FAQ: Čo je Heartbleed zraniteľnosť a ako sa chrániť od neho
Technológia / / December 19, 2019
Nedávno objavil zraniteľnosť v protokole OpenSSL, prezývaná Heartbleed, a dokonca aj svoje vlastné logo, so sebou nesie potenciálnu hrozbu pre heslo používateľa na rôznych webových stránkach. Rozhodli sme sa počkať na humbuk okolo neho a hovoriť o tom, tak povediac, vo zvyšku za sucha.
To nám pomôže populárne vydanie CNET, ktorá zhromaždené zoznam často kladených otázok na túto tému. Dúfame, že tieto informácie vám pomôžu viac dozvedieť o Heartbleed a chrániť. Po prvé, pamätajte na rande s Heartbleed problém nebol úplne vyriešený.
Čo je Heartbleed?
Heartbleed - zabezpečenie OpenSSL knižnice softvéru (open implementáciu SSL / TLS šifrovanie protokol), ktorý umožňuje hackerom prístup k obsahu pamäťových serverov, ktoré v tomto bode by mohli obsahovať súkromné dáta z rôznych užívateľov Webové služby. Podľa výskumu firmy Netcraft, táto chyba môže byť vystavené asi 500 tisíc webových stránok.
To znamená, že na týchto stránkach môžu byť ohrození sú osobné údaje týchto užívateľov, ako sú užívateľské mená, heslá, údaje o kreditnej karty atď
Táto chyba zabezpečenia umožňuje útočníkom číselných tlačidiel, ktoré sa používajú napríklad pre šifrovanie korešpondenciu a interných dokumentov v rôznych firiem.
Čo je OpenSSL?
Začnime s protokolom SSL, čo je skratka pre Secure Sockets Layer (Secure Sockets Layer). On je tiež známy pod svojím novým názvom TLS (Transport Layer Security). Dnes je jedným z najčastejších spôsobov šifrovania dát v sieti, ktorá vás chráni pred možným "špehovanie" na strane. (HTTPS na začiatku odkazu znamená, že komunikácia medzi prehliadačom a otvoriť ho v mieste je pomocou SSL, inak uvidíte v prehliadači len http).
OpenSSL - implementácia SSL open source softvér. Chyby boli podrobené protokol verzie 1.0.1 na 1.0.1f. OpenSSL je tiež používaný v operačnom systéme Linux, je súčasťou dvoch najpopulárnejší webový server Apache a Nginx, ktorý "beží" veľkú časť internetu. Stručne povedané, rozsah OpenSSL je obrovský.
Kto našiel chybu?
Táto zásluha patrí k zamestnancom firmy Codenomicon, zaoberajúce sa počítačovej bezpečnosti, a personálneho Google výskumník Nile Meta (Neel Mehta), ktorý objavil zraniteľnosť nezávisle na sebe, a to doslova jeden deň.
Meta darovali odmenu vo výške 15 tisíc. dolárov. pre detekciu chýb na kampaň pre rozvoj šifrovacích nástrojov pre novinárov pracujúcich s inými zdrojmi informácií, ktoré trvá slobodná tlač Foundation (sloboda tlače Foundation). Meta naďalej odmieta akýkoľvek rozhovor, ale jeho zamestnávateľ, Google, poskytla nasledujúce poznámku: "Bezpečnosť našich užívateľov je našou najvyššou prioritou. Neustále hľadáme pre zraniteľnosti a povzbudiť všetkých, aby ich nahlásiť čo najskôr, aby sme mohli opraviť skôr, než sa stal známym útočníkom. "
Prečo Heartbleed?
Názov bol vytvorený Heartbleed Ossie Gerraloy (Ossi Herrala), pričom Codenomicon správca systému. To je viac harmonický než technickým názvom CVE-2014-0160, túto chybu číslom obsahujúcim jeho riadok kódu.
Heartbleed (doslova - "krvácanie srdce") - hra na slová, ktoré obsahujú odkaz na rozšírenie OpenSSL nazýva "tep" (palpitácie). Protokol držal otvoreného spojenia, aj keď medzi účastníkmi nemajú vymieňať dáta. Gerrala za to, že Heartbleed dokonale opisuje podstatu zraniteľnosť, ktorá umožnila úniku citlivých dát z pamäte.
Meno sa zdá byť celkom úspešný na chybu, a to nie je náhoda. Codenomicon tím zámerne používať eufonický (stlačením) názov, ktorý by pomohol ako čo najviac čo najskôr informovať ľudí o zraniteľnosť nájdená. Čo je názov chyby, Codenomicon čoskoro kúpil doménu Heartbleed.com, ktorý začal miesto v prístupnej forme rozprávanie o Heartbleed.
Prečo niektoré stránky nie sú ovplyvnené Heartbleed?
Cez popularitu OpenSSL, existujú aj iné implementácie SSL / TLS. Okrem toho niektoré stránky používajú staršie verzie OpenSSL, ktoré táto chyba chýba. A niektorí nezahŕňala funkciu srdca, ktorá je zdrojom zraniteľnosti.
Čiastočne obmedziť potenciálne škody využíva PFS (Perfect Forward tajomstvo - dokonale rovné tajomstvo), Objekt protokolu SSL, ktorá zaistí, že ak útočník získať z pamäte kľúčový bezpečnostný server, nebude schopný dekódovať všetky prenosy a prístup ku zvyšku kľúča. Mnoho (ale nie všetci) spoločnosti už používajú PFS - napríklad Google a Facebook.
Ako Heartbleed?
