Την τελευταία εβδομάδα, ανακαλύφθηκε και διορθώθηκε ένα σοβαρό κενό ασφαλείας στο openssl, το πρόγραμμα με το οποίο κρυπτογραφούνται οι συνδέσεις στο διαδίκτυο. Αυτές τις μέρες έχουν γίνει τα πάντα για να διορθωθεί. (διαβάστε περισσότερα σχετικά : skytal.es, heartbleed, eff)
Το κενό αυτό υπάρχει για περίπου δύο χρόνια, και είναι πιθανό να το γνωρίζουν κακόβουλοι και να το έχουν εκμεταλλευτεί.
Εξαιτίας αυτού, Στην Πρίζα αναβαθμίσαμε το openssl στην τελευταία του έκδοση που διορθώνει το πρόβλημα, και αλλάξαμε όλα τα SSL πιστοποιητικά μας, ώστε να είναι βέβαιο ότι χρησιμοποιούν την ενημερωμένη έκδοση.
— τα fingerprints πιστοποιητικών των κρυπτογραφημένων συνδέσεων της Πρίζας —
*.stinpriza.org + email:
SHA-1 FINGEPRINT : DE 8D 87 92 0A 82 A6 89 58 6A 1B 0F 47 DA BB 6E 51 B5 DA A8
SHA-256 FINGERPRINT : C1 FC 1C E5 CE E3 BD 6D 01 EF 17 4A E6 A2 52 3F AB 2A 82 53 9D B4 69 DA 8F EB C5 EA BA CC 3B 56
*.blogs.stinpriza.org :
SHA-1 FINGERPRINT : 91 EC 4B D8 FC 92 5F 91 70 88 0F A0 24 9D 90 37 22 85 AB A4
SHA-256 FINGERPRINT : 1F 18 C2 F5 CC 0B 17 99 82 9F 18 0F 31 26 6C 78 38 D2 90 81 9C 98 B7 4B 9B 44 2C 0F 14 1A 77 81
Το επόμενο που χρειάζεται, είναι όλες και όλοι να αλλάξουμε τα password μας, σε ότι χρησιμοποιεί ssl. Αυτό σημαίνει τα password στα email μας, σε ιστοσελίδες, forum κλπ. Σε οτιδήποτε χρησιμοποιεί https ή γενικότερα κρυπτογράφηση με λίγα λόγια…
συμπληρωματικά…. :
Το πρόβλημα που ανακαλύφθηκε στο ανοιχτό λογισμικό openssl οφείλεται σε προγραμματιστικό λάθος. Το πρόβλημα είναι αρκετά σοβαρό και επηρεάζει περίπου τα 2/3 των κρυπτογραφημένων συνδέσεων στο διαδίκτυο. Ανακαλύφθηκε ακριβώς επειδή είναι ανοιχτό λογισμικό και άρα διάφανο σε οποιοδήποτε έλεγχο. Tονίζουμε το ανοιχτό/ελεύθερο λογισμικό.., γιατί παρόμοια λάθη είναι πολύ πιθανό να υπάρχουν και σε κλειστά λογισμικά (λειτουργικά συστήματα όπως windoze, mac os, ios, βάσεις όπως της oracle, δικτυακές συσκευές όπως cisco κοκ..). Σε αυτές τις περιπτωσεις όμως δε θα το μάθει ποτέ κανείς μας πιθανότατα, γιατί πολύ απλά οι εταιρείες πίσω απο αυτά δε πρόκεται να μας το ανακοινώσουν ποτε λόγω της οικονομικής ζημιάς που θα τους προκαλούσε και της “φήμης” τους….