Συχνές ερωτήσεις: Τι είναι heartbleed ευπάθεια και πώς να προστατεύσετε τον εαυτό σας από αυτό
Της τεχνολογίας / / December 19, 2019
Ένα πρόσφατα ανακαλύφθηκε ευπάθεια στο πρωτόκολλο OpenSSL, που ονομάστηκε heartbleed, ακόμα και το δικό σας λογότυπο, φέρει μια δυνητική απειλή για τον κωδικό πρόσβασης του χρήστη σε μια ποικιλία από δικτυακούς τόπους. Αποφασίσαμε να περιμένουμε για τη διαφημιστική εκστρατεία γύρω από αυτό και να μιλήσουμε γι 'αυτό, να το πω έτσι, στο ξηρό υπόλειμμα.
Αυτό θα μας βοηθήσει σε μια δημοφιλή έκδοση του CNET, η οποία συγκεντρώθηκαν μια λίστα με συχνές ερωτήσεις σχετικά με αυτό το θέμα. Ελπίζουμε οι παρακάτω πληροφορίες θα σας βοηθήσουν να μάθετε περισσότερα σχετικά με heartbleed και να προστατεύσει τον εαυτό σας. Πρώτα απ 'όλα, θυμηθείτε την ημερομηνία με heartbleed πρόβλημα δεν έχει λυθεί πλήρως.
Τι είναι heartbleed;
ευπάθειας ασφαλείας στη βιβλιοθήκη του λογισμικού OpenSSL (ανοιχτή εφαρμογή του πρωτοκόλλου κρυπτογράφησης SSL / TLS) που επιτρέπει σε χάκερ - heartbleed να έχουν πρόσβαση στα περιεχόμενα των διακομιστών μνήμης, η οποία σε αυτό το σημείο θα μπορούσε να περιέχει τα προσωπικά δεδομένα των διαφορετικών χρηστών Οι υπηρεσίες Web. Σύμφωνα με την εταιρεία ερευνών Netcraft, αυτή η ευπάθεια μπορεί να εκτεθεί σε περίπου 500 χιλιάδες ιστοσελίδες.
Αυτό σημαίνει ότι σε αυτές τις περιοχές είναι δυνατόν να απειληθούν ήταν προσωπικά δεδομένα αυτών των χρηστών, όπως ονόματα χρηστών, κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών κ.λπ.
Η ευπάθεια επιτρέπει επίσης στους επιτιθέμενους να ψηφιακή πλήκτρα, τα οποία χρησιμοποιούνται, για παράδειγμα, για την αλληλογραφία κρυπτογράφηση και εσωτερικά έγγραφα σε μια ποικιλία των εταιρειών.
Τι είναι το OpenSSL;
Ας ξεκινήσουμε με το πρωτόκολλο SSL, που σημαίνει Secure Sockets Layer (Secure Sockets Layer). Είναι, επίσης, γνωστό με το νέο όνομα του TLS (Transport Layer Security). Σήμερα είναι μία από τις πιο κοινές μεθόδους κρυπτογράφησης δεδομένων στο δίκτυο που σας προστατεύει από πιθανή «κατασκοπεία» στο τμήμα. (Https κατά τη έναρξη της σύνδεσης δείχνει ότι η επικοινωνία μεταξύ του browser και να το ανοίξετε στο site χρησιμοποιεί SSL σας, αλλιώς θα δείτε στο πρόγραμμα περιήγησης μόλις http).
OpenSSL - εφαρμογή SSL του λογισμικού ανοικτού κώδικα. Θέματα ευπάθειας υποβλήθηκαν σε έκδοση του πρωτοκόλλου 1.0.1 να 1.0.1f. OpenSSL χρησιμοποιείται επίσης στο λειτουργικό σύστημα Linux, είναι μέρος από τα δύο πιο δημοφιλή διακομιστή Web Apache και Nginx, που «τρέχει» ένα μεγάλο μέρος του Διαδικτύου. Με λίγα λόγια, το πεδίο εφαρμογής του OpenSSL είναι τεράστια.
Ποιος βρήκε ένα bug;
Αυτή η αξία ανήκει στους υπαλλήλους της εταιρείας Codenomicon, που ασχολούνται με την ασφάλεια του υπολογιστή, και το προσωπικό Google ερευνητής του Νείλου Meta (Neel Mehta), ο οποίος ανακάλυψε τα τρωτά σημεία ανεξάρτητα το ένα από το άλλο, κυριολεκτικά μία ημέρα.
