavanju Web-a”.

Yahoo navodi da su zakrpe objavaljene i da je većina njegovih usluga bezbedna.
Stručnjaci za bezbednost savetuju korisnike da sačekaju da online servisi objave da su popravile greške pa tek onda promene svoje lozinke.

Pre nekoliko dana objavljena je OpenSSL verzija sa svim bezbedonosnim ispravkama. Sajtovi i druge usluge mogu biti bezbedni korišćenjem ove nove OpenSSL verzije ili onemogućavanjem inficiranog dela Koda.

Ako ste zabrinuti za bezbednost na nekom sajtu, možete testirati taj sajt koristeći Qualys SSL Server Test.

Edward Snowden, bivši zaposlenik Američke tajne sužbe, čovek koji je raskrinkako Američko špijuniranje čitavog sveta putem Interneta, i čovek koga Američke službe neuspešno pokušavaju pratiti na Internetu i zaustaviti njegovo dalje objavljivanje po njih štetnih informacije o njegovim aktivnostima prikupljanja obaveštajnih podataka putem društvenih mreža i ostalih servisa na Internetu.

Učestvujući nedavno putem video linka na bezbednosnoj South by Southwest konferenciji, Edward Snowden je dao tri jednostavna saveta kako se osigurati da niko ne može da prati vaše online aktivnosti. Potrebno je da uradite enskripciju (šifriranje) hard diska, koristite Tor kako bi osigurali vašu online anonimnost kao i da koristite dodatak za preglednik koji blokira praćenja koja dolaze od tkz. trećih strana.

Enskrpcija hard diska

To što lozinkom štitite datoteke na vašem računaru je samoprvi korak ka sigurnosti vaših podataka. Enskripcija (šifrovanje) celog hard diska na računaru obezbeđuje da su vaši podaci bezbedni, čak i ako neko ukrade vaš računar.

Novije verzije operativnih sistema Windows i Mac dolaze sa ugrađenim alatima za šifrovanje diska. BitLocker, koji šifruje ceo hard disk, dolazi ugrađen u verzije Windows 7 Ultimate i Windows 7 Enterprise, kao i u Windows 8.1 Pro i Enterprise. Mac korisnici treba da koriste FileVault 2, koji je dostupan za sve Mac računare koji koriste OS X Lion 10.7 ili noviji.

Oni sa starijim operativnim sistemima treba da koriste neki drugi program za enskripciju hard diska kao što je na primer TrueCript.

Sakrijte se sa Tor

Tor je akronim za The Onion Router, radi se o mreži koja vam obećava anonimnost i privatnost na Internetu. Njegova popularnost značajno je porasla poslednjih nekoliko meseci pošto se otkrilo da posta obavezan alat kriminalaca koji žele da diskretno obavljaju ilegalne aktivnosti.

Koristeći Tor, vaše online aktivnosti ostaju anonimne tako što se Web promet rutira kroz nekoliko različitih servera pre slanja je do vašeg računara. Tor nudi sopstveni pretraživač koji se ne može tako lako pratiti online. Sličan je ostalim pretraživačima s tim da je sporiji, jer se Internet promet usmerava kroz niz proksija kako bi se maskirali tragovi i osigurala anonimnost. Tor Browser Bundle dostupan je za Windows, Mac i Linux korisnike.

Dodatak za preglednik sprečava praćenje

Postoji nekoliko dodataka (plug-in) za pretraživače koji osiguravaju da vaše online aktivnosti ostanu anonimne. Najpopularniji svakako je Ghostery. Radi se o dodatku dostupnom za većinu pretraživača koji će detektovati sve one koji vas prate te vam ponuditi opcije za njihovo blokiranje.

Takođe, možete koristiti pretraživač DuckDuckGo, koji štiti vašu privatnost tj. koji ne snima niti deli vaše pretrage. DuckDuckGo navodi da je u poslednjih nekoliko meseci njegova poplarnost u velikom porastu a najveći razlog za to je skandal o Američkom praćenju ljudi na Internetu.

Nakon kritika koje su se pojavile nakon nedavnog pokretanja Mega Cloud servisa za pohranu (nasljednika Megaupload-a), kontroverzni Kim Dotcom ponudio je  10.000 evra nagrade svakome tko uspije probiti kriptografiju dizajniranu s ciljem da se se povjerljive datoteke korisnika zaštite od hakera i drugih neovlaštenih osoba.

Servis Mega debitirao je prije dva tjedna u ubrzo se našao na meti kritičara koji su isticali postojanje potencijalne ranjivosti koja može da se iskoristi za otključavanje privatnih datoteka korisnika. Također, i sama dokumentacija Mega servisa prilično je nejasno po pitanju zaštite privatnih ključeva za kriptiranje. Kritizirana je ovisnost Mega servisa o JavaScript-u koji se preuzima sa Mega servera i koji se koristi za kriptiranje datoteke prije nego što se ona otpremi na Cloud servis.

Također, Mega novim korisnicima šalje nekodiranu e-mail potvrdu koja sadrži ne samo kriptografski hash njihove lozinke već i druge osjetljive podatke kao što je šifrirani master ključ koji se koristi za dekriptiranje datoteka pohranjenih na računu.

• Svi oni koji žele da osvoje nagradu od 10.000 evra moraju znati koje ranjivosti konkuriraju za nagradu:
• Daljinsko izvršavanje koda na bilo kojem od Mega servera (uključujući i SQL injection)
• Daljinsko izvršavanje koda na bilo kojem pregledniku klijenta (npr., kroz XSS)
• Svaki problem koji razbija kriptografski sigurnosni model servisa Mega, omogućujući neovlašteni daljinski pristup ili manipulaciju ključevima ili podacima
• Svaki problem koji zaobilazi kontrolu pristupa, omogućujući neovlašteno prepisivanje ili uništavanje ključeva ili korisničkih podataka
• Svaki problem koji ugrožava podatke na računu u slučaju kada je povezana e-mail adresa ugrožena

Samo oni koji su prvi pronašli ranjivost imaju pravo na nagradu. Kim Dotcom navodi da svatko tko pronađe ranjivost može da je dostavi na bugs@mega.co.nz.