DUK: Kas yra Heartbleed pažeidžiamumas ir kaip apsisaugoti nuo jos

Neseniai atrastas pažeidžiamumas OpenSSL protokolą, dubliuotas Heartbleed, ir net savo logotipą, vykdo potencialią grėsmę vartotojo slaptažodį iš įvairių svetainių. Mes nusprendėme laukti aplink jį hype ir kalbėti apie tai, taip sakant, sausosios liekanos.

Tai padės mums populiaraus leidinio CNET, kuri surinkta dažniausiai užduodamų klausimų šia tema sąrašas. Tikimės, kad ši informacija padės jums sužinoti daugiau apie Heartbleed ir apsaugoti save. Pirmiausia, nepamirškite data su Heartbleed problema nebuvo išspręsta iki galo.

Kas yra Heartbleed?

Heartbleed - saugumo pažeidžiamumas OpenSSL programinės įrangos biblioteką (atviros įgyvendinimas SSL / TLS šifravimo protokolą), kuri leidžia programišiams prieiti prie atminties serverių, kurie šiuo metu gali būti privačios informacijos įvairių vartotojų turinį Web paslaugos. Pasak tyrimų bendrovės Netcraft, šis pažeidžiamumas gali būti veikiami apie 500 tūkstančių interneto svetainėse.

Tai reiškia, kad šiose svetainėse potencialiai gresia buvo tiems vartotojams, asmens duomenys, pavyzdžiui, vartotojo vardus, slaptažodžius, kreditinių kortelių duomenis ir pan

instagram viewer

Pažeidžiamumas leidžia įsilaužėliui skaitmeninius raktus, kurie naudojami, pavyzdžiui, šifravimo korespondencijos ir vidaus dokumentus į įmonių įvairovę.

Kas yra OpenSSL?

Pradėkime su SSL protokolą, kuris stovi už Secure Sockets Layer (Secure Sockets Layer). Jis taip pat žinomas pagal savo nauju pavadinimu TLS (Transport Layer saugumas). Šiandien ji yra viena iš labiausiai paplitusių metodų duomenų šifravimo tinkle, kad apsaugo jus nuo galimų "šnipinėjimą" ant dalį. (Https nuoroda pradžia rodo, kad tarp jūsų naršyklėje, ir atidarykite jį į svetainę naudojant SSL komunikacijos, kitaip pamatysite naršyklėje tiesiog HTTP).

OpenSSL - SSL įgyvendinimas atviro kodo programinę įrangą. Pažeidžiamumai buvo atliktas protokolo versijos 1.0.1 į 1.0.1f. OpenSSL taip pat naudojamas Linux operacinė sistema, ji yra viena iš dviejų populiariausių žiniatinklio serverio Apache ir Nginx, kuris "vykdo" didžiąją dalį internete. Trumpai tariant, OpenSSL apimtis yra didžiulė.

Kas radote klaidą?

Tai nuopelnas priklauso nuo įmonės Codenomicon darbuotojų, susijusių su kompiuterio saugumą, ir personalo "Google" mokslininkas Nilas meta (Neel Mehta), kuris atrado pažeidžiamumą nepriklausomai vienas nuo kito, tiesiog vieną dieną.

Meta paaukoti atlygį 15 tūkst. JAV dolerių. aptikti triktį apie kampaniją už šifravimo priemonių kūrimo žurnalistų, dirbančių su informacijos šaltiniais, kuris trunka laisvą spaudą fondas (spaudos laisvės fondas). Meta ir toliau atsisako bet kokio interviu, tačiau darbdavys, "Google", davė tokią komentarą: "Mūsų vartotojų saugumas yra mūsų prioritetas. Mes nuolat ieškome pažeidžiamumą ir paskatinti visus juos pranešti kuo greičiau, kad galėtume juos pašalinti, kol jie tapo žinoma, kad užpuolikų. "

Kodėl Heartbleed?

Pavadinimas buvo sugalvotas Heartbleed Ossie Gerraloy (Ossi Herrala), sistemos administratorius Codenomicon. Tai darnesnę nei techniniu pavadinimu CVE-2014-0160, šis pažeidžiamumas skaičiaus, kurių sudėtyje yra savo liniją kodą.

