FAQ: Hva er Heartbleed sårbarhet og hvordan du kan beskytte deg mot det
Av Teknologi / / December 19, 2019
En nylig oppdaget sårbarhet i OpenSSL-protokollen, kalt Heartbleed, og til og med din egen logo, bærer en potensiell trussel mot brukerens passord på en rekke nettsteder. Vi bestemte oss for å vente på hype rundt det og snakke om det, så å si, i den tørre rester.
Dette vil hjelpe oss til en populær utgave av CNET, som samlet en liste over vanlige spørsmål om dette emnet. Vi håper at følgende informasjon vil hjelpe deg å lære mer om Heartbleed og beskytte deg selv. Først av alt, husk oppdatert med Heartbleed problemet ikke har blitt helt løst.
Hva er Heartbleed?
Heartbleed - sikkerhetsproblem i OpenSSL programvare bibliotek (åpen implementering av SSL / TLS krypteringsprotokoll) som gjør at hackere for å få tilgang til innholdet i hukommelses servere, som på dette punktet kan inneholde private data for forskjellige brukere Webtjenester. Ifølge analyseselskapet Netcraft, kan dette sikkerhetsproblemet bli utsatt for cirka 500 000 nettsteder.
Dette betyr at på disse områdene potensielt utsatt var de brukernes personlige data, som brukernavn, passord, kredittkortopplysninger osv
Sårbarheten kan også angripere digitale nøkler, som brukes for eksempel for kryptering korrespondanse og interne dokumenter i en rekke selskaper.
Hva er OpenSSL?
La oss starte med SSL-protokollen, som står for Secure Sockets Layer (Secure Sockets Layer). Han er også kjent under sitt nye navn TLS (Transport Layer Security). I dag er det en av de vanligste metodene for datakryptering i nettverket som beskytter deg mot mulig "spionere" på den delen. (Https i begynnelsen av linken viser at kommunikasjonen mellom nettleseren og åpne den i nettstedet bruker SSL, ellers vil du se i nettleseren bare http).
OpenSSL - SSL implementering av programvare med åpen kildekode. Sikkerhetsproblemer ble utsatt for protokoll versjon 1.0.1 til 1.0.1f. OpenSSL er også brukt i Linux-operativsystemet, er det en del av de to mest populære webserveren Apache og Nginx, som "løper" en stor del av Internett. Kort sagt, er omfanget av OpenSSL enorme.
Hvem har funnet en feil?
Dette fortjener tilhører de ansatte i selskapet Codenomicon, som arbeider med datasikkerhet, og bemanning Google forsker Nile Meta (Neel Mehta), som oppdaget sårbarheter uavhengig av hverandre, bokstavelig talt en dag.
Meta donert belønning på 15 000. dollar. for å påvise en feil på kampanjen for utvikling av kryptering verktøy for journalister som jobber med informasjonskilder, som tar en fri presse Foundation (Freedom of the Press Foundation). Meta fortsetter å nekte ethvert intervju, men hans arbeidsgiver, Google, ga følgende kommentar: "Sikkerheten til våre brukere er vår høyeste prioritet. Vi er stadig på utkikk etter sårbarheter, og oppfordrer alle til å rapportere dem så snart som mulig slik at vi kan fikse dem før de blir kjent for angripere. "
Hvorfor Heartbleed?
Navnet ble skapt av Heartbleed Ossie Gerraloy (Ossi Herrala), systemadministratoren Codenomicon. Det er mer harmonisk enn det tekniske navnet CVE-2014-0160, dette sikkerhetsproblemet ved nummer inneholder sin linje med kode.
Heartbleed (bokstavelig - "blødende hjerter") - et ordspill som inneholder en henvisning til utvidelse av OpenSSL kalt "hjerteslag" (hjertebank). Protokoll holdt forbindelsen åpen, selv om mellom deltakerne ikke utveksle data. Gerrala ansett som Heartbleed perfekt beskriver essensen av sikkerhetsproblemet som tillot lekkasje av sensitive data fra minnet.
Navnet ser ut til å være ganske vellykket for feilen, og dette er ingen tilfeldighet. Codenomicon teamet bevisst brukt velklingende (trykk) navn, noe som ville hjelpe både så mye som mulig så snart som mulig for å varsle folk om sårbarhet funnet. Gir det navnet på bug, Codenomicon kjøpte snart et domenenavn Heartbleed.com, som lanserte nettstedet i en tilgjengelig form fortelle om Heartbleed.
Hvorfor er det noen områder som ikke berøres av Heartbleed?
Til tross for populariteten til OpenSSL, det er andre SSL / TLS gjennomføring. I tillegg er noen steder bruker en tidligere versjon av OpenSSL, som denne feilen er fraværende. Og noen ikke inkluderer et hjerteslag funksjon, som er en kilde til sårbarhet.
Delvis for å redusere den potensielle skaden gjør bruk av PFS (Perfect Forward Secrecy - helt rett hemmelighold), Eiendom av SSL-protokollen, som sikrer at hvis en angriper hente fra minne Serveren en sikkerhetsnøkkel, vil han ikke være i stand til å dekode all trafikk og tilgang til resten av nøkler. Mange (men ikke alle) selskaper allerede bruker PFS - for eksempel Google og Facebook.
Hvordan Heartbleed?
