Nedavno je otkriven propust u OpenSSL-u, popularnom SSL/TLS toolkitu koji je prisutan na većini servera na Internetu. S obzirom na medijsku pozornost koju je privukao, za “Heartbleed” propust ste vjerojatno već čuli, a možda ste se i informirali o tehničkim detaljima na web stranici heartbleed.com.
Ovaj ozbiljan propust u OpenSSL-u je pogodio većinu Internet providera, uključno sa velikim igračima poput Googlea, Yahooa, Facebooka itd. Ukratko pogođeni su svi koji su koristili ranjivu verziju OpenSSL paketa uz SSL enkripciju web prometa na svojim stranicama, te su ovim propustom bili pogođeni i neki od servera Plus Hostinga.
Odmah po javnom objavljivanju propusta naši su tehničari ažurirali ranjive verzije OpenSSL paketa te su restartali sve vezane servise koji koriste ovaj paket kako bi eliminirali ranjivost na serverima. Obzirom da je propust u izvornom kodu OpenSSL paketa prisutan već dvije godine, iako nije bio poznat u javnosti, napadač je teoretski mogao ukrasti privatni ključ certifikata koji se koristi za enkripciju prometa između korisnika i servera. Kako bi eliminirali i najmanju mogućnost daljnjeg prisluškivanja enkriptiranog prometa Plus je zamjenio sve svoje serverske certifikate i njihove privatne ključeve.
Iako smo OpenSSL na svim serverima ažurirali odmah po izdavanju sigurnosne dopune, te iako su do sada globalno zabilježena samo dva slučaja krađe privatnog ključa (oba na CloudFlare Heartbleed natječaju), radi dodatne mjere sigurnosti svim korisnicima preporučamo da zamijene sve lozinke uključno sa lozinkama za:
- cPanel
- korisničke stranice
- servise koje nisu direktno vezani uz Plus Hosting, a direktno su vezani uz vaše poslovanje.
Kao dobar password policy preporučamo korisnicima da ne koriste iste passworde na više mjesta, te da se koriste komplicirani passwodi koji sadrže barem 9-12 znakova sastavljenih od velikih i malih slova, brojeva i specijalnih znakova. Za sigurno pohranjivanje vlastitih random generiranih passworda mogu se koristiti popularni password manager programi poput:
- Keepass (Windows /Linux/OS X operativni sustavi)
- Revelation Password Manager (Linux operativni sustavi)
- Wallet (OS X/iOS) (komercijalni softver)
- LastPass (OS X/iOS) (postoji besplatna verzija)
Ukoliko na desktop računalima koristite Linux distribucije koje su pogođene ovim sigurnosnim propustom, preporučamo vam da ažurirate OpenSSL paket kako bi zaštitili i svoje lokalno računalo.