Zraniteľnosti útočníkovi získať prístup k serveru 64 kilobajtov pamäte a vykonať útok znovu a znovu, kým úplnej strate dát. To znamená, že nielen dôjsť k úniku užívateľských mien a hesiel, ale dáta cookie, ktoré webové servery a servery používajú na sledovanie aktivity užívateľov a zjednodušiť registráciu. Organizácia Electronic Frontier Foundation uvádza, že pravidelné útoky môžu umožniť prístup k obom vážnejšie informácie, ako sú súkromné stránky šifrovacích kľúčov používaných na šifrovanie prevádzka. Týmto kľúčom môže útočník sfalšovať pôvodné miesto a ukradnúť čo najviac rôznych druhov osobných údajov, ako sú čísla kreditných kariet alebo súkromnej korešpondencie.
Mal by som zmeniť svoje heslo?
Pre celý rad miest odpovie "áno". ALE - je lepšie počkať na správu od miesta podania, že táto chyba zabezpečenia bola odstránená. Samozrejme, že vaša prvá reakcia - Zmeniť všetky heslá okamžite, ale v prípade, zraniteľnosť v niektorých miestach nie sú vyčistené, zmena Heslo nezmyselné - v čase, keď je zraniteľnosť široko známy, že si len zvýšiť šance na útočník poznať váš nový heslá.
Ako mám vedieť, ktorá z lokalít obsahujú slabé miesta a je to opraviť?
Existuje niekoľko zdrojov, ktoré kontrolujú internet pre zraniteľnosti a hlásené jeho prítomnosti / neprítomnosti. odporúčame prostriedky Spoločnosť LastPass, softvérový vývojár správu hesiel. Hoci to dáva pomerne jasnú odpoveď na otázku, či je zraniteľný, alebo že stránky, myslím, že o výsledkoch auditu s opatrnosťou. V prípade, že zraniteľnosť webu presne našiel - pokúsiť sa ho navštíviť.
Zoznam z najpopulárnejších miest vystavených zraniteľnosti, môžete tiež preskúmať odkaz.
Najdôležitejšia vec, než zmena hesla - získať oficiálne potvrdenie zo servera pre správu, ktorý bol objavený heartbleed, že ona už bola odstránená.
Mnoho spoločností už zverejnila príslušnej položky na svojom blogu. Ak nie sú - neváhajte obrátiť na podporu.
Kto je zodpovedný za objavenie zraniteľnosti?
Podľa denníka Guardian, meno je napísané "Buggy" Programátor code - Zeggelman Robin (Robin Seggelmann). On pracoval na projekte OpenSSL v procese získavania doktorát od roku 2008 do roku 2012. Dramatická situácia prispieva k tomu, že kód bol odoslaný do úložiska, do 31. decembra 2011 v 23:59, hoci Zeggelman Tvrdí, že nezáleží na tom, "Som zodpovedný za chybu, ako som napísal kód a urobili všetko potrebné Kontroly ".
Súčasne, pretože OpenSSL - open source projekt, je ťažké na vine chyba niekoho jeden. Kód projektu je komplexný a obsahuje veľké množstvo zložitých funkcií, a to konkrétne Heartbeat - ak nie najdôležitejšie z nich.
Je pravda, že sakramentsky ministerstvo zahraničia Vláda Spojených štátov používa Heartbleed špehovať dva roky pred publicitu?
Nie je jasné. Známa tlačová agentúra Bloomberg uviedla, že ide o tento prípad, ale to ide všetko NSA popiera. Bez ohľadu na to, faktom zostáva, - Heartbleed je stále hrozbou.
Mal som strach o môj bankový účet?
Väčšina bánk nepoužívajú OpenSSL, radšej proprietárne šifrovacie riešenie. Ale ak ste sa potýka s pochybnosťami - stačí kontaktovať svoju banku a spýtajte sa ich príslušnou otázku. V každom prípade je lepšie sledovať vývoj situácie a oficiálne správy od bánk. A nezabudnite dávať pozor na transakcie na účte - v prípade transakcií neznámych vám podniknúť príslušné kroky.
Ako mám vedieť, či použiť už Heartbleed hackermi ukradnúť moje osobné údaje?
Bohužiaľ, nie - používať túto chybu nezanecháva žiadne stopy na server protokoluje votrelca aktivitu.
Či sa má použiť program pre ukladanie hesiel a čo?
Na jednej strane, Heartbleed opäť vyvoláva otázku o hodnote silné heslo. Ako dôsledok hesiel zmeny hmotnosti, môže vás zaujímalo, ako môžete ešte zvýšiť svoju bezpečnosť. Samozrejme, softvér pre správu hesiel sú dôveryhodné pomocníkmi v tomto prípade - môžu automaticky vytvárať a ukladať silných hesiel pre každú lokalitu zvlášť, ale musíte si uvedomiť, iba jeden Hlavné heslo. Online manažér LastPass heslá, napríklad, trvá na tom, že nie je vystavený Heartbleed zraniteľnosti, a používatelia nemôžu meniť hlavné heslo. Okrem LastPass, odporúčame venovať pozornosť takým osvedčenými riešeniami, ako je RoboForm, Dashlane a 1Password.
Ďalej odporúčame používať overovanie dvojstupňovou všade tam, kde je to možné (Gmail, Dropbox a Evernote už ju podporujú) - po tom, kedy povolenie, okrem hesla, služba bude žiadať o jednorazový kódu, ktorý je uvedený na vás v špeciálnej mobilnej aplikácie alebo zaslanú prostredníctvom SMS. V tomto prípade, aj keď je heslo odcudzené, sa útočník nemôže jednoducho použiť ju na prihlásenie.