Întrebări frecvente: Ce este vulnerabilitatea heartbleed și cum să vă protejați de ea
De Tehnologie / / December 19, 2019
O vulnerabilitate recent descoperită în protocolul OpenSSL, numit heartbleed, și chiar logo-ul propriu, poartă o amenințare potențială pentru parola utilizatorului pe o varietate de site-uri web. Am decis să aștepte hype în jurul ei și vorbesc despre asta, ca să spunem așa, în reziduu uscat.
Acest lucru ne va ajuta la o ediție populară a CNET, care adunate o listă de întrebări frecvente adresate cu privire la acest subiect. Sperăm că următoarele informații vă vor ajuta să aflați mai multe despre heartbleed și protejați-vă. Mai întâi de toate, amintiți-vă la curent cu problema heartbleed nu a fost rezolvată complet.
Ce este heartbleed?
vulnerabilitate de securitate în OpenSSL bibliotecă software (punerea în aplicare deschisă a protocolului de criptare SSL / TLS), care permite hackerilor - heartbleed pentru a accesa conținutul serverelor de memorie, care în acest moment ar putea conține date private ale diferiților utilizatori Servicii Web. Potrivit firmei de cercetare Netcraft, această vulnerabilitate poate fi expus la aproximativ 500 de mii de site-uri web.
Acest lucru înseamnă că pe aceste site-uri cu potențial de risc au fost date cu caracter personal utilizatorilor respectivi, cum ar fi nume de utilizator, parole, card de date de credit, etc.
Vulnerabilitatea permite atacatorilor, de asemenea, chei digitale, care sunt utilizate, de exemplu, pentru corespondență și criptare documente interne într-o varietate de companii.
Ce este OpenSSL?
Să începem cu protocolul SSL, care vine de la Secure Sockets Layer (Secure Sockets Layer). El este, de asemenea, cunoscut sub noul său nume TLS (Transport Layer Security). Astăzi este una dintre cele mai comune metode de criptare a datelor din rețea pe care le protejează de posibile „spionaj“, pe de o parte. (Https la începutul legăturii indică faptul că comunicarea dintre browser și deschideți-l în site-ul folosește SSL, în caz contrar veți vedea în browser-ul doar http).
OpenSSL - punerea în aplicare SSL a software-ului open source. Vulnerabilitățile au fost supuse protocolului versiunea 1.0.1 la 1.0.1f. OpenSSL este, de asemenea, utilizat în sistemul de operare Linux, este o parte din cele două cele mai populare server de web Apache și Nginx, care „se execută“, o mare parte a internetului. Pe scurt, domeniul de aplicare al OpenSSL este imens.
Cine a găsit un bug?
Acest merit aparține angajaților companiei Codenomicon, care se ocupă cu securitatea calculatoarelor, și personalul Google cercetător Nil Meta (Neel Mehta), care a descoperit vulnerabilități în mod independent unul de altul, literalmente o zi.
Meta a donat recompensa de 15 mii. de dolari. pentru detectarea unui bug pe campania pentru dezvoltarea unor instrumente de criptare pentru jurnaliștii care lucrează cu surse de informații, care are o presă liberă Fundația (Libertatea Fundației Press). Meta continuă să refuze orice interviu, dar angajatorul său, Google, a dat următorul comentariu: „Siguranța utilizatorilor noștri este prioritatea noastră cea mai mare. Suntem în mod constant în căutarea de vulnerabilități și să încurajeze pe toți să le raporteze cât mai curând posibil, astfel încât să le putem repara înainte de a deveni cunoscute de atacatori. "
De ce heartbleed?
Numele a fost inventat de heartbleed Ossie Gerraloy (Ossi Herrala), al Codenomicon administrator de sistem. Este mai armonioasă decât denumirea tehnică CVE-2014-0160, această vulnerabilitate prin numărul care conține linia de cod.
Heartbleed (literal - „sângerare inimile“) - un joc de cuvinte care conțin o referire la extinderea OpenSSL numit „bătăile inimii“ (palpitații). Protocol păstrat deschis de conectare, chiar dacă între participanții nu face schimb de date. Gerrala a considerat că heartbleed descrie perfect esența vulnerabilitatea care a permis scurgerea de date sensibile din memorie.
Numele pare a fi destul de succes pentru bug-ul, iar acest lucru nu este un accident. Echipa Codenomicon folosit în mod deliberat eufonice (presă) numele, care ar ajuta atât pe cât posibil, cât mai curând posibil, pentru a anunța oamenii despre vulnerabilitate găsit. Dându-i numele de bug-ul, Codenomicon cumpărat în curând un domeniu Heartbleed.com, care a lansat site-ul într-o formă accesibilă spune despre heartbleed.
De ce unele site-uri care nu sunt afectate de heartbleed?
În ciuda popularității OpenSSL, există alte aplicații SSL / TLS. În plus, unele site-uri folosesc o versiune anterioară a OpenSSL, care acest bug-ul este absent. Și unii nu au inclus o funcție de bătaie a inimii, care este o sursă de vulnerabilitate.
Parțial pentru a reduce daunele potențiale face uz de PFS (secret înainte perfectă - secretul perfect drepte), Proprietate a protocolului SSL, care asigură că, dacă un atacator a prelua din memorie cheie de securitate pe un server, el nu va fi capabil să decodeze tot traficul și accesul la restul chei. Multe companii (dar nu toate) folosesc deja PFS - de exemplu, Google și Facebook.
Cum heartbleed?
