Отговори: Какво е Heartbleed уязвимост и как да се предпазите от него
От технологии / / December 19, 2019
Наскоро открих уязвимост в протокола за OpenSSL, наречен Heartbleed, а дори и собственото си лого, носи потенциална заплаха за паролата на потребителя на различни сайтове. Решихме да чакаме свръх около него и да поговорим за това, така да се каже, в остатъка от суха.
Това ще ни помогне да популярно издание на CNET, която събрана списък с често задавани въпроси по тази тема. Надяваме се, че следната информация ще ви помогне да научите повече за Heartbleed и защита на себе си. На първо място, не забравяйте да се среща с Heartbleed проблем не е решен напълно.
Какво е Heartbleed?
уязвимост на сигурността в OpenSSL софтуерна библиотека (отворено изпълнение на SSL / TLS криптиране протокол), която позволява на хакери - Heartbleed за достъп до съдържанието на сървърите на паметта, които в този момент може да съдържат лични данни на различни потребители Уеб услуги. Според изследователската компания Netcraft, тази уязвимост може да бъде изложен на около 500 хил сайтове.
Това означава, че в тези сайтове в потенциален риск са тези лични данни на потребителите, като потребителски имена, пароли, данни за кредитни карти и т.н.
Уязвимостта също позволява на атакуващите да цифровите клавиши, които се използват, например, за криптиране кореспонденция и вътрешни документи в различни компании.
Какво е OpenSSL?
Нека да започнем с SSL протокол, което е съкращение от Secure Sockets Layer (Secure Sockets Layer). Той е известен също под новото си име на TLS (Transport Layer Security). Днес той е един от най-разпространените методи за криптиране на данните в мрежата, която ви предпазва от възможно "шпионаж" от страна. (HTTPS в началото на връзката, показва, че комуникацията между вашия браузър и да го отворите в сайтът използва SSL, в противен случай вие ще видите в браузъра само HTTP).
OpenSSL - SSL внедряване на софтуер с отворен код. Уязвимост се подлагат на протокол версия 1.0.1 да 1.0.1f. OpenSSL се използва също и в операционната система Linux, тя е част от двата най-популярни уеб сървъра Apache и Nginx, което "работи" по-голяма част от интернет. С една дума, в обхвата на OpenSSL е огромен.
Кой открили грешка?
Това заслуги принадлежи на работниците и служителите на компанията Codenomicon на, занимаваща се с компютърна сигурност, както и набирането на персонал Google изследовател Нил Мета (Нийл Мета), който е открил уязвимост независимо един от друг, буквално един ден.
Мета дари награда от 15 хиляди души. долара. за откриване на бъг на кампанията за разработването на инструменти за криптиране за журналисти, работещи с източници на информация, което отнема свободната преса Foundation (Свобода на Фондацията Press). Мета продължава да отказва всякаква интервю, но неговият работодател, Google, даде следния коментар: "Безопасността на нашите потребители е нашият най-голям приоритет. Ние непрекъснато търсят уязвимости и да насърчава всички да ги докладва възможно най-скоро, така че можем да ги поправи, преди те да станат достояние на нападатели. "
Защо Heartbleed?
Името е измислен от Heartbleed Ози Gerraloy (Оси Herrala), системен администратор Codenomicon на. Тя е по-хармоничен от техническото наименование CVE-2014-0160, тази уязвимост по брой съдържащ неговия ред код.
Heartbleed (буквално - "кървене сърца") - игра на думи, съдържащи позоваване на разширяването на OpenSSL, наречена "пулса" (сърцебиене). Протокол държат отворени за връзка, дори и ако между участниците не се обменят данни. Gerrala счита, че Heartbleed перфектно описва същността на уязвимостта, която допуска изтичане на поверителни данни от паметта.
Името изглежда е доста успешна за грешката, и това не е случайно. Codenomicon отбор умишлено използва благозвучно (натиснете) името, което ще помогне на двете, колкото е възможно най-кратък срок да уведомят хората за уязвимост намерен. Давайки му името на грешката, Codenomicon скоро купих домейн Heartbleed.com, която стартира на сайта в достъпна форма разказа за Heartbleed.
Защо някои сайтове, които не са засегнати от Heartbleed?
Въпреки популярността на OpenSSL, има и други изпълнение SSL / TLS. Освен това, някои сайтове използват по-ранна версия на OpenSSL, което този бъг отсъства. А някои не включва функция за миг, който е източник на уязвимост.
Частично да се намали потенциалната вреда прави използването на PFS (перфектен напред тайна - идеално права тайна), Собственост на SSL протокол, който гарантира, че ако един хакер извличане от паметта ключ един сървър за сигурност, той няма да бъде в състояние да декодира целия трафик и достъп до останалата част на ключове. Много (но не всички) компании вече използват PFS - например Google и Facebook.
Как Heartbleed?