Μέτα δώρισε ανταμοιβή των 15 χιλιάδων. δολάρια. για την ανίχνευση ενός bug σχετικά με την εκστρατεία για την ανάπτυξη των εργαλείων κρυπτογράφησης για τους δημοσιογράφους που εργάζονται με τις πηγές των πληροφοριών, η οποία λαμβάνει ένα free press Ίδρυμα (Ελευθερία του Ιδρύματος Τύπου). Μέτα εξακολουθεί να αρνηθεί οποιαδήποτε συνέντευξη, αλλά ο εργοδότης του, η Google, έδωσε το ακόλουθο σχόλιο: «Η ασφάλεια των χρηστών μας είναι η ύψιστη προτεραιότητα μας. Είμαστε συνεχώς ψάχνει για τρωτά σημεία και να ενθαρρύνει όλους να τους υποβάλει το συντομότερο δυνατόν, έτσι ώστε να μπορούμε να τα διορθώσετε πριν γίνουν γνωστά σε επιτιθέμενους. "
Γιατί heartbleed;
Το όνομα επινοήθηκε από heartbleed Ossie Gerraloy (Ossi Herrala), το Codenomicon διαχειριστή του συστήματος. Είναι πιο αρμονική από την τεχνική ονομασία CVE-2014-0160, αυτή η ευπάθεια από τον αριθμό που περιέχουν γραμμή του κώδικα.
Heartbleed (κυριολεκτικά - «αιμορραγία καρδιές») - ένα παιχνίδι με τις λέξεις που περιέχει μια αναφορά στην επέκταση του OpenSSL που ονομάζεται «η αρρυθμία» (αίσθημα παλμών). Πρωτόκολλο κράτησε την ανοιχτή σύνδεση, ακόμη και αν μεταξύ των συμμετεχόντων δεν ανταλλάσσουν δεδομένα. Gerrala έκρινε ότι heartbleed περιγράφει τέλεια την ουσία της ευπάθειας που επέτρεψε τη διαρροή ευαίσθητων δεδομένων από τη μνήμη.
Το όνομα φαίνεται να είναι αρκετά επιτυχής για το σφάλμα, και αυτό δεν είναι τυχαίο. Η ομάδα Codenomicon χρησιμοποιείται σκόπιμα ευφωνική (πατήστε) το όνομα, το οποίο θα βοηθήσει τόσο όσο το δυνατόν το συντομότερο δυνατό για να ενημερώσει τους πολίτες σχετικά με την ευπάθεια βρέθηκε. Δίνοντας το όνομα του σφάλματος, Codenomicon αγοράσει σύντομα ένα domain Heartbleed.com, η οποία ξεκίνησε την ιστοσελίδα σε προσιτή μορφή αφήγησης για heartbleed.
Γιατί μερικές περιοχές που δεν επηρεάζονται από heartbleed;
Παρά τη δημοτικότητα του OpenSSL, υπάρχουν και άλλες υλοποίηση SSL / TLS. Επιπλέον, ορισμένες τοποθεσίες χρησιμοποιείτε μια παλαιότερη έκδοση του OpenSSL, η οποία αυτό το σφάλμα είναι απούσα. Και μερικοί δεν περιλαμβάνουν μια λειτουργία κτύπο της καρδιάς, η οποία είναι μια πηγή της ευπάθειας.
Εν μέρει για να μειώσει την πιθανή ζημία κάνει χρήση της PFS (τέλεια προς τα εμπρός απόρρητο - τέλεια ευθεία απόρρητο), Κτήμα του πρωτοκόλλου SSL, η οποία εξασφαλίζει ότι εάν ένας εισβολέας ανακτήσει από τη μνήμη βασικά ένα ασφάλειας διακομιστή, δεν θα είναι σε θέση να αποκωδικοποιήσει όλη την κυκλοφορία και την πρόσβαση στην υπόλοιπη κλειδιά. Πολλά (αλλά όχι όλα) εταιρείες χρησιμοποιούν ήδη PFS - π.χ., το Google και το Facebook.
