Filip Nowotny Mówi się, że bardzo rozpowszechniony błąd oprogramowania Heartbleed, który stanowi obecnie prawdopodobnie największe ryzyko w Internecie, nie ma wpływu na serwery Apple. Ta luka w zabezpieczeniach dotyczy aż 15% najczęściej odwiedzanych stron internetowych na świecie, ale użytkownicy iCloud lub innych usług Apple nie muszą się obawiać. Powiedział to serwer amerykański Re / kod.
„Apple bardzo poważnie podchodzi do kwestii bezpieczeństwa. Ani iOS, ani OS X nigdy nie zawierały tego oprogramowania, które można wykorzystać, i nie miało to wpływu na kluczowe usługi internetowe” – powiedział Apple Re/code. Użytkownicy nie powinni więc obawiać się logowania do iCloud, App Store, iTunes czy iBookstore, czy zakupów w oficjalnym e-sklepie.
Eksperci zalecają stosowanie na poszczególnych stronach różnych, odpowiednio silnych haseł, a także oprogramowania do przechowywania danych, np. 1Password czy Lastpass. Pomocny może być także wbudowany generator haseł przeglądarki Safari. Poza tymi środkami nie jest konieczne podejmowanie żadnych dalszych kroków, gdyż Heartbleed nie jest klasycznym wirusem atakującym urządzenia klienckie.
Jest to błąd oprogramowania technologii kryptograficznej OpenSSL, z której korzysta duża część serwisów internetowych na świecie. Luka ta umożliwia atakującemu odczytanie pamięci systemowej danego serwera i uzyskanie np. danych użytkownika, haseł czy innej ukrytej zawartości.
Błąd Heartbleed istnieje już od kilku lat, pierwszy raz pojawił się w grudniu 2011 roku, a twórcy oprogramowania OpenSSL dowiedzieli się o nim dopiero w tym roku. Nie jest jednak jasne, jak długo napastnicy wiedzieli o problemie. Mogli wybierać z dużego portfolio stron internetowych, a mianowicie Heartbleed mieszkał na całe 15 procent najpopularniejszych.
Przez długi czas podatne były nawet takie serwery jak Yahoo!, Flickr czy StackOverflow. Podatne były także czeskie strony internetowe Seznam.cz i ČSFD oraz słowackie SME. Obecnie ich operatorzy zabezpieczyli już dużą część serwerów aktualizując OpenSSL do nowszej, poprawionej wersji. Możesz sprawdzić, czy odwiedzane przez Ciebie witryny są bezpieczne, wykonując prosty test online test, więcej informacji znajdziesz na stronie internetowej Heartbleed.com.
Nie wiem, w jaki sposób używanie silnych haseł jest powiązane z problemem Heartbleed. Dzięki tej luce można uzyskać zarówno silne hasło, jak i słabe.
Co więcej, twierdzenie, że serwery nie są bezpieczne, jest dość głupie. Jak serwery powinny chronić się przed nieznanym błędem? Serwery były podatne na ataki.
Apple twierdzi, że nie korzystało z tego oprogramowania, które można zhakować. Więc albo używa starszego OpenSSL, ale w ogóle nie używa OpenSSL. Nie dlatego, że ma lepsze bezpieczeństwo.
OpenSSL nie jest jedyną implementacją protokołu SSL. Na przykład Microsoft również nie korzysta z OpenSSL.
O ile mi wiadomo, Apple nie korzysta z własnego rozwiązania SSL, więc jest wysoce prawdopodobne, że korzysta z biblioteki OpenSSL