Pogosta vprašanja: Kaj je Heartbleed ranljivost in kako se zaščititi pred njim

Pred kratkim odkril ranljivost v protokolu OpenSSL, poimenovan Heartbleed, in tudi svoj logotip, nosi potencialno nevarnost za geslo uporabnika na različnih spletnih straneh. Smo se odločili počakati hype okoli njega in govori o tem, če se tako izrazim, v ostanku suhem.

To nam bo pomagalo, da priljubljeni izdaji CNET, ki zbrani seznam pogosto zastavljenih vprašanj na to temo. Upamo, da bo naslednje informacije vam bo pomagal izvedeti več o Heartbleed in zaščititi sebe. Najprej, ne pozabite, da je datum, s Heartbleed problem ni v celoti rešen.

Kaj je Heartbleed?

Heartbleed - varnostna ranljivost v OpenSSL programske knjižnice (odprta izvedba SSL / TLS šifriranja protokol), ki omogoča hekerjem Za dostop do vsebine pomnilniških strežnikov, ki bi lahko v tem trenutku vsebujejo osebne podatke različnih uporabnikov Spletne storitve. Glede na raziskave podjetja Netcraft, lahko to ranljivost lahko izpostavljena približno 500.000 spletnih straneh.

To pomeni, da na teh straneh so lahko ogroženi so bili osebni podatki teh uporabnikov, kot so uporabniška imena, gesla, podatke o kreditni kartici, itd

instagram viewer

Ranljivost omogoča tudi napadalci digitalnih ključev, ki se uporabljajo, na primer, za šifriranje korespondenco in notranjih dokumentov v različnih podjetij.

Kaj je OpenSSL?

Začnimo s protokolom SSL, ki stoji za Secure Sockets Layer (Secure Sockets Layer). Znan je tudi pod novim imenom za TLS (Transport Layer Security). Danes je eden izmed najbolj razširjenih metod šifriranja podatkov v omrežju, ki vas ščiti pred mogoče "vohunjenje" na delu. (Https na začetek povezavo kaže, da je komunikacija med vašim brskalnikom in jo odprli v mestu je z uporabo SSL, sicer boste videli v brskalniku samo http).

OpenSSL - izvajanje SSL odprtokodne programske opreme. Ranljivosti so izpostavljeni protokola različice 1.0.1 do 1.0.1f. OpenSSL se uporablja tudi v operacijskem sistemu Linux, je del dveh najbolj priljubljen spletni strežnik Apache in nginx, ki "začne teči" velik del interneta. Skratka, obseg OpenSSL je ogromno.

Kdo je našel napako?

Ta zasluga pripada zaposlenim v podjetju Codenomicon, ki se ukvarja z računalniško varnostjo, in kadrovske Google raziskovalec Nil Meta (Neel Mehta), ki je odkril ranljivosti neodvisno drug od drugega, dobesedno en dan.

Meta podarila nagrado v višini 15 tisoč evrov. dolarjev. za odkrivanje napako na kampanjo za razvoj orodij za šifriranje za novinarje, ki delajo z viri informacij, ki traja svobodnega tiska Foundation (svoboda tiska Foundation). Meta še vedno ni nobene intervju, vendar je njegov delodajalec, Google, je naslednji komentar: "Varnost naših uporabnikov je naša prednostna naloga. Nenehno išče ranljivosti in spodbuditi vse, da bi o njih poročati, kakor hitro je mogoče, tako da jih lahko popraviti, preden so postali znani napadalci. "

Zakaj Heartbleed?

Ime je skoval Heartbleed Ossie Gerraloy (Ossi Herrala), skrbnika sistema Codenomicon. To je bolj harmonično kot tehničnim imenom CVE-2014-0160, to ranljivosti s številom, ki vsebujejo svoje kode.

Heartbleed (dobesedno - "krvavitev srca") - besedna igra, ki vsebujejo sklicevanje na širitev OpenSSL imenuje "srčni utrip" (palpitacije). Protokol ohranil povezavo odprto, tudi če med udeleženci ne izmenjujejo podatke. Gerrala menil, da Heartbleed popolnoma opisuje bistvo ranljivosti, ki je omogočila uhajanje občutljivih podatkov iz pomnilnika.

Zdi se, da ime, ki je zelo uspešna za napako, in to ni naključje. Codenomicon ekipa namenoma uporablja euphonic (pritisnite) ime, ki bi pomagala tako čim več čim prej obvestiti ljudi o ranljivosti najti. ji daje ime bug, Codenomicon kmalu kupil domeno Heartbleed.com, ki je začel mesto v dostopni obliki zgodb o Heartbleed.

Zakaj nekatera ne vpliva Heartbleed?

Kljub priljubljenosti OpenSSL, obstajajo tudi drugi izvajanje SSL / TLS. Poleg tega so nekatere strani uporabljajo starejšo različico OpenSSL, ki je ta napaka odsoten. In nekateri ne vključuje funkcijo srčnega utripa, ki je vir ranljivosti.

Delno se zmanjša možnost poškodb poslužuje PFS (odlično naprej tajnosti - popolnoma ravne skrivnost), Nepremičnine protokola SSL, ki zagotavlja, da če napadalec priklicati iz spomina Strežnik ključen varnost, da ne bodo mogli dešifrirati ves promet in dostop do ostalega ključi. Mnogi (vendar ne vsi) podjetja že uporabljajo PFS - na primer, Google in Facebook.

Kako Heartbleed?