Vulnerabilitățile atacator pentru a obține acces la serverul 64 kilobytes de memorie și de a efectua atacul din nou și din nou, până când pierderea de date complete. Acest lucru înseamnă că nu numai predispuse la nume de utilizator și parole scurgeri, dar datele cookie-ului pe care serverele web și site-uri folosesc pentru a urmări activitatea utilizatorului și autorizare Simplificați. Organizația Frontier Foundation electronice afirmă că atacurile periodice pot da acces la ambele mai multe informații serioase, cum ar fi chei private de criptare site-ului utilizate pentru criptare trafic. Folosind această cheie, un atacator ar putea falsifica site-ul original și să fure cele mai diferite tipuri de date personale, cum ar fi numere de card de credit sau corespondență privată.
Ar trebui să-mi schimb parola?
Pentru o varietate de site-uri răspunde „da“. DAR - este mai bine să aștepte pentru mesajul de pe site-ul de administrare, că această vulnerabilitate a fost eliminată. Firește, prima reacție - schimbați toate parolele imediat, dar dacă vulnerabilitatea la unele dintre site-urile care nu sunt curățate, schimbare parola inutile - într-un moment în care vulnerabilitatea este cunoscut, că doar crește șansele unui atacator să știe noul dvs. parola.
Cum știu care dintre site-urile conțin vulnerabilități și este fixat?
Există mai multe resurse care verifica Internet pentru vulnerabilitatea și raportate de prezență / absență. recomandăm resursă Compania LastPass, un dezvoltator de software de gestionare a parolei. Deși oferă un răspuns destul de clar la întrebarea dacă el este vulnerabil sau că site-ul, cred că de rezultatele auditului cu prudență. În cazul în care vulnerabilitatea site-ului a constatat cu precizie - încercați să nu-l viziteze.
Listă de vulnerabilitățile cele mai multe site-uri populare expuse, puteți explora, de asemenea, legătură.
Cel mai important lucru înainte de a schimba parola - pentru a obține o confirmare oficială de la locul de administrare, care a fost descoperit heartbleed, că ea fusese deja eliminat.
O mulțime de companii au publicat deja înregistrările relevante pe blogurile lor. În cazul în care nu sunt - nu ezita să sesizeze sprijin.
Cine este responsabil pentru apariția vulnerabilității?
Potrivit ziarului Guardian, numele este scris de cod „buggy“ programator - Zeggelman Robin (Robin Seggelmann). El a lucrat la OpenSSL proiect în procesul de obținere a unui grad de doctorat 2008 - 2,012. situație dramatică se adaugă la faptul că codul a fost trimis la magazia, 31 decembrie 2011 la ora 23:59, deși Zeggelman El susține că nu contează, „Eu sunt responsabil pentru greseala, după cum am scris codul și a făcut toate cele necesare cecuri. "
În același timp, deoarece OpenSSL - un proiect open source, este dificil să dea vina pe eroarea cuiva unul. Codul de proiect este complex și conține un număr mare de funcții complexe, și în special Heartbeat - nu cel mai important dintre ele.
Este adevărat că Departamentul de Stat al naibii Guvernul Statelor Unite folosit pentru a spiona heartbleed doi ani înainte de publicitate?
Nu este clar. Known agenția de știri Bloomberg a raportat că acesta este cazul, dar merge toate NSA neagă. Indiferent, este mai puțin adevărat - heartbleed este încă o amenințare.
Ar trebui să vă faceți griji cu privire la contul meu bancar?
Cele mai multe bănci nu folosesc OpenSSL, preferând soluția proprietară de criptare. Dar, dacă sunt afectate de îndoieli - trebuie doar să contactați banca și să le punem întrebarea relevantă. În orice caz, este mai bine să urmărească evoluția situației, și rapoartele oficiale de la bănci. Și nu uitați să păstrați un ochi pe tranzacțiile în contul dvs. - în cazul tranzacțiilor necunoscute pentru tine, vom lua măsurile corespunzătoare.
Cum știu dacă să folosească hackeri deja heartbleed pentru a fura datele mele personale?
Din păcate, nu - utiliza această vulnerabilitate nu lasă nici o urmă de server înregistrează activitatea intrus.
Dacă să utilizeze programul pentru a stoca parolele, și ce?
Pe de o parte, heartbleed ridică încă o dată întrebarea cu privire la valoarea unei parole puternice. Ca o consecință a parolelor de schimbare în masă, s-ar putea întreba cum puteți îmbunătăți chiar și securitatea. Desigur, managerii de parole sunt de încredere asistenți în acest caz - ei pot în mod automat genera și stoca parole puternice pentru fiecare site în parte, dar trebuie să vă amintiți doar un singur parola de master. Online manager de parole LastPass, de exemplu, insistă asupra faptului că el nu este supus heartbleed vulnerabilitate, iar utilizatorii nu pot schimba parola de master. În plus față de LastPass, vă recomandăm să acordați o atenție la astfel de soluții dovedite, cum ar fi RoboForm, Dashlane și 1Password.
În plus, vă recomandăm să utilizați o autentificare în două etape ori de câte ori este posibil (Gmail, Dropbox și Evernote-l sprijine deja) - atunci când autorizație, în plus față de parola, serviciul va solicita un cod de o singură dată, care este dat la tine într-o aplicație mobilă specială sau trimise prin intermediul SMS-uri. În acest caz, chiar dacă parola este furat, un atacator nu poate pur și simplu utilizați pentru conectare.