Уязвимостите хакер да получи достъп до сървъра, 64 килобайта памет и извършване на атаката отново и отново, докато пълна загуба на данни. Това означава, че не само склонни към изтичане потребителски имена и пароли, но данните за бисквитка, че уеб сървъри и сайтове използват за проследяване на активността на потребителя и да се опрости разрешение. Electronic Frontier Foundation Организацията посочва, че периодичните атаки могат да дадат достъп до двете по-сериозна информация, като например частни ключове за криптиране на мястото, използвани за криптиране трафик. С помощта на този ключ, атакуващият може да подправи оригиналния сайт и да открадне най-различни видове лични данни като номера на кредитни карти или лична кореспонденция.
Трябва ли да сменя паролата си?
За най-различни сайтове, да отговори с "да". НО - това е по-добре да се изчака съобщението от сайта за администриране, че тази уязвимост е била премахната. Естествено, първата ви реакция - Промяна на всички пароли веднага, но ако уязвимост в някои от сайтовете не са почистени, промяна парола безсмислено - в момент, когато на уязвимостта е широко известен, че можете единствено да увеличават шансовете на някой хакер да знаете намери нови парола.
Как мога да разбера кой от обектите на уязвимостта и е го поправя?
Има няколко средства, които проверяват в интернет за уязвимостта и отчитат своето присъствие / отсъствие. препоръчваме средство Фирма LastPass, разработчик на софтуер за управление на пароли. Въпреки, че дава доста ясен отговор на въпроса дали той е уязвим или този сайт, мисля, че за резултатите от одита с повишено внимание. Ако точно установено уязвимостта на сайта - не се опитват да го посетят.
Списък на най-популярните сайтове изложени уязвимостите, можете също да проучи връзка.
Най-важното нещо, преди да промените паролата - да получи официално потвърждение от мястото на приложение, която е била открита heartbleed, че тя вече е бил отстранен.
Много компании вече са публикувани съответните вписвания в блоговете си. Ако няма - не се колебайте да отнесе въпроса до подкрепа.
Кой е отговорен за появата на уязвимостта?
Според вестник Guardian, който е изписано името код "бъги" програмист - Zeggelman Робин (Robin Seggelmann). Той работи по OpenSSL на проекта в процеса на получаване на докторска степен от 2008 до 2012. Драматична ситуация допринася за факта, че кодът е изпратена до хранилището, 31 декември 2011 г. в 23:59, въпреки че Zeggelman Той твърди, че това не е от значение, "Аз съм отговорен за грешката, както написах кода и направи всичко необходимо проверки. "
В същото време, тъй като OpenSSL - проект с отворен код, е трудно да се обвинява грешка на някой такъв. код на проекта е сложен и съдържа голям брой сложни функции, и по-специално Heartbeat - не най-важните от тях.
Вярно е, че ли е мамка Държавния департамент Правителството на САЩ използва Heartbleed да шпионира две години преди публичност?
Не е ясно. Известни информационна агенция Bloomberg съобщава, че това е така, но това продължава през целия NSA отрича. Независимо от това, това не променя факта - Heartbleed все още е заплаха.
Трябва ли да се притеснявате за банковата си сметка?
Повечето банки не използват OpenSSL, предпочитайки фирмена собственост, криптиране. Но ако са в затруднение - просто се свържете с банката и да ги помолите съответния въпрос. Във всеки случай, по-добре е да се следи развитието на ситуацията, както и официални доклади от банките. И не забравяйте да държиш под око върху сделките в профила си, - в случай на сделки, непознати за вас, ще предприемем съответните действия.
Как мога да разбера дали да се използва вече Heartbleed хакерите да откраднат личните ми данни?
За съжаление, не - използвайте тази уязвимост не оставя никакви следи от сървъра записва активността нарушител.
Дали да се използва програмата, за да съхранявате паролите си, както и какво от това?
От една страна, Heartbleed отново поставя въпроса за стойността на сигурна парола. Като следствие от паролите за промяна маса, може да се чудите как можете дори да подобрите сигурността си. Разбира се, мениджъри парола са доверени помощници в този случай - те могат автоматично изготвят и съхраняват на надеждни пароли за всеки обект поотделно, но трябва да се помни, само един главна парола. Онлайн мениджър LastPass парола, например, настоява, че той не е подложен на Heartbleed уязвимост, а потребителите не могат да променят главната парола. В допълнение към LastPass, ние препоръчваме да се обръща внимание на такива доказани решения като RoboForm, Dashlane и 1Password.
В допълнение, ние препоръчваме да се използва за удостоверяване на два етапа, когато е възможно (Gmail, Dropbox и Evernote вече го подкрепят) - тогава, когато разрешение, в допълнение към паролата, услугата ще поискаме код, едно време, че се дава на вас по специален мобилно приложение или да се приложи SMS. В този случай, дори ако паролата ви е откраднат, атакуващият може да не просто да го използвате, за да влезете.