Vreme
Bezbednosna aritmija


Autor
piše:
Zoran
Stanojević

Jeste li već promenili sve pasvorde koje koristite, naročito ako ste komotni u onlajn bankarstvu? Ako niste, zašto niste? Jer je pre desetak dana, tačnije 9. aprila objavljeno da je veliki broj servera u svetu kompromitovan naročitom vrstom kompjuterske "bube" (različito od virusa) pod nazivom Heartbleed ("bušno srce" u slobodnom prevodu). Zahvaljujući ovom propustu milioni naših pasvorda bili su dostupni nekim internet zlicama. Ozbiljni provajderi i kompanije rupu su zakrpili ili, ako hoćete, istrebili su bube iz svojih servera, ali pasvorde morate promeniti sami. Jer ih neko, možda, zna i može da ih upotrebi.

Ko želi podrobnije da se informiše o problemu može to da uradi na sajtu heartbleed.com. Za one nestrpljive, evo kratkog i kusog objašnjenja. Poslednjih godina postalo je popularno koristiti OpenSSL protokol za bezbednu komunikaciju između kompjutera. Primetićete, povremeno, da su vaše poruke ili mesta gde se logujete obeležena kao SSL ili TLS (Secure Socet Layer odnosno Transprot Layer Security) što bi trebalo da bude garancija da niko sem vas i kompjutera na drugoj strani ne zna šta komunicirate.

Open SSL je verzija protokola razvijana u otvorenom kodu. Početkom 2011. jedan programer napravio je dodatak pod nazivom Heartbeat (otkucaj srca) koji je malo unapredio protokol. Naime, sigurnosni protokoli imaju stalnu potrebu da kontrolišu bezbednost veze, odnosno da li se još neko uključio u nju. Kompjuteri su neprestano jedan drugog pitali "jesi li to stvarno ti" i čekali na ispravan odgovor. Hearbeat je tu proceduru pojednostavio, uveo je takt koji je garantovao sigurnost komunikacije bez stalne provere, što je ubrzalo i olakšalo razmenu. Ako je drugi kompjuter "u ritmu", sve je u redu. Međutim, programeri su propustili da primete da dodatak ima rupu i da se neželjeni računar može neprimetno sinhronizovati, tako da i on prima sve informacije u "ritmu srca".

Čim je problem primećen, rupa je zakrpljena, samo je prošlo previše vremena. Sada je na nama da se pobrinemo za sebe. Za početak, zapitajte se da li vas je iko do sada obavestio da ste ugroženi, jer OpenSSL koriste mnogi? Ako i nije, savet je da sve pasvorde koje ste koristili odmah promenite, a zatim i da izbrišete sve iz memorije vašeg brauzera, dakle kolačiće i sve što je tamo zapamćeno. To je, otprilike, sve što prosečan korisnik i može da uradi.

Sajtovi koji su potencijalno (bili) ugroženi su Fejsbuk, Instagram, Pinterest, zatim svi Gugl i Jahu servisi (imejl, takođe), potom Flickr, YouTube. Širi spiskovi sajtova mogu se naći na internetu. Nažalost, nema baš nikakvih informacija da je ugrožen bilo koji domaći sajt, ne daj bože usluga koja uključuje plaćanje na internetu.

Bilo bi lepo da smo u ovoj situaciji bili "mimo sveta", no realnije je da se samo junački na sve to ne obaziremo. A i šta ima nama neko da ukrade, jelda?