FAQ: Mi heartbleed sebezhetőség és hogyan védheti meg magát tőle

A nemrég felfedezett biztonsági rés a OpenSSL protokoll, szinkronizált heartbleed, és még a saját logó, hordoz egy potenciális veszélyt jelent a felhasználó jelszavát a különböző honlapokon. Úgy döntöttünk, hogy várni a hype körülötte, és beszélni róla, hogy úgy mondjam, a száraz maradékot.

Ez segít nekünk, hogy egy népszerű kiadása CNET, amely összegyűjtött egy listát a gyakran feltett kérdések ebben a témában. Reméljük, hogy az alábbi információk segítenek többet megtudni heartbleed és megvédje magát. Először is, ne feledje, hogy dátum heartbleed probléma nem oldódott meg teljesen.

Mi heartbleed?

Heartbleed - biztonsági kockázatot OpenSSL szoftver könyvtár (nyílt SSL / TLS titkosítási protokollt), amely lehetővé teszi a hackerek hogy hozzáférjen a memória tartalmát szerverek, amelyek ezen a ponton is tartalmazhat személyes adatokat a különböző felhasználók Webszolgáltatások. Szerint a piackutató cég Netcraft, ez a biztonsági rés lehet kitéve mintegy 500 ezer weboldalak.

Ez azt jelenti, hogy ezeken az oldalakon a potenciálisan veszélyeztetett voltak azok a felhasználók személyes adatait, mint például a felhasználói nevek, jelszavak, hitelkártya adatok stb

instagram viewer

A biztonsági rés lehetővé teszi a támadók számára a digitális kulcsok, amelyeket például a titkosítás levelezés és belső dokumentumokat a különböző cégek.

Mi OpenSSL?

Kezdjük az SSL protokoll, amely a Secure Sockets Layer (Secure Sockets Layer). Ő is ismert új név alatt, a TLS (Transport Layer Security). Ma ez az egyik leggyakoribb módszer az adatok titkosítása a hálózatban, amely megvédi Önt a lehetséges „kémkedett” részéről. (Https elején a link jelzi, hogy a kommunikáció a böngésző és nyissa meg a webhely az SSL, különben látni fogja a böngésző csak http).

OpenSSL - SSL végrehajtása a nyílt forráskódú szoftverek. Sérülékenységek vetettük alá protokollverziót 1.0.1 a 1.0.1f. OpenSSL is használják a Linux operációs rendszer, ez is része a két legnépszerűbb webszerver az Apache és nginx, amely „fut” nagy részét az interneten. Röviden hatálya OpenSSL hatalmas.

Ki találta a hibát?

Ez érdeme tartozik a társaság munkavállalóinak Codenomicon foglalkozó számítógépes biztonság és a személyzet Google kutató Nile Meta (Neel Mehta), aki felfedezett biztonsági egymástól függetlenül, a szó szoros értelmében egy nap.

Meta adományozott jutalom 15 ezer. dollárt. A hibát talál a kampány a fejlesztési titkosítási eszközök újságírók dolgoznak információforrások, ami történik, a szabad sajtó Alapítvány (Freedom of the Press Alapítvány). Meta továbbra is megtagadja bármely interjú, de a munkáltatója, a Google, így a következő megjegyzést: „A felhasználók biztonságát a mi legnagyobb prioritást. Folyamatosan keresi a sérülékenységek és ösztönzi az összes jelenteni őket a lehető leghamarabb, hogy ki tudjuk javítani őket, mielőtt azok ismertté válnak támadók. "

Miért heartbleed?

A név alkotta heartbleed Ossie Gerraloy (Ossi Herrala), a rendszergazda Codenomicon. Ez több, mint harmonikus a technikai nevet CVE-2014-0160, a rést szám, amely a kódsort.

Heartbleed (szó szerint - „vérzés szívek”) - a játék a szavakkal való utalást tartalmazó bővítése OpenSSL „a szívverés” (palpitáció). Jegyzőkönyv tartotta a kapcsolatot nyitva, akkor is, ha a résztvevők nem adatcserét. Gerrala úgy vélte, hogy heartbleed tökéletesen leírja a lényege a sebezhetőséget, a szivárgás az érzékeny adatokat a memóriából.

A név úgy tűnik, hogy meglehetősen sikeres a hibát, és ez nem véletlen. Codenomicon csapat szándékosan használta jó hangzású (sajtó) a neve, ami segítené a lehető legnagyobb mértékben a lehető leghamarabb értesíteni az embereket biztonsági rés található. Így ez a neve a hibát, Codenomicon hamarosan vásárolt egy domain Heartbleed.com, amely elindította a helyszínen hozzáférhető formában mesélnek heartbleed.

Miért van néhány helyszínek nem érinti heartbleed?

Annak ellenére, hogy a népszerűsége OpenSSL, vannak más SSL / TLS végrehajtását. Ezen kívül néhány webhely egy korábbi verzióját az OpenSSL, ami ezt a hibát, hiányzik. És néhány nem tartalmazza a szívverés funkció, amely egy forrás sebezhetőségét.

Részben azért, hogy csökkentsék a potenciális kár él PFS (tökéletes előre titok - tökéletesen egyenes titoktartás) Az ingatlan az SSL protokoll, amely biztosítja, hogy ha a támadó letölteni a memóriából szerver egy biztonsági kulcs, akkor nem lesz képes feldolgozni az összes forgalom és hozzáférést biztosít a többi kulcsokat. Sok (de nem minden) vállalat már használ PFS - például a Google és a Facebook.

Hogyan működik heartbleed?

