Gorka Julio / 2014-04-10 / 284 hitz
Egun hauetan segurtasun akats larri batek kolokan jarri du Interneteko zerbitzuen parte handi bat. OpenSSL liburutegian aurkitutako akats batek SSL/TLS zifraketa protokoloa erabiltzen duten zerbitzu askotan sartzeko, informazioa lapurtzeko, identitatea faltsutzeko aukera ematen du.
Akatsaren kode zehatza CVE-2014-0160 da, bilatu behar duenarentzat. Gai teknikoetan gehiegi sartu gabe, SSL/TLS protokoloa inplementatzen duen OpenSSL liburutegi libre erabilienaren bertsio jakin batzuetan (berrienetarikoak) aurkitutako akatsa da. Liburutegi hau ohikoak diren web posta, berehalako mezularitza eta web zerbitzarietan oso erabilia da, hortik garrantzia.
Zerbitzari baten kudeatzaile bazara, jakin zulo honen ondorioz, zuzenean eta arrastorik utzi gabe memorian idatzi, erabiltzaile, pasahitzak eta trafikoa lortzeko aukera dagoela. Zifratzeko zertifikatuak ere konprometituak egon daitezke, beraz, aldatu. Aldiz, ostatze zerbitzu batean zure webgunea baduzu, begiratu ea zure hornitzaileak arazoa konpondu duen.
Arazoaren informazio guztia izateko webgune bat sortu dute: http://heartbleed.com. Edozein zerbitzuk arazorik duen ikusteko aukera ere ematen duen tresna bat ere argitaratu dute http://filippo.io/Heartbleed webgunean. Inguruko zenbait webgune eta zerbitzu begiratuta akatsak zituztela ikusi ahal izan dugu, aurkitu ditugunei abisua pasatzen saiatu gara noski.
Honaino iritsita, galdu edota galtze zorian bazaude, ulertu behar izan duzun bakarra zera da: komunikazio segurtasunean garrantzitsua den eta asko erabiltzen den programa zati batean aurkitutako akatsak izugarrizko arazoa sortu duela mundu osoko Internet zerbitzu askotan.
Era horrelako arazoak izaten dira askotan inteligentzia (sic) agentziek, erasotzaileek, lapurrek… informazioa eskuratzeko baliatu ohi dituztenak. Arazoa topatu eta konponbidea publikatu bitartean pasatzen den denbora garrantzitsua izaten da kasu hauetan. Kasu honetan jakin eta berehala soluzioak atera dira, eta orain bakoitzaren esku dago hori konpontzea. Arazo larria izan bada ere, librea izanik, arazoa azkar detektatu eta berehala soluzioak topatzeko aukera ere izan dugu. Batzuek, gertakaria software librearen aurka egiteko baliatu nahi izan badute ere, arazoen aurrean erantzuteko gaitasuna ere erakutsi du modeloak.