Nedavno je otkriven propust u OpenSSL-u, popularnom SSL/TLS toolkitu koji je prisutan na većini servera na Internetu. S obzirom na medijsku pozornost koju je privukao, za “Heartbleed” propust ste vjerojatno već čuli, a možda ste se i informirali o tehničkim detaljima na web stranici heartbleed.com.
Ovaj ozbiljan propust u OpenSSL-u je pogodio većinu Internet providera, uključujući velike igrače poput Googlea, Yahooa, Facebooka itd. Ukratko pogođeni su svi koji su koristili ranjivu verziju OpenSSL paketa uz SSL enkripciju web prometa na svojim stranicama, te su ovim propustom bili pogođeni i neki od servera Plus Hostinga.
Što smo napravili nakon Heartbleed propusta
Odmah po javnom objavljivanju Heartbleed propusta naši su tehničari ažurirali ranjive verzije OpenSSL paketa. Također su restartali sve vezane servise koji koriste ovaj paket kako bi eliminirali ranjivost na serverima. Propust je u izvornom kodu OpenSSL paketa bio prisutan već dvije godine iako nije bio poznat u javnosti. Napadač je teoretski mogao ukrasti privatni ključ certifikata koji se koristi za enkripciju prometa između korisnika i servera. Kako bi eliminirali i najmanju mogućnost daljnjeg prisluškivanja enkriptiranog prometa Plus Hosting je zamijenio sve svoje serverske certifikate i njihove privatne ključeve.
Iako smo OpenSSL na svim serverima ažurirali odmah po izdavanju sigurnosne dopune, te iako su do sada globalno zabilježena samo dva slučaja krađe privatnog ključa (oba na CloudFlare Heartbleed natječaju), radi dodatne mjere sigurnosti svim korisnicima preporučujemo da zamijene sve lozinke uključno sa lozinkama za:
- cPanel
- korisničke stranice
- servise koje nisu direktno vezani uz Plus Hosting, a direktno su vezani uz vaše poslovanje.
Kako kreirati dobar password
Kao dobar password policy preporučujemo korisnicima da ne koriste iste passworde na više mjesta, te da se koriste komplicirani passwordi koji sadrže barem 9-12 znakova sastavljenih od velikih i malih slova, brojeva i specijalnih znakova. Više smo o ovoj temi pisali u članku mojeg možete pročitati ovdje.
Za sigurno pohranjivanje vlastitih random generiranih passworda mogu se koristiti popularni password manager programi poput:
- Keepass (Windows /Linux/OS X operativni sustavi)
- Revelation Password Manager (Linux operativni sustavi)
- Wallet (OS X/iOS) (komercijalni softver)
- LastPass (OS X/iOS) (postoji besplatna verzija)
Ako na desktop računalima koristite Linux distribucije koje su pogođene ovim sigurnosnim propustom, preporučujemo vam da ažurirate OpenSSL paket kako bi zaštitili i svoje lokalno računalo.
