Visticamāk, vairumam ikdienas interneta lietotāju jēdziens „OpenSSL bibliotēka” neizteiks pilnīgi vai gandrīz neko. Tikpat tāla varētu šķist arī nesen atklātā šīs bibliotēkas ievainojamība ar amizantu nosaukumu „heartbleed bug”, ko varētu tulkot kā „asiņojošās sirds kļūda”.
Bet šī problēma būtībā skar gandrīz ikvienu, kurš lieto internetu.
„Tas ir protokols, ko izmanto, lai pārsūtītu šifrētus datus starp serveri un tavu datoru,” skaidro Latvijas Interneta asociācijas izpilddirektors Viesturs Šeļmanovs-Plešs, „un šī problēma eksistēja praktiski lielākajā daļā visu serveru, visos portālos, populārākajās vietnēs, kuras mēs ikdienā lietojam.”
Gandrīz visos populārākajos sociālajos tīklos, e-pasta vietnēs un citur, kur ir nepieciešams ievadīt lietotāja vārdu un paroli, vairākus gadus bija nopietna problēma. Tā ir tik plaši izplatīta, jo vairums no populārākajiem sociālajiem tīkliem un e-pastiem izmanto vienu un to pašu datorprogrammu, lai atpazītu konkrēto lietotāju.
Šis „caurums” ļāva nozagt daudzus lietotājvārdus un paroles, kas tagad ir nonākušas svešu cilvēku rokās, saka CERT.LV vadītājas vietnieks Varis Teivāns:
„Lai būtu pavisam drošs, nebūtu slikti nomainīt paroles visos kontos, ko jūs varat iedomāties. Tā nav slikta prakse šad un tad nomainīt paroles. Nekas pārāk apgrūtinošs tas, es domāju, nebūs, jo tie resursi diez vai ir simtos.”
Kāds šeit varētu vaicāt - kam gan ir nepieciešama mana e-pasta vai sociālo tīklu parole? Un vai tas ir kas briesmīgs, ka šī informācija ir pieejama kādam citam? Varis Teivāns no CERT.LV, kas Latvijā strādā ar informācijas tehnoloģiju drošību, uzskata, ka sekas var būt nopietnas.
„Tas, kā viņu izmanto, ir tikai uzbrucēja izdomas ierobežojums. Tātad, vai nu viņš var izmantot e-pasta kontu, lai sūtītu spamu. Viņš var izmantot kā mērķētu uzbrukumu. Ja šajā e-pasta kontā cilvēkam ir adrešu grāmata, viņš var izsūtīt visiem viņa paziņām e-pastu, ka, piemēram, šie krāpnieciskie e-pasti… „Sveiks! Esmu Anglijā. Man nozagts maks. Vai nevari palīdzēt un pārskaitīt 200 eiro? Un norāda kaut kādu kontu,” piemērus min Teivāns.
Arī Šeļmanovs-Plešs piebilst - varbūtība, ka šo paroli kāds izmantos sliktiem nolūkiem, ir diezgan liela. Jo kādēļ gan citādi kāds gribētu šo paroli zagt? Turklāt - ja tas vēl nav noticis, tad var notikt jebkurā brīdī nākotnē.
„Paroles, iespējams, jau ir nozagtas pirms kaut kāda pusgada vai gada. Un viņas stāv kaut kur čupiņā un gaida mirkli, lai tiktu izmantotas. Un varbūt labāk ir izdarīt tā, lai tad, kad tas notiek, tu nebūtu tas, ar kuru tas notiek,” saka Šeļmanovs-Plešs
Mainīt paroli ir jēga tikai tad, kad digitālais „caurums” konkrētajā interneta vietnē ir „aizlāpīts”. CERT.LV mājas lapā ir norādītas adreses, kur var pārbaudīt vai konkrētais sociālais tīkls vai e-pasts ir drošs. Teivāns iesaka arī sazināties ar konkrētās mājas lapas administratoru.
„Es atturētos šobrīd minēt specifiskus resursus, bet draugiem.lv lieto OpenSSL bibliotēku. Tātad būtu jāuztraucas. Tiem, kuri zina, ka ir lietojuši, es ieteiktu, ja negrib sazināties ar pakalpojuma sniedzēju, nomainīt, neskatoties ne uz ko. Bet labāka prakse būtu sazināties. Pakalpojuma sniedzējam ir pienākums rūpēties par mūsu datu drošību. Un viņam būtu tikai korekti atbildēt - jā, mūs šī problēma ir skārusi. Un no tā nav bijuši pasargāti ļoti daudzi,” skaidro Teivāns.
Viņš piebilst, ka sākotnēji Latvijā gan valsts, gan privātie interneta lapu turētāji kūtri izturējās pret šīs problēmas risināšanu. Tomēr vēlāk situācija ir uzlabojusies.
