FAQ: Kas ir heartbleed neaizsargātību un to, kā pasargāt sevi no tā
Tehnoloģijas / / December 19, 2019
Nesen atklāja ievainojamība OpenSSL protokolā, dublēt heartbleed, un pat savu logo, ir potenciāls drauds lietotāja paroli uz dažādiem mājas lapām. Mēs nolēmām gaidīt hype ap to, un runāt par to, tā sakot, ar sauso atlikumu.
Tas mums palīdzēs populārs izdevums CNET, kas pulcējās sarakstu ar bieži uzdotajiem jautājumiem par šo tēmu. Mēs ceram, ka šāda informācija palīdzēs jums uzzināt vairāk par heartbleed un aizsargāt sevi. Pirmkārt, atcerieties datumu ar heartbleed problēma netika atrisināta pilnībā.
Kas ir heartbleed?
Heartbleed - drošība ir ievainojama OpenSSL programmatūras bibliotēkā (atvērts ieviešana SSL / TLS šifrēšanas protokols), kas ļauj hakeriem piekļūt saturu atmiņas serveriem, kas šajā brīdī var saturēt personīgus datus dažādiem lietotājiem Web pakalpojumi. Saskaņā ar pētījumu firma Netcraft šo ievainojamību var tikt pakļauti aptuveni 500,000 mājas lapām.
Tas nozīmē, ka uz šīm vietām iespējami riskam bija tie, lietotāju personas dati, piemēram, lietotāju vārdus, paroles, kredītkaršu datus, uc
Ievainojamība ļauj arī uzbrucēji ciparu taustiņiem, kas tiek izmantoti, piemēram, šifrēšanas korespondences un iekšējiem dokumentiem dažādos uzņēmumos.
Kas ir OpenSSL?
Sāksim ar SSL protokolu, kas apzīmē Secure Sockets Layer (Secure Sockets Layer). Viņš ir pazīstams arī ar savu jauno nosaukumu TLS (Transport Layer Security). Šodien tā ir viena no visbiežāk izmantotajām metodēm datu šifrēšanu tīklā, kas aizsargā jūs no iespējas "spiegošanu" uz daļu. (Https sākumā saites norāda, ka komunikācija starp jūsu pārlūkprogrammu un atveriet to vietā izmanto SSL, pretējā gadījumā jūs redzēsiet pārlūku tikai http).
OpenSSL - SSL ieviešana atvērtā pirmkoda programmatūru. Ievainojamības tika pakļauti protokola versiju 1.0.1 līdz 1.0.1f. OpenSSL izmanto arī Linux operētājsistēmu, tā ir daļa no diviem populārākajiem Web servera Apache un nginx, kas "ripo" liela daļa internetā. Īsāk sakot, apjoms OpenSSL ir milzīgs.
Kurš atradis kļūdu?
Tas nopelni pieder darbiniekiem uzņēmuma Codenomicon, kas nodarbojas ar datoru drošību, un personāla Google pētniece Nile Meta (Neel Mehta), kurš atklāja ievainojamību neatkarīgi viens no otra, burtiski vienu dienu.
Meta ziedoja atlīdzību par 15 tūkstošiem. dolāru. lai noteiktu kļūdu, par kampaņas attīstībai šifrēšanas rīku žurnālistiem, kas strādā ar informācijas avotiem, kas ņem brīvu presi Foundation (preses brīvību Foundation). Meta turpina noraidīt jebkuru interviju, bet viņa darba devējam, Google, sniedza šādu komentāru: "Mūsu lietotāju drošība ir mūsu augstākā prioritāte. Mēs pastāvīgi meklējam ievainojamības un mudināt visus tos uzrādīt, cik drīz vien iespējams, lai mēs varētu noteikt tos, pirms tie kļūst zināmi uzbrucējiem. "
Kāpēc heartbleed?
Nosaukums tika izdomāts ar heartbleed Ossie Gerraloy (Ossi Herrala), sistēmas administratora Codenomicon. Tas ir vairāk harmoniska nekā tehnisko nosaukumu CVE-2014-0160, šo ievainojamību skaita, kas satur tās koda rindu.
