הפירצה בפרוטוקול ההצפנה הפופולרי OpenSSL תפסה את רוב האתרים לא מוכנים. הפירצה המכונה Heartbleed היא תקלה קריטית הקשורה למערכת ההצפנה של רבים מאתרי האינטרנט ובאמצעותה הפורץ יכול לגשת למידע רגיש בשרת הרשת, להגיע למפתחות מוצפנים ולהשיג כתובות, פרטים אישיים, כרטיסי אשראי (באתרי קניות) ואף לגנוב את זהות הגולש.

התקלה מאפשרת לקרוא את הזיכרון הפעיל של מערכות שמוגנות על ידי גרסאות של מערכת ההצפנה, אם אותה מערכת כוללת את התקלה הזו. כל מה שצריך כדי לעשות זאת הוא דפדפן.

לפי ההערכה, Heartbleed עלולה להשפיע על כשני שליש מהאתרים בעולם, וזה כולל את האתרים הגדולים כדוגמת גוגל (Google) על שלל שירותיה, חברות האחסון Dropbox ו-Box, אינסטגרם, יאהו, אמזון, GoDaddy ועוד. אבל הפירצה לא מסתיימת רק ברשת, אלא גם בציוד תקשורת שבו מוטמע הפרוטוקול וכך גם סיסקו (Cicso), לינקסיס (Linksys) וג’וניפר (Juniper) סובלים מהבעיה בחלק מהמוצרים שלהם.

מה עושים?

דבר ראשון לא להיכנס לפאניקה. כדי שהאקר יוכל להגיע למידע שלנו הוא צריך לעבוד לא מעט כדי להגיע למידע רלוונטי, אבל בכל זאת כדי לבדוק האם שירותי הרשת החביבים עליכם פגיעים מפירצת ה-Heartbleed.

אם אתם משתמשים בדפדפן הכרום (Chrome), ביכולתכם להוריד אפליקציה בשם Chromebleed Checker, שבודקת את האתרים שאתם גולשים בהם. במידה שהאפליקציה נתקלת באתר בו גרסת ה-OpenSSL שנמצאת בשימוש עדיין לא עודכנה וכוללת את הבאג, היא מתריעה על כך מייד ומאפשרת לכם לברוח ממנו מהר ככל האפשר, לפני שהנתונים שלכם נרשמים בו.

מה לגבי סמארטפונים?

גם מכשירי הטלפון שלנו המכילים מידע מוצפן יכולים להיות פגיעים וחשופים לפירצה. אם יש לכם מכשיר של אפל (Apple), אתם יכולים להיות רגועים יותר מבעלי האנדרואיד, שכן כברירת מחדל, התקלה לא משפיעה על אף גרסה של OS X ו-iOS. אפל לא משתמשת ב-OpenSSL במערכות ההפעלה שלה. גם מיקרוסופט מסרה מערכות ההפעלה שלה לא מושפעות מהתקלה מאחר שהיא משתמשת בדרך שונה כדי ליישם תהליכי SSL או TSL.

מי שכן יכול להיות פגיע הם דווקא מכשירים המריצים את מערכת האנדרואיד של גוגל, מה שמהווה כמובן בעיה לרוב מכשירי הסמארטפון. כרגע, לבעלי המכשירים אין הרבה מה לעשות, כי כאמור, גוגל היא זו שצריכה לעדכן את מערכת ההפעלה, אולם יש אפליקציה שתאפשר להם להיות מודעים לבעיה: שמה של האפליקציה הוא, באופן לא מפתיע, Heartbleed Detector. היא קובעת האם "הלב המדמם" עלול לפגוע במכשיר שלכם או לא. התוצאות האפשריות הן: גרסת ה-OpenSSL במכשיר לא מושפעת מהתקלה; היא מושפעת אבל ההתנהגות הפוגענית לא ניתנת לביצוע ולכן הכול בסדר; והתוצאה החמורה מכל: הגרסה פגיעה ומאופשרת, מה שאומר שהמכשיר ניתן לחדירה מרחוק בעת גלישה ממנו באינטרנט.

עם כל האמור לעיל, גם מכשירים שמוגנים לכאורה (כולל iOS ו-Windows Phone) יכולים להיות חשופים לפירצה, זאת אם התקנתם אפליקציה, אחת או יותר, שמשתמשת ב-OpenSSL, והבאג יכול לחדור למכשיר דרכה. במידה שאתם גולשים לאתרים שמשתמשים ב-OpenSSL, לדוגמה כדי לאחסן קבצים שמורים מוצפנים, המידע יכול להיחשף לתקלה. הדרך היחידה לוודא שהנתונים שלכם מוגנים היא לבדוק האם השירותים ברשת אותם אתם צורכים להעברות המידע משתמשים ב-OpenSSL ואם כן, האם הם תוקנו או לא.

גוגל כבר מסרה שהיא נמצאת בשלבי הסיום של תיקון השרתים שלה, ותיקון הפירצה במערכת ההפעלה, אבל זה לא אומר שיתר האתרים בעולם כבר תיקנו את הבעיה לכן אנו ממליצים בשירותים חשובים להחליף את הסיסמה שלכם.

שתף:
-פרסומת-
העורך הראשי ומנהל האתר. איש חומרה שנולד עם מברג ביד ומקום לכרטיס הרחבה. בעל תואר ראשון במדעי הטכנולוגיה ומעריץ מושבע של גאדג'טים מאז שהמציאו את המסך (גם לא מגע). מעביר את זמנו עם מוצר שזה עתה יצא לבין זה שייצא, חי את הרשת ואף פעם לא שוכח שטכנולוגיה טובה היא פרי מחשבתם של אנשים טובים.
  • משתמש אנונימי (לא מזוהה)

    ומה אם יש לי פיירפוקס?