Πώς heartbleed;
Ευπάθειας εισβολέα να αποκτήσει πρόσβαση στον εξυπηρετητή 64 kilobyte της μνήμης και εκτελέστε ξανά και ξανά την επίθεση, μέχρι την πλήρη απώλεια δεδομένων. Αυτό σημαίνει ότι όχι μόνο επιρρεπείς σε διαρροές ονόματα χρηστών και κωδικούς πρόσβασης, αλλά τα δεδομένα cookie ότι οι διακομιστές και ιστοσελίδες χρησιμοποιούν για να παρακολουθούν τη δραστηριότητα του χρήστη και την απλοποίηση αδειοδότησης. Η οργάνωση Electronic Frontier Foundation αναφέρει ότι οι περιοδικές επιθέσεις μπορεί να δώσει πρόσβαση σε δύο πιο σοβαρές πληροφορίες, όπως τα ιδιωτικά κλειδιά κρυπτογράφησης χώρο που χρησιμοποιείται για την κρυπτογράφηση κυκλοφορίας. Χρησιμοποιώντας αυτό το κλειδί, ένας εισβολέας θα μπορούσε να πλαστογραφήσει την αρχική τοποθεσία και να κλέψει τα πιο διαφορετικά είδη των προσωπικών δεδομένων, όπως αριθμούς πιστωτικών καρτών ή ιδιωτική αλληλογραφία.
Θα πρέπει να αλλάξετε τον κωδικό πρόσβασής μου;
Για μια ποικιλία από τοποθεσίες απαντήσει «ναι». ΑΛΛΑ - είναι καλύτερα να περιμένετε για το μήνυμα από το σημείο χορήγησης, ότι αυτή η ευπάθεια έχει εξαλειφθεί. Φυσικά, η πρώτη σας αντίδραση - Αλλαγή όλων των κωδικών πρόσβασης αμέσως, αλλά αν ευπάθεια σε ορισμένες από τις περιοχές που δεν έχουν καθαριστεί, αλλαγή άσκοπο κωδικό πρόσβασης - σε μια εποχή που η ευπάθεια είναι ευρέως γνωστό, ότι θα αυξήσει τις πιθανότητες ενός εισβολέα να γνωρίζουν τη νέα σας τον κωδικό πρόσβασης.
Πώς μπορώ να ξέρω ποια από τις ιστοσελίδες περιέχουν τρωτά σημεία και είναι σταθερό;
Υπάρχουν πολλές πηγές που ελέγχει το Διαδίκτυο για την ευπάθεια και ανέφερε την παρουσία / απουσία του. συνιστούμε πόρος Εταιρεία LastPass, ένας προγραμματιστής λογισμικού διαχείρισης κωδικού πρόσβασης. Αν και δίνει μια αρκετά σαφή απάντηση στο ερώτημα κατά πόσον είναι ευάλωτα ή ότι η ιστοσελίδα, σκεφτείτε τα αποτελέσματα του ελέγχου με προσοχή. Αν η ευπάθεια της περιοχής που βρέθηκαν με ακρίβεια - προσπαθήστε να μην το επισκεφτούν.
Λίστα από τα πιο δημοφιλή sites εκτίθενται τα τρωτά σημεία, μπορείτε επίσης να εξερευνήσετε το σύνδεσμος.
Το πιο σημαντικό πράγμα πριν από την αλλαγή του κωδικού πρόσβασης - για να πάρετε μια επίσημη επιβεβαίωση από το σημείο χορήγησης, η οποία ανακαλύφθηκε heartbleed, ότι είχε ήδη εξαλειφθεί.
Πολλές εταιρείες έχουν ήδη δημοσιευθεί οι σχετικές εγγραφές στα blogs τους. Αν δεν υπάρχουν - μην διστάσετε να παραπέμψει το θέμα στην υποστήριξη.
Ποιος είναι υπεύθυνος για την εμφάνιση της ευπάθειας;
Σύμφωνα με την εφημερίδα Guardian, το όνομα είναι γραμμένο κώδικα «λάθη» προγραμματιστή - Zeggelman Robin (Robin Seggelmann). Εργάστηκε στο OpenSSL έργο στη διαδικασία απόκτησης διδακτορικού διπλώματος 2008-2012. Δραματική η κατάσταση προσθέτει στο γεγονός ότι ο κωδικός έχει αποσταλεί στο αποθετήριο, 31η Δεκεμβρίου 2011 στις 23:59, ενώ το Zeggelman Ο ίδιος υποστηρίζει ότι δεν έχει σημασία, «Εγώ είμαι υπεύθυνος για το λάθος, όπως έγραψα τον κώδικα και έκανε όλες τις απαραίτητες τους ελέγχους. "
Την ίδια στιγμή, από το OpenSSL - ένα έργο ανοικτού πηγαίου κώδικα, είναι δύσκολο να κατηγορήσει το λάθος κάποιου μία. Κωδικός Έργου είναι σύνθετη και περιλαμβάνει ένα μεγάλο αριθμό πολύπλοκων λειτουργιών, και συγκεκριμένα Heartbeat - δεν είναι το πιο σημαντικό από αυτά.