Sérülékenységek támadók hozzáférhetnek a szerver 64 kilobájt memóriát, és hajtsa végre a támadást újra és újra, amíg a teljes adatvesztés. Ez azt jelenti, hogy nem csak szivároghat a felhasználóneveket és jelszavakat, de a cookie-k adatait, hogy a Web szerverek és oldalak használata a pálya felhasználói aktivitás és egyszerűbbé engedélyezést. A szervezet Electronic Frontier Foundation azt állítja, hogy az időszakos támadások adhat hozzáférést mindkét komolyabb információkat, mint a privát honlapon titkosítási kulcsokat titkosításhoz használt forgalmat. Ezzel a kulcsot, a támadó hamis az eredeti helyén, és ellopják a legtöbb különféle személyes adatok, például hitelkártya-számok vagy magánlevelezés.

Ha tudom megváltoztatni a jelszót?

A különböző helyszínek válasz „igen”. DE - érdemesebb várni az üzenetet a beadás helyén, hogy a biztonsági rés megszűnt. Természetesen, az első reakció - Változás az összes jelszót azonnal, de ha sérülékenység néhány a helyszínek nem takarítják, a változás jelszó értelmetlen -, amikor a biztonsági rés széles körben ismert, hogy csak növeli az esélyét, hogy a támadó tudja, az új jelszót.

Honnan tudom, hogy melyik oldalakat tartalmaz réseket, és ez fix?

Több erőforrás, amely ellenőrzi az interneten a kiszolgáltatottság és közzétette jelenléte / hiánya. ajánljuk forrás Company LastPass, egy szoftver fejlesztő jelszó kezelése. Bár ez ad egy meglehetősen egyértelmű válasz arra a kérdésre, hogy ő is sebezhető vagy, hogy a webhely, gondolom, az eredmények az ellenőrzés óvatosan. Ha a biztonsági rés a helyszínen pontosan - próbálkozzon nem látogatja.

Listát a legnépszerűbb oldalak kitett sebezhető, akkor is vizsgálja a link.

A legfontosabb dolog, mielőtt a jelszó megváltoztatását -, hogy hivatalos megerősítést a beadás helyén, amely fedezte heartbleed, hogy ő már megszűnt.

Sok cég már megjelent a vonatkozó bejegyzéseket a blogok. Ha nincs - ne habozzon, hogy utalja az ügyet támogatást.

Ki a felelős a megjelenése biztonsági rés?

Az újság szerint Guardian, a név van írva „hibás” programozó kód - Zeggelman Robin (Robin Seggelmann). Dolgozott a projekt OpenSSL a folyamat, mely során a doktori fokozat 2008-2012. Drámai helyzet növeli a tény, hogy a kód el lett küldve a repository, december 31, 2011 at 23:59, bár a Zeggelman Azt állítja, hogy ez nem számít, „Én vagyok a felelős a hiba, mint írtam a kódot, és nem az összes szükséges ellenőrzéseket. "

Ugyanakkor, mivel az OpenSSL - egy nyílt forráskódú projekt, nehéz hibáztatni a hiba, hogy valaki egy. Projekt kód összetett és nagy számban tartalmaz az összetett funkciók, és kifejezetten Heartbeat - nem a legfontosabb közülük.

Igaz, hogy verje Külügyminisztérium Az amerikai kormány használt heartbleed hogy kémkedjen két évvel korábban a nyilvánosságot?

Ez nem világos. Ismert hírügynökség Bloomberg számolt be, hogy ez a helyzet, de megy minden NSA tagadja. Függetlenül attól, hogy az a tény is - heartbleed mindig fennáll a veszély.

Kell aggódni a bankszámla?

A legtöbb bank nem használja OpenSSL, inkább egyedi kódolási megoldás. De ha sújtja kétségek - csak forduljon bankjához, és kérje meg a lényeges kérdés. Mindenesetre, akkor jobb, ha követi a helyzet alakulását, és a hivatalos jelentések bankok. És ne felejtsük el, hogy tartsa szemmel a tranzakciókat a számla - abban az esetben a tranzakciók ismeretlen számára, megteszi a szükséges lépéseket.

Honnan tudom, hogy használja-e már heartbleed hackerek ellopják a személyes adatait?

Sajnos, nem - használja ezt a biztonsági rést nem hagy nyomot a naplózza a behatoló aktivitását.

Kell-e használni a programot, hogy tárolja a jelszavakat, és mit?

Egyrészt, heartbleed ismét felveti a kérdést, hogy az értéke egy erős jelszót. Ennek következtében a tömeg változás jelszavakat, akkor vajon hogyan is növeli a biztonságot. Természetesen jelszót vezetők bíznak asszisztensek ebben az esetben - akkor automatikusan generál és tárolja erős jelszavakat minden oldalon külön-külön, de meg kell emlékezni egyetlen master jelszót. Online LastPass Password Manager, például ragaszkodik ahhoz, hogy ő ne legyen kitéve heartbleed kiszolgáltatottság, és a felhasználó nem módosíthatja a mester jelszót. Amellett, hogy LastPass, javasoljuk figyelni arra, hogy bizonyított megoldásokat, mint például RoboForm, Dashlane és 1Password.

Emellett javasoljuk egy kétlépcsős hitelesítést, ahol lehetséges (Gmail, Dropbox és Evernote már támogatja) - akkor, amikor engedélyt, amellett, hogy a jelszó, a szolgáltatás kérni fogja az egyszer használatos kódot, amelyet adott neked egy speciális mobil alkalmazás vagy átküldött SMS-ben. Ebben az esetben is, ha ellopják a jelszavát, a támadó nem lehet egyszerűen használni a bejelentkezéshez.