Sārts: Sistēmu turētājiem nekavējoties jārisina Open SSL ievainojamības problēmas

Aizsardzības ministrijas valsts sekretārs, Nacionālās informācijas tehnoloģiju drošības padomes priekšsēdētājs Jānis Sārts aicina sistēmu turētājiem nekavējoties risināt Open SSL ievainojamību "OpenSSL 1.0.1 TLS/DTLS", kas plašāk pazīstama kā "ssl heartbeat" vai "heartbleed bug".

„Lai arī medijos gan Latvijā, gan pasaulē informācija par apjomīgo OpenSSL ievainojamību cirkulē jau vairākas dienas, novērojams, ka Latvijas IT sistēmu turētāji ir kūtri uz problēmas risināšanu,” norāda J.Sārts. „Šobrīd visā pasaulē cilvēku dati un informācija virtuālajā vidē ir pakļautu augstam riskam, taču Latvijas portālu turētāju vilcināšanās risināt problēmu ir drauds Latvijas iedzīvotāju informācijas drošībai. Šobrīd netraucēti var nolasīt visdažādāko iedzīvotāju informāciju, datus, tai skaitā paroles, tāpēc aicinu sistēmu turētājus šo problēmu risināt pēc iespējas ātrāk.”

Apdraudējums skar kā valsts, tā privātos resursus. Tomēr, tā kā lielākais informācijas apjoms cirkulē tieši privātā sektora resursos, kurus ikdienā apmeklē liels skaits Latvijas iedzīvotāju, tajos risks parastajam lietotājam ir vislielākais. Ievainojamības ir pamanītas tādos pasaulē plaši lietotos resursos kā Facebook, Yahoo un citos, arī Latvijas sociālo tīklu portālus un plaši izmantotās interneta vietnes šī problēma ir skārusi.

Šobrīd kritiski jāvērtē jebkura tīmekļa vietne, kuru ikdienā lieto ar https:// un veicat pieslēgšanos, ievadot lietotājvārdu/paroli. Būtiski - paroli ir nozīme mainīt tikai tad, ja ievainojamais portāls ir problēmu jau novērsis.

Lai pārbaudītu vai jūsu interesējošā vietne ir droša, aicinām izmantot šos resursus: http://possible.lv/tools/hb/ un http://filippo.io/Heartbleed/. Ierakstot pārbaudes laukā domēna vārdu, pēc brīža redzēsiet testa rezultātus. Ja rezultāts uzrāda, ka vietne ir ievainojama, tad Jūsu paroles mainīšanai nebūs lielas nozīmes, kamēr servera turētājs nenovērsīs problēmu.

CERT.LV iesaka lietotājiem mainīt paroles visās vietnēs, kuras ikdienā tiek lietotas ar https://, uzsverot, ka nedrīkst lietot vienu un to pašu paroli vairākos portālos.

CERT.LV ir apzinājis Latvijā ievainojamos interneta resursus - vismaz 2000 vietnes - un strādā pie šo resursu turētāju informēšanas un problēmas risināšanas. Izmantojot šo ievainojamību, iespējams attālināti no servera iegūt lietotāju paroles un lietotājvārdus, transakciju datus, kriptogrāfiskās atslēgas, konfigurācijas detaļas, e-pasta sistēmu lietotāju datus un citu sensitīvu vai aizsargājamu informāciju, kuras noplūde var sekmēt ne tikai informācijas sistēmas kompromitēšanu, bet visu informācijas sistēmas lietotāju datu un elektroniskās identitātes kompromitēšanu.

Informāciju sagatavoja:

Daina Ozoliņa
AM Militāri publisko attiecību departamenta
Preses nodaļas vecākā referente
Tālrunis: 67335224
E-pasts: daina.ozolina@mod.gov.lv