Heartbleed (pažodžiui - "kraujavimas širdis") - tai žodžių žaismas, kuriuose yra nuoroda į OpenSSL plėtros vadinamas "širdies plakimas" (palpitacija). Protokolas saugomi ryšio Atidaryti, net jei tarp dalyvių neturi keistis duomenimis. Gerrala laikoma, kad Heartbleed puikiai apibūdina pažeidžiamumą, kuris leido neskelbtinų duomenų nutekėjimo iš atminties esmę.

Pavadinimas atrodo gana sėkmingi klaidą, ir tai nėra atsitiktinumas. Codenomicon komanda sąmoningai naudojamas eufoninis (paspauskite) vardą, kuris padėtų tiek, kiek įmanoma, kaip galima greičiau pranešti žmonėms apie pažeidžiamumą nerasta. Suteikiant jai apie klaidą vardą, Codenomicon greičiau nusipirkau domeną Heartbleed.com, kuris pradėjo svetainę lengvai prieinama forma pasakoja apie Heartbleed.

Kodėl kai kurios svetainės neturi įtakos Heartbleed?

Nepaisant OpenSSL populiarumo, yra ir kitų SSL / TLS įgyvendinimas. Be to, kai kurios svetainės naudoja senesnę OpenSSL, kuris Ši klaida nėra. Ir kai neįtraukė širdies plakimas funkciją, kuri yra pažeidžiamumo šaltinis.

Iš dalies sumažinti potencialią žalą pasinaudoja PFS (puikus pirmyn paslapties - idealiai tiesiai paslaptis), Nekilnojamojo turto SSL protokolą, kuris užtikrina, kad, jei užpuolikas gauti iš atminties serveris vienas saugumo raktą, jis negalės iššifruoti visą srautą ir prieigą prie poilsio raktai. Daugelis (bet ne visi) įmonių jau naudoja PFS - pvz, "Google" ir "Facebook".

Kaip veikia Heartbleed?

Pažeidžiamumas užpuolikas prieiti prie serverio 64 kilobaitų atminties ir vėl ir vėl atlikti ataką iki visiško duomenų praradimo. Tai reiškia, kad ne tik linkę ištekėti vardus ir slaptažodžius, bet slapukas duomenimis, interneto serveriai ir svetainės naudoja sekti vartotojo veiklą ir supaprastinti leidimo. Organizacija "Electronic Frontier Foundation teigiama, kad periodiniai išpuoliai gali suteikti prieigą prie abiejų rimtesnė informacija, pavyzdžiui, privačių svetainės šifravimo raktų, naudojamų šifravimo eismo. Naudojant šį mygtuką, užpuolikas gali pokštauti originalų puslapį ir vagia daugiausia įvairių rūšių asmens duomenis, pavyzdžiui, kredito kortelių numerius ar privati ​​korespondencija.

Turėčiau pasikeisti savo slaptažodį?

Dėl vietų įvairovė atsakyti "taip". BET - tai geriau laukti pranešimo iš administravimo svetainėje, kad šis pažeidžiamumas buvo pašalinta. Žinoma, jūsų pirmoji reakcija - Pakeisti visi slaptažodžiai iš karto, bet jei pažeidžiamumas į kai kuriuos svetainių nėra valomi, pokytis slaptažodis beprasmiška - tuo metu, kai pažeidžiamumas yra plačiai žinomas, kad jūs tik padidinti užpuolikas galimybes pažinti savo naują slaptažodis.

Kaip man žinoti, kuris iš svetainių yra spragų ir tai fiksuoto?

Yra keletas išteklių, kad patikrinti internetu pažeidžiamumo ir pranešti apie jų buvimą / nebuvimą. rekomenduojame išteklių Įmonės LastPass, programinės įrangos kūrėjas slaptažodžio valdymas. Nors ji suteikia gana aiškų atsakymą į klausimą, ar jis yra pažeidžiama arba kad svetainė, galvoti apie audito atsargiai rezultatus. Jei svetainėje pažeidžiamumas tiksliai rasti - bandyti ne aplankyti ją.