Sikkerhetsproblemer angriper å få tilgang til serveren 64 kilobyte av hukommelse og utføre angrepet igjen og igjen før den fullstendige tap av data. Dette betyr at ikke bare utsatt for lekkasje brukernavn og passord, men dataene for informasjonskapsler som webservere og områder bruker til å spore brukeraktivitet og forenkle autorisasjon. Organisasjonen Electronic Frontier Foundation sier at periodiske angrep kan gi tilgang til både mer seriøs informasjon, for eksempel private språk krypteringsnøklene som brukes til kryptering trafikk. Ved hjelp av denne tasten, kan en angriper forfalske det opprinnelige området og stjeler flest forskjellige typer personopplysninger som kredittkortnumre eller privat korrespondanse.
Bør jeg endre passordet mitt?
For en rekke områder svare "ja". MEN - det er bedre å vente på melding fra administrasjonsstedet, at dette sikkerhetsproblemet er eliminert. Naturligvis, din første reaksjon - Bytt alle passord umiddelbart, men hvis sårbarhet på noen av de områder som ikke er renset, endring passord meningsløs - i en tid da sårbarheten er allment kjent, at du bare øke sjansene for en angriper å vite din nye passord.
Hvordan vet jeg hvilken av nettstedene inneholder sårbarheter, og er det fikset?
Det finnes flere ressurser som kontrollerer Internett for sårbarhet og rapportert sin tilstedeværelse / fravær. vi anbefaler ressurs Selskapet Lastpass, en programvareutvikler av passord ledelse. Selv om det gir et ganske klart svar på spørsmålet om han er sårbar eller at nettstedet, tenk på resultatene av revisjonen med forsiktighet. Hvis sårbarheten nettstedet nøyaktig funnet - prøv ikke å besøke den.
Liste over de mest populære nettstedene utsatte sårbarheter, kan du også utforske link.
Det viktigste før du endrer passordet - for å få en offisiell bekreftelse fra administrasjonsstedet, som ble oppdaget heartbleed, at hun allerede hadde blitt eliminert.
Mange selskaper har allerede publisert relevante oppføringer på sine blogger. Hvis det ikke er - ikke nøl med å henvise saken til støtte.
Hvem er ansvarlig for utseendet på sikkerhetsproblemet?
Ifølge avisen Guardian, er navnet skrevet "buggy" programmerer kode - Zeggelman Robin (Robin Seggelmann). Han jobbet på prosjektet OpenSSL i prosessen med å skaffe en doktorgrad 2008-2012. Dramatisk situasjon legger til det faktum at koden er blitt sendt til depotet 31. desember 2011 kl 23:59, selv om Zeggelman Han hevder at det spiller ingen rolle, "Jeg er ansvarlig for feil, som jeg skrev koden og gjorde all nødvendig sjekker. "
Samtidig, siden OpenSSL - en åpen kildekode, er det vanskelig å skylde på feil av noen én. Prosjektet kode er kompleks og inneholder et stort antall komplekse funksjoner, og spesielt Heartbeat - ikke den viktigste av dem.
Er det sant at faen State Department Den amerikanske regjeringen brukte Heartbleed å spionere to år før publisitet?
Det er ikke klart. Kjente nyhetsbyrået Bloomberg rapporterte at dette er tilfelle, men det går hele NSA benekter. Uansett, det faktum gjenstår - Heartbleed er fortsatt en trussel.
Bør jeg bekymre bankkontoen min?
De fleste bankene ikke bruke OpenSSL, og foretrakk proprietær krypteringsløsning. Men hvis du er plaget av tvil - bare ta kontakt med banken din og be dem om det aktuelle spørsmålet. I alle fall er det bedre å følge utviklingen av situasjonen, og offisielle rapporter fra bankene. Og ikke glem å holde et øye med transaksjoner på kontoen din - i tilfelle av transaksjoner ukjente for deg, iverksette nødvendige tiltak.
Hvordan vet jeg om du skal bruke allerede Heartbleed hackere å stjele mine personopplysninger?
Dessverre, nei - bruke dette sikkerhetsproblemet ikke etterlater noen spor av serveren logger inntrengeren aktivitet.
Enten å bruke programmet til å lagre passordene dine, og hva?
På den ene siden, Heartbleed igjen reiser spørsmålet om verdien av et sterkt passord. Som en konsekvens av masseendrings passord, kan du lurer på hvordan du selv kan forbedre sikkerheten. Selvfølgelig er passord ledere klarert assistenter i dette tilfellet - de kan automatisk generere og lagre sterke passord for hvert nettsted individuelt, men du må bare huske én hovedpassord. Online Lastpass passord manager, for eksempel, insisterer på at han ikke blir utsatt for Heartbleed sårbarhet, og brukerne kan ikke endre hovedpassordet. I tillegg til Lastpass, anbefaler vi å betale oppmerksomhet til slike velprøvde løsninger som RoboForm, Dashlane og 1Password.
I tillegg anbefaler vi at du bruker en to-trinns autentisering der det er mulig (Gmail, Dropbox og Evernote allerede støtter det) - så når autorisasjon, i tillegg til passord, vil tjenesten be om en engangskode som er gitt til deg i en spesiell mobil eller sendes gjennom SMS. I dette tilfellet, selv om passordet ditt blir stjålet, kan en angriper kan ikke bare bruke den til å logge inn.