FAQ: Vad är heartbleed sårbarhet och hur du skyddar dig från det
Teknik / / December 19, 2019
En nyligen upptäckt sårbarhet i OpenSSL-protokollet, dubbat heartbleed, och även din egen logotyp, bär ett potentiellt hot mot användarens lösenord på olika webbplatser. Vi bestämde oss för att vänta på hype kring det och prata om det, så att säga, i den torra återstoden.
Detta kommer att hjälpa oss till en populär version av CNET, som samlades en lista över vanliga frågor om detta ämne. Vi hoppas att följande information kommer att hjälpa dig att lära dig mer om heartbleed och skydda dig. Först av allt, kom ihåg att uppdaterad med heartbleed problemet inte har lösts helt.
Vad är heartbleed?
Heartbleed - säkerhetsproblem i OpenSSL mjukvarubibliotek (öppen genomförande av SSL / TLS-kryptering protokoll) som tillåter hackare för att komma åt innehållet i minnes servrar, som vid denna tidpunkt kan innehålla privata data för olika användare Webbtjänster. Enligt analysföretaget Netcraft, kan denna sårbarhet att utsättas för cirka 500 tusen webbplatser.
Detta innebär att utsättas för fara var på dessa platser de användarnas personuppgifter, såsom användarnamn, lösenord, kreditkortsuppgifter, etc.
Sårbarheten gör det också möjligt för angripare att digitala nycklar, som används till exempel för kryptering korrespondens och interna dokument i en mängd olika företag.
Vad är OpenSSL?
Låt oss börja med SSL-protokollet, som står för Secure Sockets Layer (Secure Sockets Layer). Han är också känd under sitt nya namn TLS (Transport Layer Security). Idag är det en av de vanligaste metoderna för datakryptering i nätverket som skyddar dig från eventuella "spionera" på delen. (HTTPS i början av länken anger att kommunikationen mellan din webbläsare och öppna den på webbplatsen använder SSL, annars kommer du att se i webbläsaren bara http).
OpenSSL - SSL implementering av programvara med öppen källkod. Sårbarheter utsattes för protokoll version 1.0.1 till 1.0.1f. OpenSSL används också i operativsystemet Linux, är det en del av de två mest populära webbservern Apache och Nginx, som "körningar" en stor del av Internet. I korthet är enorm omfattning OpenSSL.
Vem hittat en bugg?
Denna förtjänst tillhör de anställda i företaget Codenomicon, arbetar med datasäkerhet och bemanning Google forskare Nile Meta (Neel Mehta), som upptäckte sårbarheter oberoende av varandra, bokstavligen en dag.
Meta done belöning på 15 tusen. dollar. för att detektera en bugg på kampanj för utvecklingen av krypteringsverktyg för journalister som arbetar med informationskällor, som tar en fri press Foundation (tryckfrihets Foundation). Meta fortsätter att vägra någon intervju, men hans arbetsgivare, Google, gav följande kommentar: "Säkerheten för våra användare är vår högsta prioritet. Vi söker ständigt efter sårbarheter och uppmuntra alla att rapportera dem så fort som möjligt så att vi kan åtgärda dem innan de blir kända för angripare. "
Varför heartbleed?
Namnet myntades av heartbleed Ossie Gerraloy (Ossi Herrala), systemadministratör Codenomicon den. Det är mer harmonisk än den tekniska benämningen CVE-2014-0160, denna sårbarhet i antal som innehåller dess kodrad.
Heartbleed (bokstavligen - "blödande hjärtan") - en lek på ord som innehåller en hänvisning till utbyggnaden av OpenSSL kallas "hjärtslag" (hjärtklappning). Protokoll höll anslutningen öppen, även om mellan deltagarna inte utbyta data. Gerrala ansåg att heartbleed beskriver perfekt essensen av det säkerhetsproblem som tillät läckaget av känsliga data från minnet.
Namnet verkar vara ganska framgångsrikt för felet, och det är ingen tillfällighet. Codenomicon laget medvetet använt Euphonic (press) namn, vilket skulle hjälpa både så mycket som möjligt så snart som möjligt för att meddela personer om utsatthet hittats. Ge namnet på bugg, Codenomicon köpte snart en domän Heartbleed.com, som lanserade sajten i en lättillgänglig form berättar om heartbleed.
Varför vissa webbplatser som inte påverkas av heartbleed?
Trots populariteten av OpenSSL, det finns andra implementering SSL / TLS. Dessutom är vissa webbplatser använder en tidigare version av OpenSSL som felet är frånvarande. Och vissa inte innehöll ett hjärtslag funktion, vilket är en källa till sårbarhet.
Dels för att minska den potentiella skadan använder PFS (perfekt framåt sekretess - helt rak sekretess), Egenskap av SSL-protokollet, som säkerställer att om en angripare hämta från minnet server en säkerhetsnyckel, kommer han inte att kunna avkoda all trafik och tillgång till resten av nycklar. Många (men inte alla) företag redan använder PFS - exempelvis Google och Facebook.
