Pe 1 aprilie (2014) Neel Mehta - un inginer de la Google - publică o breșă de securitate descoperită într-o extensie (creată în 2011 și introdusă în OpenSSL în 2012) - Heartbeat -  a unuia dintre cele mai folosite programe cu sursă deschisă pentru securizarea conexiunilor pe internet, OpenSSL. Pe 3 aprilie o mică firmă de securitate finlandeză, Codenomicon, raportează descoperirea aceluiași bug, îl denumesc "Heartbleed" și creează un logo pentru el:

La o primă evaluare efectele sunt dramatice: cam două treimi din internet sunt afectate de această breșă de securitate. Google, Yahoo!, Facebook, Instagram, Pintrest, Tumblr, Gmail, Dropbox și alte multe și mari branduri de pe internet "sângerează" și se grăbesc să remedieze bug-ul. Cisco Systems si Juniper Networks anunță că unele din produsele (routere, switch-uri, firewall-uri și alte echipamente) sunt afectate de Heartbleed. Acum câteva zile se descoperă că Androidul 4.1.1 este și el compromis. Serverele rețelei de anonimizare Tor Project sunt și ele afectate de bug, la fel și multe distribuții linux: Debian, CentOS, Ubuntu, Mint etc.

Ce este așadar Heartbleed?

Este rezultatul unei erori comune de programare - buffer over-read (adică o eroare care permite să se citească din memorie o cantitate mai mare de date decât ar trebui să fie permis). Pe Wikipedia găsim următoarea explicație plastică:

Pe când o cerere legitimă Heartbeat i-ar putea cere serverului "trimite înapoi cuvântul de 4 litere 'casă'", având ca răspuns cuvântul "casă", o cerere ilegitimă Heartbeat ca "trimite înapoi cuvântul de 500 de litere 'casă'" va face ca serverul să trimită drept răspuns "casă" urmat de 496 de caractere care se întâmplă să fie atunci în memoria activă.

Astfel un atacator ar putea avea acces la informații sensibile ca parole, nume de utilizatori, discuții de mesagerie instantanee, blocuri cookie, chiar cheia privată principală a unui server cu care acesta criptează traficul - atacatorul putând astfel să decripteze traficul curent și pe cel stocat, ba chiar putând să creeze saituri-clonă ale celor exploatate inducând astfel utilizatorii să se logheze pe aceste saituri false pentru a le putea fura credențialele și alte date importante.

Cum să te aperi de Heartbleed, tu, un simplu internaut?

Marile saituri și-au petecit software-ul afectat de pe servere, acum este (tare) recomandat să schimbi parolele pe saiturile cele mai importante dar și pe celelalte (mai ales dacă folosești o parolă pentru a te loga pe mai multe saituri), să nu faci tranzacții bancare de pe smartfonul cu Android 4.1.1, ba e chiar indicat să renunți la operații importante pe internet în aceste zile.

Deși inițial s-a crezut că eroarea e destul de greu de exploatat și deci că vor fi puțini atacatori, se pare că în ultimele zile au apărut cazuri de exploatare destul de grave. (Astăzi, în Canada, a fost făcut și primul arest al unui atacator). Și cu siguranță vor mai fi și altele. Gravitatea situației depinde foarte mult de faptul dacă e posibil ca atacatorii să fi descoperit acest bug cu mult timp înainte de expunerea lui publică (Heartbeat este în uz din 2012...). În acest caz este posibil ca rezultatele să fi mult mai devastatoare.

P.S.

Se pare că deja apar pe internet scripturi care facilitează exploatarea sistemelor compromise. Atenție!