Luka Heartbleed została ujawniona na początku tego tygodnia. Od razu było jasne, że jest to zagrożenie dla bardzo wielu internautów, gdyż luka umożliwia kradzież haseł i innych wrażliwych danych, a dokonane z jej użyciem ataki są nie do wykrycia.

Wciąż wiele stron zagrożonych

Na początku mówiono, że zapobieganie skutkom tej luki zależało głównie od administratorów serwerów. Początkowo szacowano, że 2/3 stron internetowych może być podatnych na ten atak. Obecnie różni badacze donoszą o setkach stron wciąż stanowiących zagrożenie. Są wśród nich usługi chmurowe, serwisy społecznościowe, strony z aplikacjami. 

Władze niektórych państw wzięły sobie problem to do serca. Jak podaje Reuters, Amerykańscy regulatorzy rynku finansowego wezwali banki do zabezpieczenia się przed Heartbleed. Ponadto kanadyjska CRA (Canada Revenue Agency) zablokowała dostęp do swoich usług online w celu chronienia danych kanadyjskich podatników.

Heartbleed vs Twój sprzęt

Co jednak istotne, ta luka nie dotyczy tylko administratorów e-usług, choć początkowo tak właśnie sprawę przedstawiano. Luka może dotyczyć także routerów oraz innych sprzętów używanych w domach i firmach do korzystania z sieci. Firmy Cisco oraz Juniper już przyznały, że niektóre ich produkty są narażone.

Eksperci doradzają użytkownikom takich urządzeń, aby sprawdzili oni, czy nie ma dla nich nowych aktualizacji. Są jednak i tacy eksperci, którzy mówią wprost, że dla wielu urządzeń łatki się nie pojawią i wielu użytkowników nie będzie niczego łatać (zob. MIT Technology Review, Many Devices Will Never Be Patched to Fix Heartbleed Bug).

Tymczasem serwis Niebezpiecznik przypomina, że technologia OpenSSL, której dotyczy Heartbleed, jest stosowana także w programach pocztowych, klientach VPN oraz w systemach operacyjnych, także mobilnych. Wejście na odpowiednio spreparowaną stronę może ujawnić dane z naszych urządzeń. Niebezpiecznik zauważa, że na takie niebezpieczeństwo narażeni są m.in. użytkownicy Androida Jelly Bean (zob. Heartbleed to wyciek pamięci nie tylko z serwerów WWW — z waszych komputerów również).

Co jeszcze mogę zrobić?

Choć luki w urządzeniach niewątpliwie mają znaczenie, za najbardziej niebezpieczne wciąż uważa się e-usługi podatne na Heartbleed. Użytkownikom doradza się zmienianie haseł, zresztą nawet bez Heartbleed z warto robić to regularnie. Poza tym przybywa narzędzi oferujących sprawdzanie podatności stron na atak. Za najwygodniejsze można uznać te, które mają postać rozszerzenia do przeglądarki - Foxbleed (dla Firefoksa) oraz Chromebleed (dla Chrome).