Hur heartbleed?
Sårbarheter angripare att få tillgång till servern 64 kilobyte minne och utför attacken och om igen tills hela dataförlust. Det innebär att inte bara benägna att läckande användarnamn och lösenord, men cookie-data som webbservrar och webbplatser använder för att spåra användarens aktivitet och förenkla tillstånd. Organisationen Electronic Frontier Foundation säger att periodiska attacker kan ge tillgång till både allvarligare information, såsom privat webbplats krypteringsnycklar används för kryptering trafik. Med hjälp av denna knapp kan en angripare förfalska den ursprungliga platsen och stjäla de mest olika typer av personuppgifter som kreditkortsnummer eller privat korrespondens.
Ska jag ändra mitt lösenord?
Av olika platser svara "ja". MEN - det är bättre att vänta på meddelandet från administreringsstället, att denna sårbarhet har eliminerats. Naturligtvis din första reaktion - Ändra alla lösenord omedelbart, men om utsatthet på några av de platser inte rengörs, förändring lösenord meningslöst - vid en tidpunkt när sårbarheten är allmänt känt, att du bara öka chanserna för en angripare att veta din nya lösenord.
Hur vet jag vilken av platserna innehåller sårbarheter och det fasta?
Det finns flera resurser som kontrollerar Internet för sårbarhet och rapporterade dess närvaro / frånvaro. vi rekommenderar resurs Företag Lastpass, en mjukvaruutvecklare för lösenordshantering. Även om det ger en ganska tydligt svar på frågan om han är sårbar eller webbplatsen, tänk på resultaten av revisionen med försiktighet. Om sårbarheten platsen noggrant hittades - försök inte att besöka den.
Förteckning över de mest populära platserna utsätts sårbarheter, kan du också utforska länk.
Det viktigaste innan du byter lösenord - för att få en officiell bekräftelse från administreringsstället, som upptäcktes heartbleed, att hon redan hade eliminerats.
Många företag har redan publicerat de relevanta poster på sina bloggar. Om det inte finns - tveka inte att hänskjuta frågan till stöd.
Vem är ansvarig för uppkomsten av sårbarhet?
Enligt tidningen Guardian, är namnet skrivet "buggy" programmerarens kod - Zeggelman Robin (Robin Seggelmann). Han arbetade på projektet OpenSSL i processen att få en doktorsexamen 2008-2012. Dramatiska situationen bidrar till det faktum att koden har skickats till förvaret 31 december 2011 kl 23:59, även om Zeggelman Han hävdar att det inte spelar någon roll, "Jag är ansvarig för misstaget, som jag skrev koden och gjorde alla nödvändiga kontroller. "
Samtidigt, eftersom OpenSSL - en open source-projekt, är det svårt att skylla felet på någon en. Project kod är komplex och innehåller ett stort antal komplexa funktioner, och särskilt Heartbeat - inte det viktigaste av dem.
Är det sant att fan State Department Den amerikanska regeringen använde heartbleed att spionera två år innan den publicitet?
Det är inte klart. Kända nyhetsbyrån Bloomberg rapporterade att så är fallet, men det går hela NSA förnekar. Oavsett, kvarstår det faktum - heartbleed är fortfarande ett hot.
Bör jag oroa mitt bankkonto?
De flesta banker använder inte OpenSSL, utan föredrar egen krypteringslösning. Men om du plågas av tvivel - bara kontakta din bank och be dem den relevanta frågan. I varje fall är det bättre att följa utvecklingen av situationen och officiella rapporter från banker. Och glöm inte att hålla ett öga på transaktioner på kontot - vid transaktioner obekant för dig, vidta lämpliga åtgärder.
Hur vet jag om du vill använda redan heartbleed hackare att stjäla mina personuppgifter?
Tyvärr inte - använd denna sårbarhet inte lämnar några spår av serverloggar inkräktaren aktivitet.
Om du vill använda programmet för att lagra dina lösenord och vad?
Å ena sidan, heartbleed höjer återigen frågan om värdet av ett starkt lösenord. Som en följd av massförändring lösenord, kanske du undrar hur du kan även förbättra säkerheten. Naturligtvis är lösenord chefer betrodda assistenter i detta fall - de kan automatiskt generera och lagra starka lösenord för varje webbplats individuellt, men man måste komma ihåg en enda huvudlösenord. Online Lastpass Password Manager, till exempel insisterar på att han inte utsätts för heartbleed sårbarhet, och användarna kan inte ändra ditt huvudlösenord. Förutom Lastpass, rekommenderar vi att uppmärksamma sådana beprövade lösningar som RoboForm, Dashlane och 1Password.
Dessutom rekommenderar vi att du använder en autentisering i två steg där så är möjligt (Gmail, Dropbox och Evernote redan stöder det) - sedan när tillstånd, förutom lösenordet kommer tjänsten begära en engångskod som ges till dig i en särskild mobil applikation eller skickas via SMS. I detta fall, även om lösenordet är stulen, en angripare kan inte bara använda den för att logga in.