Fjala “Heartbleed” nuk kishte ndonjë kuptim në fillim të kësaj jave. Tani është njëra nga temat më të nxehta në internet: Një vrimë e thjeshtë e sigurisë në një pjesë softuerike që do të mundësonte marrjen e informacioneve personale të miliona personave. Dhe derisa kompanitë më të mëdha të internetit përpiqen që ta arnojnë atë, përdoruesit duhet që të përgatiten për të përditësuar praktikat e tyre të sigurisë. “Nuk është një ushtrim akademik,” tha Trey Ford, që është strategu i sigurisë globale në kompaninë për sigurinë e rrjetave Rapid 7 në Boston. “Unë mendoj që është një gjë vërtet e madhe.”
Aq gjë e madhe saqë Ford mendon që njerëzit duhet të mos vizitojnë faqet e shitësve me pakicë online, faqeve për shërbime financiare, ose destinacioneve online që kërkojnë shkrimin e informacionëve të ndjeshme – emra, adresa, numra të kartave të kreditit. “Unë mbase nuk do të futem në to për disa ditë apo më shumë,” tha ai. Për Ford-in, kjo nuk është një frikë e zmadhuar së tepërmi në internet. Heartbleed është vërtet mjaft i keq. Por çfarë është në të vërtetë?
Heartbleed është një vrimë që aksidentalisht ishte shtuar tek një pjesë vitale e softuerit të quajtur OpenSSL, që siguron mijëra faqe të internetit në botë. Softueri OpenSSL është ndërtuar në softuerin e serverëve Apache, që përdoret nga rreth dy të tretat e uebfaqeve të botës për të ofruar përmbajtjen e uebit në kompjuterin tuaj. Ai vendos një kanal të të dhënave të enkriptuara mes makinës dhe serverit në largësi. Kur është duke punuar siç duhet, bartja e të dhënave mes dy makinave duket si dërdëllisje përveç kompjuterëve të autorizuar, që kanë çelësat për dekodim të informacionit.
OpenSSL është i rëndësishëm për pjesën komerciale të internetit, duke e bërë atë të sigurt për të bartur të dhënat financiare online. Por në vitin 2012, gjatë një përditësimi softuerik, dikush shkroi një pjesë të kodit të dëmshëm që mundëson leximin e informacioneve të pashifruara nga memoria ose nga serveri i largët. Kjo mund të përfshijë çelësat e shifruar që janë të nevojshëm për të dekoduar rrjedhën e të dhënave dhe e-mailet, të dhënat financiare, numrat e telefonit – pothuajse çdo gjë.
Një inxhinier i sigurisë në Google dhe një skuadër e hulumtuesve në kompaninë finlandeze të sigurisë Codenomicon zbuloi problemin dhe paralajmëroi për të gjatë të hënës dh gjatë të hënës ata shkaktuan panik. OpenSSL “është në gurin e qoshes së besimit në internet” tha Ford. Nuk është thjesht për blerje dhe shitje. Për shembull, shërbimet e e-mail-eve si Yahoo përdorin OpenSSL për të siguruar fshehtësinë e porosive personale. Një hulumtues sigurie ishte në gjendje që ta bënte vjedhjen e një emri të përdoruesit dhe fjalëkalimit nga serverët e kompanisë Yahoo duke e përdorur trukun “Heartbleed”.
Kompania Yahoo thotë që e ka arnuar problemin në serverët e saj. Ndërkohë, kompani të tjera të mëdha të internetit po ashtu janë duke ofruar siguri. Por përpara se të relaksoheni, paramendoni që kjo vrimë ishte paraqitur dy vite më parë. Gjatë tërë kësaj kohe, të dhënat tona “të fshehta” kanë qenë të rrezikuara. Nëse disa banda kriminale do ta shfrytëzonin vrimën, me siguri do ta kuptonit që jeni viktimë pasi të jetë zbrazur llogaria juaj bankare. Por nëse do të punonit në ndonjë dyqan spiunazhi si Agjencia e Sigurisë Kombëtare e SHBA-së apo Ministrinë e Sigurisë Shtetërore të Kinës, ju me siguri nuk do ta merrnit vesh asnjëherë rreth kësaj dobësie, por do të ishit përgjuar në heshtje nga shërbimet e inteligjencës.
A ka ndodhur kjo? Kush e di? Shfrytëzimi i një vrime sigurie shpesh lë gjurmën prapa; ju do ta dini nëse jeni goditur, edhe nëse nuk mund të bëni asgjë për të. Por “Heartbleed” nuk lë gjurmë. Fjalëkalimet dhe të dhënat tona personale tashmë mund të jenë zbuluar dhe të jenë marrë. Ose jo. Është e pamundur që të jemi të sigurt. Që është edhe arsyeja se pse Ford dhe analistët e tjerë të sigurisë thonë që ka mbetur vetëm një gjë për t’u bërë – të ndryshoni fjalëkalimet e juaja. Secilin fjalëkalim të fundit, ose të paktën atë që e përdorni për t’u futur në faqet financiare, për blerje online, ose në rrjete sociale, pra ku i keni informatat e ndjeshme. Është po ashtu një ide e mirë që t’i fshini të gjitha “cookie-t” nga faqet e tilla.
Por edhe pse kjo nuk do të ju mbrojë përderisa faqet që i vizitoni ta kenë përditësuar softuerin e vet. Nëse futeni në një server që është prekur nga “Heartbleed” dhe fjalëkalimi juaj i ri do të ishte po aq i rrezikuar sikurse i vjetri. Kështu që Ford rekomandon që të mos futeni në faqe ku keni informacione të ndjeshme. “Pritni një ditë ose dy,” tha ai “dhe më pas filloni të ndryshoni fjalëkalimet”. Ndonëse kemi përparim të metodave që bëjnë ruajtjen e të dhënave, siç tregohet nga “Heartbleed”, mbase nuk do të mund të kemi ndonjëherë ndonjë shërim të përhershëm për pakujdesinë. (PCWorld Albanian)