Heartbleed (burtiski - "asiņošana sirdis") - vārdu spēle, kas satur atsauci uz paplašināšanos OpenSSL sauc par "sirds" (sirdsklauves). Protokols tur savienojuma atvēršanu, pat tad, ja starp dalībnieki nav apmainīties ar datiem. Gerrala uzskatīja, ka heartbleed lieliski apraksta būtību ievainojamību, kas ļāva noplūdi sensitīvu datu no atmiņas.
Nosaukums šķiet, ir diezgan veiksmīgs kļūdu, un tas nav nejaušība. Codenomicon komanda apzināti izmanto eifonisks (nospiediet) nosaukumu, kas palīdzētu gan, cik vien iespējams, pēc iespējas ātrāk informēt cilvēkus par ievainojamību atrasts. Dodot tai nosaukumu kļūdu, Codenomicon drīz nopirka domēnu Heartbleed.com, kas uzsāka vietni pieejamā formā stāsta par heartbleed.
Kāpēc dažas vietnes neietekmē heartbleed?
Neskatoties uz popularitāti OpenSSL, pastāv citi SSL / TLS īstenošanu. Turklāt dažas vietnes izmanto iepriekšējo versiju OpenSSL, kurā šī kļūda ir klāt. Un daži neietvēra periodiska funkcija, kas ir avots ievainojamību.
Daļēji, lai mazinātu iespējamo kaitējumu izmanto PFS (perfektu priekšu slepenība - perfekti taisni slepenība), Īpašuma SSL protokola, kas nodrošina, ka gadījumā, ja uzbrucējs paņemtu no atmiņas servera vienu drošības atslēgu, viņš nevarēs atšifrēt visus satiksmes un piekļuvi pārējai atslēgas. Daudzi (bet ne visas) uzņēmumi jau izmanto PFS - piemēram, Google un Facebook.
Kā heartbleed?
Ievainojamības uzbrucējs piekļūt serverim 64 kilobaiti atmiņas un veikt uzbrukumu atkal un atkal, līdz pilnīgai datu zudumu. Tas nozīmē, ka ne tikai ar tieksmi uz bojātām lietotājvārdus un paroles, bet sīkfailu datus, tīmekļa serveri un vietnēm izmantot, lai izsekotu lietotāja darbības, un vienkāršotu atļauju. Šī organizācija Electronic Frontier Foundation teikts, ka periodiskās uzbrukumi var dot piekļuvi gan vairāk nopietna informācija, piemēram, privātās teritorijas šifrēšanas atslēgas, ko izmanto šifrēšanu satiksmi. Izmantojot šo taustiņu, uzbrucējs varētu šmaukšana oriģinālo vietni un nozagt visvairāk dažāda veida personas datus, piemēram, kredītkaršu numurus vai privātās sarakstes.
Vai es varu nomainīt savu paroli?
Par dažādiem vietām atbildēt "jā". BET - tas ir labāk gaidīt ziņu no ievadīšanas vietas, ka šī ievainojamība ir novērsts. Protams, jūsu pirmā reakcija - nomainīt visas paroles uzreiz, bet, ja ievainojamību dažas no vietām, kas nav tīra, maiņa parole bezjēdzīgi - laikā, kad ievainojamība ir plaši zināms, ka jūs tikai palielina izredzes uzbrucējs zināt jūsu jaunā parole.
Kā es varu zināt, kura no vietām satur ievainojamības, un tas ir noteikts?
Ir vairāki līdzekļi, kas pārbaudīt internetā neaizsargātību un ziņotās tās esamību / neesamību. mēs iesakām resursi Kompānija LastPass, programmatūras izstrādātājs paroli vadību. Lai gan tas dod diezgan skaidru atbildi uz jautājumu, vai viņš ir neaizsargāti vai vietā, domā par par revīzijas ar piesardzību rezultātiem. Ja ievainojamība vietnes precīzi konstatēts - mēģināt nevis to apmeklēt.
