Ένα πρόβλημα (bug) σε λογισμικό που χρησιμοποιείται από εκατομμύρια servers σε όλο τον κόσμο θα μπορούσε να εκθέσει τους επισκέπτες των ιστοσελίδων τις οποίες «φιλοξενούν» σε υποκλοπές και παρακολούθηση, σύμφωνα με ερευνητές.
Το OpenSSL χρησιμοποιείται για την προστασία «ευαίσθητων» δεδομένων και δεν έχει διαπιστωθεί πόσο εκτεταμένη είναι η εκμετάλλευσή του, καθώς οι επιθέσεις τέτοιου τύπου δεν αφήνουν ίχνη.
Όπως αναφέρεται σε δημοσίευση σε blog του Tor Project (λογισμικό για «αόρατη» περιήγηση στο Ίντερνετ), εάν κάποιος χρησιμοποιεί έκδοση του OpenSSL παλαιότερη των 1.0.1-1.0.1f, είναι ασφαλής.
«Το bug αυτό επηρεάζει πολύ περισσότερα προγράμματα από το Tor – να περιμένετε να δείτε όλους όσους χρησιμοποιούν https webservers να κινητοποιούνται. Αν χρειάζεστε “ισχυρή” ανωνυμία ή ιδιωτικότητα στο Ίντερνετ, ίσως να πρέπει να μείνετε μακριά από το Δίκτυο για τις επόμενες ημέρες» αναφέρεται σχετικά.
Σύμφωνα με το BBC, το πρόβλημα αυτό καθιστά εν δυνάμει ευάλωτο ένα πολύ μεγάλο τμήμα του Ίντερνετ, καθώς το OpenSSL χρησιμοποιείται στα λογισμικά Apache και Nginx, που χρησιμοποιούνται ευρέως σε servers σε όλο τον κόσμο. Πολλές εταιρείες σπεύδουν να περάσουν patches ενώ άλλες σταματούν τη λειτουργία υπηρεσιών τους μέχρι να βρεθεί λύση, αναφέρει ο Κεν Μάνρο, ειδικός ασφαλείας της Pen Test Partners.
Το εν λόγω bug εντοπίστηκε από ερευνητές της Google και της εταιρείας Codenomicon. Σε σχετική δημοσίευση σε blog, ανέφεραν ότι το πρόβλημα επέτρεπε σε έναν «εισβολέα» να «διαβάσει» κομμάτια μνήμης σε servers που χρησιμοποιούσαν τη συγκεκριμένη έκδοση του OpenSSL. Με αυτόν τον τρόπο, ήταν δυνατή η απόκτηση των «κλειδιών» που χρησιμοποιούνται για την κρυπτογράφηση/ κωδικοποίηση υλικού που διακινείται μεταξύ ενός server και των χρηστών του.
«Αυτό επιτρέπει στους εισβολείς να παρακολουθήσουν επικοινωνίες, να υποκλέψουν δεδομένα απευθείας από υπηρεσίες και χρήστες και να προσποιηθούν υπηρεσίες και χρήστες» έγραψαν σχετικά.
Το bug, το οποίο κατονομάστηκε «Heartbleed» δεν συναντάται στην τελευταία έκδοση του OpenSSL, που κυκλοφόρησε στις 7 Απριλίου. Ωστόσο, ήταν παρόν σε εκδόσεις που χρησιμοποιούνταν για πάνω από δύο έτη.
Μεταξύ των συστημάτων που έχουν επηρεαστεί είναι τα Imgur, OKCupid, Eventbrite και η ιστοσελίδα του FBI.