Είναι αλήθεια ότι γαμώτο Στέιτ Ντιπάρτμεντ Η κυβέρνηση των ΗΠΑ χρησιμοποιείται heartbleed να κατασκοπεύσει δύο χρόνια πριν από τη δημοσιότητα;
Δεν είναι σαφές. Γνωστό πρακτορείο ειδήσεων Bloomberg ανέφερε ότι αυτή είναι η περίπτωση, αλλά πηγαίνει όλη η NSA αρνείται. Ανεξάρτητα, το γεγονός παραμένει - heartbleed εξακολουθεί να αποτελεί απειλή.
Θα πρέπει να ανησυχούν για τον τραπεζικό λογαριασμό μου;
Οι περισσότερες τράπεζες δεν χρησιμοποιούν OpenSSL, προτιμώντας ιδιόκτητο λύση κρυπτογράφησης. Αλλά αν είστε μαστίζεται από αμφιβολίες - απλά επικοινωνήστε με την τράπεζά σας και να τους ζητήσει το σχετικό ερώτημα. Σε κάθε περίπτωση, είναι καλύτερα να παρακολουθεί την εξέλιξη της κατάστασης, και οι επίσημες εκθέσεις από τις τράπεζες. Και μην ξεχάσετε να κρατήσετε ένα μάτι για τις συναλλαγές στο λογαριασμό σας - στην περίπτωση των συναλλαγών άγνωστη σε εσάς, να λάβει τα κατάλληλα μέτρα.
Πώς μπορώ να ξέρω αν θα χρησιμοποιούν ήδη heartbleed hackers να κλέψουν τα προσωπικά μου δεδομένα;
Δυστυχώς, δεν υπάρχει - χρησιμοποιήστε αυτό το θέμα ευπάθειας δεν αφήνει κανένα ίχνος του διακομιστή καταγράφει τη δραστηριότητα εισβολέα.
Είτε να χρησιμοποιήσετε το πρόγραμμα για να αποθηκεύσετε τους κωδικούς πρόσβασης σας, και τι;
Από τη μία πλευρά, heartbleed θέτει εκ νέου το ερώτημα σχετικά με την αξία ενός ισχυρού κωδικού πρόσβασης. Ως συνέπεια των κωδικών πρόσβασης αλλαγής μάζας, μπορείτε να αναρωτηθείτε πώς μπορείτε να βελτιώσετε ακόμη και την ασφάλειά σας. Φυσικά, οι διαχειριστές κωδικό πρόσβασης αξιόπιστες βοηθοί σε αυτή την περίπτωση - να μπορούν αυτόματα δημιουργούν και να αποθηκεύουν ισχυρούς κωδικούς πρόσβασης για κάθε περιοχή ξεχωριστά, αλλά θα πρέπει να θυμάστε μόνο ένα κύριο κωδικό πρόσβασης. Σε απευθείας σύνδεση διευθυντής κωδικού πρόσβασης LastPass, για παράδειγμα, επιμένει ότι δεν έχει υποβληθεί σε heartbleed ευπάθεια, και οι χρήστες δεν μπορούν να αλλάξουν κύριο κωδικό πρόσβασης σας. Εκτός από LastPass, σας συνιστούμε να δίνετε προσοχή σε αυτές τις δοκιμασμένες λύσεις, όπως RoboForm, Dashlane και 1Password.
Επιπλέον, σας συνιστούμε να χρησιμοποιήσετε έναν έλεγχο ταυτότητας δύο σταδίων, όπου είναι δυνατόν (Gmail, Dropbox και το Evernote θα υποστηρίξει ήδη) - στη συνέχεια, όταν άδεια, εκτός από τον κωδικό πρόσβασης, η υπηρεσία θα ζητήσει έναν κωδικό μιας χρήσης που δίνεται σε σας σε μια ειδική εφαρμογή για κινητά ή να αποσταλούν μέσω του SMS. Σε αυτή την περίπτωση, ακόμα και αν ο κωδικός σας έχει κλαπεί, ένας εισβολέας δεν μπορεί απλά να το χρησιμοποιήσετε για να συνδεθείτε.