Saraksts populārākajām vietām pakļauti ievainojamības, varat arī izpētīt saite.
Vissvarīgākā lieta, pirms mainīt paroli - lai iegūtu oficiālu apstiprinājumu no ievadīšanas vietas, kas tika atklāts heartbleed, ka viņa jau bija likvidēts.
Daudzi uzņēmumi jau ir publicējusi attiecīgos ierakstus par viņu blogus. Ja nav - nevilcinieties vērsties uz atbalstu.
Kurš ir atbildīgs par izskatu ievainojamību?
Saskaņā ar laikraksta Guardian, nosaukums ir rakstīts "Buggy" programmētāja kods - Zeggelman Robin (Robin Seggelmann). Viņš strādāja pie projekta OpenSSL procesā iegūt doktora grādu no 2008. līdz 2012. gadam. Dramatiskais stāvoklis piebilst, ka kods ir nosūtīts uz repozitoriju, decembris 31, 2011 at 23:59, lai gan Zeggelman Viņš uzskata, ka tas nav svarīgi, "Es esmu atbildīgs par kļūdu, jo es uzrakstīju kodu un darīja visu nepieciešamo pārbaudes. "
Tajā pašā laikā, jo OpenSSL - atvērtā koda projekts, tas ir grūti vainot kļūdu kādam vienam. Projekta kods ir sarežģīta un satur lielu skaitu sarežģītu funkciju, un jo īpaši Heartbeat - ne svarīgākais no tiem.
Vai tā ir taisnība, ka sasodīts Valsts departaments ASV valdība izmanto heartbleed lai izspiegotu divus gadus pirms publicitāti?
Tas nav skaidrs. Zināmā ziņu aģentūra Bloomberg ziņoja, ka šis ir tas gadījums, bet tas iet viss VDI noliedz. Neatkarīgi, fakts paliek - heartbleed joprojām ir drauds.
Vai man jāuztraucas par manu bankas kontu?
Lielākā daļa bankas neizmanto OpenSSL, dodot patentētu šifrēšanas risinājumu. Bet, ja Jums ir cieš no šaubas - vienkārši sazinieties ar savu banku un lūgt viņiem attiecīgo jautājumu. Jebkurā gadījumā, tas ir labāk, lai sekotu situācijas attīstību, un oficiālos ziņojumus no bankām. Un neaizmirstiet, lai saglabātu acu par darījumiem kontā - ja darījumu nepazīstamā jums, atbilstoši rīkoties.
Kā es varu zināt, vai lietot jau heartbleed hackers nozagt manu personīgo informāciju?
Diemžēl, nē - izmantot šo ievainojamību, neatstāj pēdas servera baļķi ielaušanās darbību.
Vai izmantot programmu, lai uzglabātu jūsu paroles un ko?
No vienas puses, heartbleed atkal izvirza jautājumu par vērtību, spēcīgu paroli. Tā rezultātā no masas mainīt paroles, jums var brīnīties, kā jūs pat varat uzlabot savu drošību. Protams, parole vadītāji ir uzticami palīgi šajā gadījumā - tie var automātiski radīt un saglabāt stipras paroles katram vietā atsevišķi, bet jums ir jāatceras tikai viens master paroli. Online LastPass parole menedžeris, piemēram, uzstāj, ka viņš nav pakļauts heartbleed ievainojamību, un lietotāji nevar mainīt savu galveno paroli. Papildus LastPass, iesakām pievērst uzmanību šādiem pārbaudītus risinājumus, piemēram, RoboForm, Dashlane un 1Password.
Bez tam, mēs iesakām izmantot divpakāpju autentifikāciju, kur vien iespējams (Gmail, Dropbox un Evernote jau atbalstīt) - tad, kad atļauju, papildus paroli, pakalpojumu lūgs vienreizēju kodu, kas ir dota jums īpašu mobilo pieteikumu vai nosūtīts pa SMS. Šajā gadījumā, pat tad, ja parole ir nozagta, uzbrucējs nevar vienkārši izmantot, lai pieteiktos.