Heartbleed

Huhtikuun seitsemäntenä päivänä 2014 paljastui erittäin vaarallinen OpenSSL-kirjastoja koskeva haavoittuvuus. Haavoittuvuus CVE-2014-0160, toiselta nimeltään Heartbleed, liittyy OpenSSL:n 1.0.1-1.0.1f-versioihin, mitä hyödyntämällä hyökkääjä voi altistaa palvelimen vuotamaan evästeitä, sähköposteja ja salasanoja. Jos palvelimeen hyökätään useasti, haavoittuvuus saattaa vuotaa lisäksi palvelimen yksityiset salausavaimet, joiden avulla suojellaan HTTPS-liikennettä. Tämän jälkeen hyökkääjä voi ylläpitää oikean sivun jäljennöstä ja sitä hyödyntämällä varastaa kaiken tiedon, mitä käyttäjät antavat ilman, että käyttäjät tai oikean sivun ylläpitäjät huomaavat mitään.

Jos olet verkkosivujen ylläpitäjä ja olet käyttänyt OpenSSL:n haavoittuvaa versiota, päivitä se välittömästi ja vaihda salasanat sekä sertifikaatit. Suositeltavaa on ottaa lisäksi forward secrecy käyttöön ja parantaa salausmenetelmiä. Jos olet jonkin seuraavien palveluiden käyttäjä, vaihda salasanat välittömästi, ellet ole jo niin tehnyt haavoittuvuuden julkaisun jälkeen. Tämä on myös hyvä tilaisuus vahvistaa salasanoja ja vaihtaa salasanat muihinkin palveluihin hyvän tietosuojakäytännön mukaisesti.

Verkkosivustot, jotka vahvistetusti käyttivät haavoittuvaa versiota, mutta ovat korjanneet ongelman: Facebook, Instagram, Pinterest, Flickr, Tumblr, Google, Gmail, Youtube, Yahoo, Yahoo Mail, Amazon Web Services, Etsy, GoDaddy, Minecraft, Netflix, Soundcloud, Box, Dropbox, GitHub, Wikipedia, Wordpress, OKCupid.

Salasanojen vaihtaminen ei kuitenkaan kannata, jos palvelinta ei ole korjattu. Siksi verkkosivujen haavoittuvuusalttiutta voidaan ensin testata seuraavilla palveluilla:

https://filippo.io/Heartbleed/

https://www.ssllabs.com/ssltest/

Yksityisyydensuoja-sivusto oli myös haavoittuvainen, ja siksi palvelimelle tehtiin turvatoimenpiteitä, sivuston sertifikaatti uusittiin sekä koko salausta muutettiin tehokkaammaksi. Tämä sivusto tukee nykyisin forward secrecyä ja HSTS:ää, ainoastaan TLS-salausta ja vahvempia salausalgoritmeja.