Vaara 3
tyyppi: Muu

Heartbleed

Heartbleed-haavoittuvuus on OpenSSL-salauskirjaston ohjelmointivirhe. Virhe mahdollistaa hyökkääjän hankkivan luottamuksellisia tietoja, kuten käyttäjätunnuksia, salasanoja ja salaisia salausavaimia. Heartbleed-haavoittuvuutta voidaan hyödyntää ilman käyttäjän käyttöliittymää, ja yksityisiä tietoja voidaan hankkia kerrallaan 64 kb:n paloissa. Virallisesti Hearbleedin nimeksi on annettu CVE-2014-0160. Tämän vaikuttamiin OpenSSL-versioihin kuuluvat 1.0.1-1.0.1f ja 1.0.2-beta. Heartbleed-virhe on ainutlaatuinen, koska sitä on helppo hyödyntää eikä siitä jää jälkiä.

Heartbleed-haavoittuvuus koskee Heartbeat-laajennuksia. Haavoittuvuuden kiusaamien käyttäjien pitäisi päivittää OpenSSL 1.0.1g -versioon.

OpenSSL-sovellusta käyttävät erilaiset Internet-palvelut, mukaan lukien sähköpostipalveluiden tarjoajat ja keskustelufoorumit. OpenSSL Project perustettiin vuonna 1998 salaustyökalun luomista varten, ja tiedetään, että kaksi kolmasosaa verkkopalvelimista käyttävät sitä. OpenSSL-kirjastoa käytetään hallituksen verkkosivustojen, kaupallisten verkkosivustojen, ohjelmiston jakeluverkkosivustojen, jne. suojaamiseen. On arvioitu, että haavoittuvaisia verkkopalvelimia on n. 1,4 miljoonaa. Palveluntarjoajien pitäisi korjata Heartbleed-polun virhe ja kehottaa käyttäjiä vaihtamaan salasanansa. Salasana pitäisi vaihtaa vasta sitten, kun korjaus on toteutettu. Jos sinulla on Facebook-, Instagram-, Pinterest-, Tumblr-, Google-, Yahoo-, Etsy-, GoDaddy-, Flickr-, Minecraft-, Netflix-, SoundCloud- tai YouTube-tili, sinun pitäisi vaihtaa kirjautumissalasana. Ei ole selvää, onko tämä vaikuttanut Facebookiin, koska epäilyttäviä toimintoja ei ole havaittu. Tästä huolimatta on suositeltavaa päivittää salasanasi tietovuotojen ehkäisemiseksi.

Mitä mobiilikäyttöjärjestelmiin tulee, Apple iOS ja Microsoft Phone eivät sisällytä OpenSSL:ää, kun taas BlackBerry ilmoittaa, että haavoittuvuus ei koske BlackBerry-puhelimia. Mitä Androidiin tulee, on raportoitu, että haavoittuvuus koskee Android 4.1.1 -käyttöjärjestelmää.

On erittäin suositeltavaa vaihtaa tilin salasanoja määräajoin ja käyttää monimutkaisia salasanoja. Microsoftin mukaan Microsoft Account, Office 365, Yammer, Microsoft Azure ja Skype eivät kärsi Heartbleed-haavoittuvuudesta.

Heartbleed-ongelman on väitetty olevan Yhdysvaltain NSA:n (Kansallinen turvallisuusvirasto) tiedossa, joka kieltää tämän väitteen. Saatujen tietojen mukaan NSA ei kommentoi haavoittuvuuksia koskevaa raporttia ja kieltää syytökset siitä, että se olisi tietoinen haavoittuvuudesta.

Heartbleed-haavoittuvuutta pidetään yhtenä suurimpana pulmana Internetin historiassa. Kanadian hallitus esimerkiksi kehotti pitämään sähköistä veronilmoitusten tekoa kyseenalaisena.

Lataa vakoiluohjelmiston poistotyökalu ja poista* Heartbleed
  • Nopea & testattu ratkaisu Heartbleed poisto.
  • 100-prosenttisen ilmainen skannaus Windowsille
disclaimer
Disclaimer

Julkaise kommentteja — HALUAMME MIELIPITEESI!

Kommentti:
Nimi:
Anna tietoturvakoodi:
This is a captcha-picture. It is used to prevent mass-access by robots.