A múlt héten felfedezett, súlyos OpenSSL-sérülékenység ismét a többfaktoros azonosítás kérdésére irányítja a figyelmet.

A múlt hét elején felfedezett, az érintett verzió kitettségét tekintve közel két éves intervallumot felölelő OpenSSL-sebezhetőség rendkívül széles körben érinti az informatikai iparág szereplőit és felhasználóit. A Heartbleed néven hivatkozott bug lehetőséget ad az érintett OpenSSL-verzióval védett rendszerek memóriájának olvasására, hozzáférhetővé válnak a kommunikációs csatornák titkosítására használt privát kulcsok, és az adatlopás mellett utat nyit a szolgáltatások vagy felhasználók megszemélyesítésére is. A hibát az OpenSSL 1.0.1g verziójában javították, a sebezhető komponens a webszerverek mellett hálózati és mobil eszközöket, célgépeket is érint, ahol később érkezhetnek a frissítések és az új firmware-verziók.

A webszerverek tanúsítványának cseréje mellett a különösen az első napokban felhasználói oldalon is indokolt volt a fontos jelszavak megváltoztatása: bár egyes szolgáltatások – például LinkedIn, Outlook, PayPal, Evernote – biztonságosak voltak, az érintettség mások esetében nem mindig volt egyértelmű, és akadnak olyan fontos szolgáltatások – például Facebook, Google vagy Dropbox –, ahol ez kifejezetten ajánlatos volt. Az egyes domainek korábbi és aktuális jellemzőit online is ellenőrizheti, aki bízik a webes felületekben. Külön érdekesség, hogy a Bloomberg értesülései szerint az NSA is régóta ismerte és kiaknázta a bugot, amely ironikus módon éppen a biztonságos kapcsolatok alkalmazásakor (mondjuk https:// weboldalak böngészésekor) használható ki.

Így lehetne sokkal nehezebb dolguk

A jelszavak biztonsága és sebezhetősége jó ideje téma: a különböző azonosítók különböző, rendszeresen változtatott jelszavakat javasolnak, amelyek egyaránt tartalmaznak kis- és nagybetűket, számokat vagy speciális karaktereket, ráadásul nem emlékeztetnek semmilyen értelmes kifejezésre. Mindez nem csak a felhasználók felületessége vagy kényelmessége miatt nehezen kivitelezhető, de a kémprogramok az összetett jelszavakat is ugyanúgy kiszivárogtatják, sőt a jelszavakat tároló intézmények rendszerei is gyakran válnak az adattolvajok célpontjává. Nem véletlen, hogy egyre többen az alternatív hitelesítési megoldásokban látják a megoldást.

A Sophos Naked Security blogján is a két lépésben történü (két faktoros) beléptetésről értekeznek, amelyre a vezető online szolgáltatások egyike-másika már lehetőséget ad felhasználóinak – igaz, nem feltétlenül az ingyenes vagy fapados ügyfeleknek. Az azonosítás újabb rétege a Heartbleed jelentőségét persze nem csökkentené, de az ilyen úton ellopott jelszavak egy részét nehezen alkalmazhatóvá vagy egyenesen használhatatlanná tenné, jelentősen megnehezítve a támadók dolgát. A két faktoros beléptetés vagy akár a vizuális eszközök olyan módon egészítik ki a jelszavas hitelesítést, amellyel a kockázatok végül elfogadható szintre csökkenhetnek.

Biztonság

Eladó az óriási genetikai adatbázis, kérdés, ki lesz a vevő és mit kezd vele

A nálunk is ismert 23andMe csődjét követően a tudósok remélik, hogy az új tulajdonos is hozzáférést biztosít nekik a 15 millió korábbi ügyfél genetikai adataihoz. Mások inkább amiatt aggódnak, hogy ki mindenki érdeklődhet még az értékes adatkészlet iránt.
 
Körképünkben áttekintjük, hogy szűkebb és bővebb környezetünkben mit sikerült elérni a digitális gazdaság és életvitel felé vezető úton. Spolier: nem állunk olyan rosszul, mint gondolná, és nem állunk olyan jól, mint szeretné.

a melléklet támogatója a One Solutions

CIO KUTATÁS

AZ IRÁNYÍTÁS VISSZASZERZÉSE

Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?

Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!

Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.