Heartbleed - Το σοβαρότερο κενό ασφαλείας

Το Heartbleed είναι ένα σφάλμα λογισμικού που προκαλεί κενό ασφάλειας (security bug) στην ανοιχτού κώδικα βιβλιοθήκη κρυπτογραφίας OpenSSL, που χρησιμοποιείται ευρέως στο πρωτόκολλο ασφάλειας επιπέδου μεταφοράς του Διαδικτύου TLS (Transport Layer Security).


Πρόκειται για ένα τρωτό σημείο, που οφείλεται σε απουσία ελέγχου ορίων, στην επέκταση heartbeat του πρωτοκόλλου TLS. Μία διορθωμένη έκδοση του OpenSSL, διατέθηκε στις 7 Απριλίου 2014, ημερομηνία που αποκαλύφθηκε δημοσίως το Heartbleed. Τότε, περίπου 17% (σχεδόν μισό εκατομμύριο) από τους ασφαλείς εξυπηρετητές ιστού του Διαδικτύου, που είχαν πιστοποιηθεί από έμπιστες αρχές, θεωρήθηκε ότι ήταν τρωτοί σε επίθεση, επιτρέποντας την κλοπή των ιδιωτικών κλειδιών των εξυπηρετητών, καθώς και των συνθηματικών και των cookies των συνεδριών επισκέψεων των χρηστών του Διαδικτύου.


Τόσο το Ίδρυμα Ηλεκτρονικών Συνόρων (Electronic Frontier Foundation), όσο και η Ars Technica και ο Μπρους Σνάϊερ θεώρησαν το Heartbleed καταστροφικό. Ο αρθογράφος του Φόρμπς σε θέματα κυβερνοασφάλειας Τζόζεφ Στάινμπεργκ έγραψε: "Ορισμένοι θεωρούν ότι το Heartbleed αποδεικνύεται το σοβαρότερο κενό ασφάλειας (τουλάχιστον αναφορικά με τις εν δυνάμει επιπτώσεις του) που έχει ανακαλυφθεί αφότου ξεκίνησε η εμπορική χρήση του Διαδικτύου".


Εκπρόσωπος της κυβέρνησης του Ηνωμένου Βασιλείου πραγματοποίησε την ακόλουθη σύσταση: "Οι άνθρωποι πρέπει να ακολουθούν τη συμβουλή να αλλάζουν τα συνθηματικά σε ιστοχώρους που επισκέπτονται... Οι περισσότεροι ιστότοποι έχουν διορθώσει το σφάλμα και οι εκπρόσωποί τους είναι οι πλέον αρμόδιοι για να συμβουλέψουν τους χρήστες". Την ημέρα της αποκάλυψης του σφάλματος, το Tor Project συμβούλεψε οποιονδήποτε αναζητά "ισχυρή ανωνυμία ή ασφάλεια στο Διαδίκτυο να το αποφύγει εντελώς για τις επόμενες ημέρες μέχρι να καταλαγιάσουν τα πράγματα."

To Heartbleed έχει καταχωρηθεί στο Σύστημα Κοινών Αδυναμιών (Common Vulnerabilities and Exposures) ως CVE-2014-0160. Το ομοσπονδιακό Καναδικό Κέντρο Αντιμετώπισης Κυβερνοσυμβάντων εξέδωσε ανακοινωθέν προς διαχειριστές ασφαλείας σχετικά με το σφάλμα.

Πηγή: Wikipedia