Ranljivosti napadalec pridobiti dostop do strežnika 64 kilobajtov pomnilnika in znova in znova izvesti napad do popolne izgube podatkov. To pomeni, da ne samo, nagnjeni k uhajajo uporabniška imena in gesla, vendar podatki piškotkov, da spletni strežniki in strani uporabljajo za sledenje dejavnosti uporabnikov in poenostaviti dovoljenje. Organizacija Electronic Frontier Foundation določa, da lahko redni napadi omogoči dostop do obeh resnejše informacije, kot so zasebna šifrirnih ključev na kraju samem, ki se uporabljajo za šifriranje prometa. Z uporabo tega ključa, lahko napadalec prevara izvirno spletno mesto in ukradel največ različnih vrst osebnih podatkov, kot so številke kreditnih kartic ali zasebne korespondence.

Ali naj spremenim svoje geslo?

Pri različnih mestih odgovorili z "da". TODA - je bolje, da se počaka na sporočilo iz spletne strani uprave, da je bilo to ranljivost odpravljena. Seveda, tvoja prva reakcija - Spremeni vsa gesla takoj, če pa ranljivost na nekaterih mestih ne očistijo, sprememba Geslo nesmiselno - v času, ko se ranljivost splošno znano, da si le povečalo možnosti za napadalca, da poznate svoje novo geslo.

Kako naj vem, kateri od lokacij vsebujejo ranljivosti in je fiksna?

Obstaja več virov, da preverite internet za ranljivost in poročali svojo prisotnost / odsotnost. priporočamo vir Podjetje LastPass, razvijalec programske opreme za upravljanje gesel. Čeprav daje precej jasen odgovor na vprašanje, ali je bil ranljiv, ali da mesto, mislijo o rezultatih revizije s previdnostjo. Če je ranljivost spletne strani natančno ugotovljeno - poskusite, da ga ne bi obiskali.

Seznam najbolj priljubljenih spletnih mest, ki so izpostavljeni ranljivosti, lahko tudi raziskati povezava.

Najbolj pomembna stvar, pred spremembo gesla - da bi dobili uradno potrditev mestu dajanja, ki je bil odkrit heartbleed, ki je bila že odpravljena.

Veliko podjetij je že objavila ustrezne vpise na svojih blogih. Če ne obstajajo - ne oklevajte, da zadevo podporo.

Kdo je odgovoren za pojav ranljivosti?

Po navedbah časopisa Guardian, je ime napisano kodo "buggy" programer je - Zeggelman Robin (Robin Seggelmann). Delal je na projektu OpenSSL v postopku pridobitev doktorata znanosti od leta 2008 do leta 2012. Dramatična situacija dodaja, da dejstvo, da je bila koda poslan v skladišču, 31. decembra 2011 ob 23.59, čeprav Zeggelman On trdi, da ni važno, "Jaz sem odgovoren za napako, kot sem napisal kodo in storil vse potrebno preverjanja. "

Ob istem času, saj OpenSSL - na odprtokodnem projektu, je težko kriviti napako nekoga enega. koda projekta je kompleksna in vsebuje veliko število kompleksnih funkcij, in sicer Heartbeat - ni najpomembnejši med njimi.

Je res, da prekleto State Department Vlada ZDA uporablja Heartbleed za vohunjenje dve leti pred javnosti?

To ni jasno. Znano tiskovna agencija Bloomberg poroča, da je temu tako, ampak gre vse NSA zanika. Ne glede na to pa ostaja dejstvo - Heartbleed je še vedno grožnja.

Naj skrbi moj bančni račun?

Večina bank ne uporabljajo OpenSSL, raje lastniško rešitev za šifriranje. Ampak, če ste pestijo dvomi - se obrnite na svojo banko in od njih zahteva ustrezno vprašanje. V vsakem primeru, je bolje, da sledi razvoju stanja, in uradna poročila iz bank. In ne pozabite, da pazi na transakcije na računu - v primeru transakcij neznane za vas, sprejme ustrezne ukrepe.

Kako vem, ali uporabiti že Heartbleed hekerji ukrasti moje osebne podatke?

Na žalost, ne - uporabite to ranljivost ne pušča nobenih sledi strežnika dnevniki dejavnost vsiljivec.

Ali naj se uporabi program za shranjevanje gesel, in kaj?

Po eni strani, Heartbleed ponovno odpira vprašanje o vrednosti močnega gesla. Kot posledica gesel spremembe mase, lahko se sprašujete, kako lahko celo poveča vašo varnost. Samodejno lahko - seveda, so menedžerji geslo zaupa pomočnikov v tem primeru in hraniti močna gesla za vsako stran posebej, ampak moraš zapomniti le eno Glavno geslo. Spletna vodja LastPass geslo, na primer, vztraja, da ni podvržen Heartbleed ranljivosti, in uporabniki ne morejo spremeniti glavno geslo. Poleg LastPass, priporočamo pozoren na take preverjenimi rešitvami, kot RoboForm, Dashlane in 1Password.

Poleg tega priporočamo uporabo pristnosti v dveh korakih kjer je to mogoče (Gmail, Dropbox in Evernote že podpirajo) - potem, ko dovoljenje, poleg gesla, bo storitev zaprosi za enkratno kodo, ki je dano, da vas v posebno mobilno aplikacijo ali poslan preko SMS. V tem primeru, tudi če je vaše geslo ukradejo, napadalec ne more preprosto uporabite za prijavo.