A Kürt egyébként is azt tanácsolja a felhasználóknak, hogy rendszeresen, néhány havonta cseréljék jelszavaikat, de az ilyen esetekben ezt a lehető legsürgősebben meg kell tenni – azt követően, hogy az elért szervereken a biztonsági rést már javították. Az OpenSSL – az SSL/TSL titkosító protokollok nyílt forráskódú implementációjának - könyvtárát érintő sérülékenység, amely a napokban vált ismertté, minden idők egyik legsúlyosabb biztonsági hibája. A Heartbleed egy olyan technológiát kompromittált, amelyet éppen a webes kommunikáció megvédésére, titkosítására fejlesztettek ki, és amelyet a webes eszközök jelentős része használ a nagyfokú biztonságot igénylő tranzakciók és műveletek végrehajtásához.
Éppen ezért a felhasználók figyelmét ismét nyomatékkal fel kell hívni a biztonságosabb jelszóhasználat fontosságára, amely a Kürt szerint néhány pontban összefoglalva a következő:
- megfelelő erősségű, 12-16 karakterből álló, kis- és nagybetűket, számokat és speciális karaktereket (.,_()/ stb.) tartalmazó jelszó választása
- tilos az „aaaaaa”, „12345”, „password123..”, „jelszo” típusú, könnyen kitalálható jelszavak, születési évszámok, rokonok, háziállatok neve és más, hasonlóan kényelmes megoldások használata
- minden rendszerhez és szolgáltatáshoz más-más jelszó megadása
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.
A Heartbleed veszélyességét növeli, hogy a sérülékenység – mint kiderült – már vagy 2 éve létezik, így azt bárki kihasználhatta, aki tudott róla. Ezzel többek között a lehallgatási botrányba keveredett NSA-t, az Egyesült Államok nemzetbiztonsági hivatalát is meggyanúsították. Kanadában mindenesetre most tartóztatták le az első hackert, aki a Heartbleed sérülékenységet kihasználva tört be az ottani adóhatóság szervereire. A támadásokra azonban utólag nehéz lesz fényt deríteni, mert a hiba révén közvetlenül a memória tartalmához lehetett hozzáférni, így semmilyen nyoma nem maradt az illetéktelen behatolásnak.
Szerencsés esetben a vállalatok és intézmények jól működő információbiztonsági rendszert alakítottak ki, amely a teendők szabályozásával és a javítások módszeres telepítésével segíti az ilyen helyzetek gyors és hatékony kezelését. Azonban annak ellenére, hogy Magyarországon ma már a törvényi szabályozás is előírja az informatika biztonságosabb használatát, a gyakorlat korántsem megnyugtató. A Kürt sérülékenység-vizsgálatai azt mutatják, hogy csak nagyon kevés szervezetnél működik ténylegesen jól az IT-biztonsági rendszer: a szabályokat gyakran nem alkalmazzák megfelelően, vagy az alapul szolgáló szabályzatot és folyamatokat sem alakítják ki.
– Csak remélhetjük, hogy a Heartbleedhez hasonló esetek tanulságai hozzájárulnak a biztonságtudatosság javulásához, mert jól érzékelhető, hogy egyre súlyosabb a helyzet az internetes biztonság területén – mondta Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese. – Sokan azért nem változtatják meg jelszavaikat, vagy ami még rosszabb, minden rendszerhez és szolgáltatáshoz ugyanazt a jelszót használják, mert nehéz észben tartani a karakter-kombinációkat. Ez azonban nem lehet kifogás, több, ingyenesen letölthető mobilalkalmazás is elérhető, amely biztonságos módon segítheti a jelszavak memorizálását.
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.