Filips Novotnijs Ļoti plaši izplatītā Heartbleed programmatūras kļūda, kas šodien neapšaubāmi ir lielākais risks internetā, Apple serverus neietekmē. Šis drošības robs skāra līdz pat 15% no pasaulē visvairāk apmeklētajām vietnēm, taču iCloud vai citu Apple pakalpojumu lietotājiem nav jābaidās. Viņš teica tas ir ASV serveris Re / code.
"Apple ļoti nopietni uztver drošību. Ne operētājsistēmā iOS, ne OS X nekad nav bijusi šī izmantojamā programmatūra, un galvenie tīmekļa pakalpojumi netika ietekmēti," sacīja Apple Re/code. Tādējādi lietotājiem nav jābaidās no pieteikšanās iCloud, App Store, iTunes vai iBookstore vai iepirkšanās oficiālajā e-veikalā.
Speciālisti iesaka atsevišķās vietnēs izmantot dažādas, pietiekami spēcīgas paroles, kā arī glabāšanas programmatūru, piemēram, 1Password vai Lastpass. Var palīdzēt arī Safari iebūvētais paroļu ģenerators. Neatkarīgi no šiem pasākumiem nav nepieciešams veikt nekādas turpmākas darbības, jo Heartbleed nav klasisks vīruss, kas uzbruktu klientu ierīcēm.
Tā ir programmatūras kļūda OpenSSL kriptogrāfijas tehnoloģijā, ko izmanto liela daļa pasaules vietņu. Šis trūkums ļauj uzbrucējam nolasīt dotā servera sistēmas atmiņu un iegūt, piemēram, lietotāja datus, paroles vai citu slēptu saturu.
Heartbleed kļūda pastāv jau vairākus gadus, pirmo reizi parādoties 2011. gada decembrī, un OpenSSL programmatūras izstrādātāji par to uzzināja tikai šogad. Tomēr nav skaidrs, cik ilgi uzbrucēji zināja par problēmu. Viņi varēja izvēlēties no liela vietņu portfeļa, proti, Heartbleed dzīvoja uz visiem 15 procentiem no populārākajiem.
Ilgu laiku pat tādi serveri kā Yahoo!, Flickr vai StackOverflow bija neaizsargāti. Arī Čehijas tīmekļa vietnes Seznam.cz un ČSFD vai Slovākijas MVU bija neaizsargātas. Šobrīd to operatori jau ir nodrošinājuši lielu daļu serveru, atjauninot OpenSSL uz jaunāku, fiksētu versiju. Izmantojot vienkāršu tiešsaistes testu, varat noskaidrot, vai apmeklētās vietnes ir drošas pārbaude, jūs varat atrast vairāk informācijas vietnē Heartbleed.com.
Es nezinu, kā spēcīgu paroļu izmantošana ir saistīta ar Heartbleed problēmu. Ar šo ievainojamību var iegūt spēcīgu paroli, kā arī vāju.
Turklāt apgalvot, ka serveri nav droši, ir diezgan muļķīgi. Kā serveriem vajadzētu aizsargāties pret nezināmu kļūdu? Serveri bija neaizsargāti.
Apple apgalvo, ka tas nav izmantojis šo uzlaušanas programmatūru. Tātad tas vai nu izmanto vecāku OpenSSL, bet neizmanto OpenSSL vispār. Ne tāpēc, ka tai ir labāka drošība.
OpenSSL nav vienīgā SSL ieviešana. Piemēram, Microsoft arī neizmanto OpenSSL.
Cik man zināms, Apple neizmanto savu SSL risinājumu, tāpēc ļoti iespējams, ka tas izmanto OpenSSL bibliotēku.