Internetis ilmnes tohutu turvarisk
10. aprill 2014, 15:54
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Turvaeksperdid nimetavad hiljuti ilmnenud serveritarkvara turvaauku koodnimega Heartbleed «katastroofiliseks». See võib puudutada iga internetikasutajat.
Riigi Infosüsteemi amet teatab oma kodulehel, et OpenSSL krüptovaras ilmnenud vea tõttu võivad ründajate ligi saada serveri või kliendi võtmele, kasutajate paroolidele, edastatud (krüptitud) sisule jms. Reeglina ei jää turvavea ärakasutamisest jälge teenust osutava serveri logidesse. Teenused, mis võivad olla ohustatud:
- veebiserverid, mis kasutavad avatud tarkvara nagu Apache ja nginx,
- e-post (SMTP, POP ja IMAP protokollid),
- suhtlusserverid (XMPP protokoll),
- virtuaalprivaatvõrgud (SSL VPN),
- võrguseadmed,
- mitmesugune klienditarkvara.
Et tagantjärele pole võimalik potentsiaalse kahju ulatust kindlaks teha, on otstarbekas genereerida serverile uus privaatvõti ja hankida sellega kaasnev uus sertifikaat, samuti algatada teenuse kõigi kasutajate paroolide vahetamine. Eesti serveritest on veaga umbes viis protsenti, RIA kutsub süsteemiadministraatoreid kiiremas korras tarkvara uuendama.
Turvaveast on haavatud sellised suured teenusepakkujad ning organisatsioonid nagu Deutsche Bank, Yahoo (koos Flicrki ja Tumblriga), Imgur ja isegi FBI, kirjutab Guardian. Kogu maailmas võib rünnaku alla sattuda umbes pool miljonit veebilehte. «Katastroof on just õige sõna,» ütles sõltumatu turvaekspert Bruce Schneier. «Skaalal ühest kümneni küünib see üheteistkümneni.»
Yahoo ja BBC soovitasid, et kasutajad hetkegi viivitamata oma salasõnad ära muudaksid – turvalekke puhul tavapärane meede. Aga kui serveritarkvara on süsteemiadministraatorite poolt paikamata, muutub oht hoopis kahekordseks, sest ründaja kätte satub nii vana kui uus salasõna, seletas Mark Schloesser tarkvaraturvafirmast Rapid7. Tumblr soovitas vea ilmnemisel oma kasutajatel vaba päev võtta ja kõikvõimalike internetiteenuste salasõnu muutma hakata, kuid Schloesseri meelest tark ei torma. Tema hinnangul tasuks oodata, kuni süsteemiadministraatorid on vea parandanud, mis peaks juhtuma neljapäeva-reede jooksul.
Kindlaks on tehtud, et see viga eksisteerib OpenSSLis vähemalt 2012. aasta maikuust, aga kuna ründest ei jää logidesse jälgi, pole võimalik tagantjärele kindlaks teha, kas seda on kurjasti kasutatud. Internetis hakati kohe vea avalikuks tulekul spekuleerima, et ehk on selle OpenSSLi sisse smugeldanud näiteks USA National Securty Agency (NSA), kes on huvitatud kasutajate andemete kogumisest. Schloesser nentis, et tema meelest on siiski tegemist lihtsalt inimliku veaga, aga seda ei saa kuidagi tõestada.
Heartbleedist, selle ohtudest ja parandamisest loe lähemalt siit.