Sąrašas populiariausių svetainių veikiami pažeidžiamumą, taip pat galite tyrinėti ryšys.

Svarbiausia prieš keisdami savo slaptažodį - gauti oficialų patvirtinimą iš administracijos svetainę, kuri buvo atrasta heartbleed, kad ji jau buvo pašalinta.

Daug įmonių jau paskelbė atitinkamus įrašus apie savo dienoraščių. Jei nėra - nedvejodami kreiptis į paramą.

Kas yra atsakingas už pažeidžiamumo išvaizda?

Pasak laikraščio "Guardian", pavadinimas parašytas "Buggy" programuotojas kodas - Zeggelman Robinas (Robinas Seggelmann). Jis dirbo projekto OpenSSL į gauti daktaro laipsnį nuo 2008 iki 2012 m procesą. Dramatiška padėtis prisideda prie to, kad kodas buvo išsiųstas į kapinyną, gruodžio 31, 2011 at 23:59, nors Zeggelman Jis teigia, kad nesvarbu, "Aš esu atsakingas už klaidą, kaip rašiau kodą ir padariau visa reikalinga patikrinimai. "

Tuo pačiu metu, nes OpenSSL - atviro kodo projektas, sunku kaltinti ką nors vieną klaidą. Projekto kodas yra sudėtinga ir yra daug sudėtingų funkcijų, ir konkrečiai Heartbeat - nėra svarbiausias iš jų.

Ar tiesa, kad damn valstybės departamentas JAV vyriausybė naudojamas Heartbleed šnipinėti prieš dvejus metus viešumo?

Neaišku. Žinomas naujienų agentūra "Bloomberg" pranešė, kad tai yra atvejis, bet jis eina visi NSI neigia. Nepaisant to, faktas lieka faktu - Heartbleed vis dar kelia grėsmę.

Ar turėčiau nerimauti mano banko sąskaitą?

Dauguma bankų nenaudokite OpenSSL, pirmenybę nuosavybės šifravimo sprendimą. Bet jeigu jūs kamuoja abejones - tiesiog susisiekite su savo banku ir paprašykite jų atitinkamą klausimą. Bet kuriuo atveju, tai geriau sekti situacijos raidą, ir oficialius pranešimus iš bankų. Ir nepamirškite užmesti akį į sandorių sąskaitoje - sandorių nepažįstamas jums atveju, imtis atitinkamų veiksmų.

Kaip man sužinoti, ar naudoti jau Heartbleed įsilaužėlių pavogti mano asmens duomenis?

Deja, ne - naudoti šį pažeidžiamumą nepalieka jokios serverio pėdsakų rąstų įsibrovėlis veiklą.

Ar naudoti programą saugoti savo slaptažodžius, ir ką?

Viena vertus, Heartbleed vėl kelia klausimą apie stiprų slaptažodį vertę. Kaip masinio keisti slaptažodžius to, jums gali būti įdomu, kaip jūs netgi galite padidinti savo saugumą. Žinoma, slaptažodį vadovai pasitiki asistentų, šiuo atveju - jie gali automatiškai generuoti ir saugoti stiprius slaptažodžius kiekvienai svetainei atskirai, bet jūs turite prisiminti tik vieną meistras slaptažodį. Prisijungę LastPass slaptažodį vadybininkas, pavyzdžiui, tvirtina, kad jis nėra taikomos Heartbleed pažeidžiamumą, ir vartotojai negali keisti savo pagrindinį slaptažodį. Be to, LastPass, rekomenduojame atkreipti dėmesį į tokių išbandytų sprendimų kaip RoboForm, Dashlane ir 1Password.

Be to, mes rekomenduojame naudoti dviejų pakopų autentifikavimo kur tik įmanoma ( "Gmail", "Dropbox" ir "Evernote" jau palaiko ją), - tada, kai leidimas, be slaptažodžio, paslauga prašys vienkartiniu kodu, kuris davė jums į specialų mobiliųjų aplikacijų arba siunčiama per SMS. Šiuo atveju, net jei jūsų slaptažodis yra pavogtas, užpuolikas negali tiesiog naudoti jį prisijungti.