Viimaste aegade tõsiseim turvaauk Heartbleed - millised salasõnad peaksid kindlasti välja vahetama?

 (48)
Heartbleed
HeartbleedPilt: Heartbleed.com

Interneti turvaühenduses leitud auk Heartbleed on üks tõsisemaid viimasel ajal avastatud probleeme, kuid tavakasutaja ei saa ise eriti miskit teha peale paroolide muutmise - sealhulgas soovitatakse seda teha näiteks oma Facebooki, Gmaili või Dropboxi kontol.

Portaali Mashable ülevaates nimetatakse "nakatunute" seas näiteks Google'it, Yahoo'd, Gmaili, Dropboxi, Soundcloudi. Pole päris selge, kas turvaauk puudutab ka Facebooki, Twitterit. Küll aga soovitatakse kasutajatel muuta oma parooli Facebookis, Google'is, Yahoo's, Gmailis, Dropboxis, Soundcloudis.

Ka Facebook ise on andnud sarnase soovituse. "Me pole tuvastanud mingisugust kahtlast tegevust meie kontodel, aga soovitame inimestel seada originaalne salasõna," teatas Facebook.

SSL täheühendi taha peitub tehnoloogia, mis laseb kahel arvutil üle interneti turvaliselt ühenduda. Kui näiteks lähete internetipanka, näitab arvutis roheline tabaluku märk, et ühendus on SSL tehnoloogiaga kaitstud ja võõrad ei saa teie pangaparoole jälgida. Soome ja Google’i infoturbe eksperdid avastasid aga ühes sellise turvaühenduse tehnoloogia vabavaralises versioonis OpenSSL väga tõsise augu, mis on nimeks saanud Heartbleed.

Parool
1. Kasuta erinevaid paroole
Kõige hullem lugu on see, kui kasutada ühte ja sama parooli paljudes veebiteenustes. Kui mõnest e-postkastist või pilveteenusest mõne turvaaugu tõttu parool lekkima läheb, saaks kurjategija selle kaudu kohe ligi ka teistele, muidu turvalistele veebikontodele.
2. Parool olgu pikk ja mitmekülgne
Uus parool olema piisavalt keerukas. See tähendab, et üldjuhul vähemalt kaheksa tähemärki pikk ja sisaldama suuri ja väikseid tähti, numbreid ja võimaluse korral isegi kirjavahemärke.

Väga lihtsustatult kirjeldades sisaldab SSL tehnoloogia võimalust, millega kaks arvutit saavad üksteisele saata lühikese signaali kontrollimaks, kas teine on ikka veel liinil. Oletame, et jääte pikemaks ajaks vaatama oma internetipanga väljavõtet ja ei tee ühtegi klikki, sellisel juhul saavadki server ja teie arvuti sellise “südametukse” signaaliga veenduda, et mõlemad on endiselt internetti ühendatud.

Infoturbe uurijad avastasid aga “südametukses” olulise vea — signaali kaudu oli võimalik ligi pääseda serveri mälule — sellest ka nimi Heartbleed ehk südameveritsus. Serveri mälus võib olla tohutult sensitiivseid andmeid, nt teiste inimeste salasõnu, faile, kirju, teenusepakkuja enda salavõtmeid jne.

Riigi infosüsteemi ameti andmetel (RIA) on selle veaga tehnoloogia kasutusel ligi viies protsendis Eesti serveritest. “Kujundlikult väljendudes, mure on vastik ja ulatuslik, aga sel puudub turvaintsidendile omane teravik,” kommenteeris RIA intsidentide käsitlemise osakonna juhataja Tarmo Randel.

“Erinevalt tüüpilisest intsidendist ei pruugi kunagi saabuda selgust, kas üldse või mis ulatuses andmelekkeid oli,” lisas ta. “Massilisi rünnakuid kindlasti pole olnud,” ütles Randel.

Tema sõnul oli tegu sellise auguga, mille puhul ei saa hiljem leida tõendeid, et mõni häkker oleks seda ära kasutanud. Igatahes peaks tema sõnul servereid haldavad administraatorid genereerima serverile uue privaatvõtme, hankima kaasneva uue sertifikaadi ja algatama kõigi kasutajate paroolide vahetamise.

Kuna Heartbleed mõjutab kogu internetis suhteliselt suurt hulka servereid (ühe allika järgi 18% maailmast), on juba tehtud ka avalik tööriist kontrollimaks, kas mõni serveri on turvaline või ei. Selle järgi näiteks Eesti riigiasutuste ja pankade veebilehed turvaauku ei sisalda.

Target