Filip Novotny Väga laialt levinud Heartbleedi tarkvaraviga, mis on praegu vaieldamatult suurim Interneti-risk, Apple'i servereid väidetavalt ei mõjuta. See turvaauk mõjutas kuni 15% maailma enimkülastatud veebisaitidest, kuid iCloudi või teiste Apple'i teenuste kasutajad ei pea kartma. Ta teatas see on USA server Re / koodi.
"Apple võtab turvalisust väga tõsiselt. Ei iOS ega OS X ei sisaldanud kunagi seda kasutatavat tarkvara ja peamisi veebiteenuseid see ei mõjutanud," ütles Apple Re/code'ile. Seega ei tohiks kasutajad karta iCloudi, App Store'i, iTunes'i või iBookstore'i sisselogimist ega ametlikust e-poest ostlemist.
Eksperdid soovitavad üksikutel veebisaitidel kasutada erinevaid, piisavalt tugevaid paroole, aga ka salvestustarkvarasid nagu 1Password või Lastpass. Abiks võib olla ka Safari sisseehitatud parooligeneraator. Peale nende meetmete pole vaja täiendavaid samme astuda, kuna Heartbleed ei ole klassikaline viirus, mis ründaks kliendi seadmeid.
Tegemist on tarkvaraveaga OpenSSL-i krüptotehnoloogias, mida kasutab suur osa maailma veebisaitidest. See viga võimaldab ründajal lugeda antud serveri süsteemimälu ja hankida näiteks kasutajaandmeid, paroole või muud peidetud sisu.
Heartbleedi viga on olnud juba mitu aastat, esmakordselt ilmus see 2011. aasta detsembris ja OpenSSL-i tarkvara arendajad said sellest teada alles sel aastal. Samas pole selge, kui kaua ründajad probleemist teadsid. Nad said valida suure hulga veebisaitide, nimelt Heartbleedi hulgast elanud kogu 15 protsendil kõige populaarsematest.
Pikka aega olid isegi sellised serverid nagu Yahoo!, Flickr või StackOverflow haavatavad. Tšehhi veebisaidid Seznam.cz ja ČSFD või Slovakkia VKEd olid samuti haavatavad. Praegu on nende operaatorid juba turvanud suure osa serveritest, uuendades OpenSSL-i uuemale, fikseeritud versioonile. Lihtsa veebitesti abil saate teada, kas külastatavad veebisaidid on ohutud katsetada, leiate lisateavet veebisaidilt Heartbleed.com.
Ma ei tea, kuidas tugevate paroolide kasutamine Heartbleedi probleemiga seotud on. Selle haavatavusega saab hankida nii tugeva parooli kui ka nõrga parooli.
Lisaks on üsna rumal väita, et serverid pole turvalised. Kuidas peaksid serverid kaitsma tundmatu vea eest? Serverid olid haavatavad.
Apple väidab, et ta ei kasutanud seda häkkivat tarkvara. Nii et see kas kasutab vanemat OpenSSL-i, kuid ei kasuta OpenSSL-i üldse. Mitte, et sellel oleks parem turvalisus.
OpenSSL ei ole ainus SSL-i rakendus. Näiteks Microsoft ei kasuta ka OpenSSL-i.
Minu teada Apple oma SSL-lahendust ei kasuta, seega on väga tõenäoline, et ta kasutab OpenSSL-i teeki