FAQ: Co to jest heartbleed luka i jak chronić się przed nią
Technologii / / December 19, 2019
Niedawno odkryta luka w protokole OpenSSL, nazwany heartbleed, a nawet własne logo, niesie ze sobą potencjalne zagrożenie dla hasła użytkownika na różnych stronach internetowych. Zdecydowaliśmy się czekać na hype wokół niego i mówić o tym, że tak powiem, w pozostałości suchej.
Pozwoli nam to na popularnym wydaniu CNET, który zebrane lista najczęściej zadawanych pytań na ten temat. Mamy nadzieję, że poniższe informacje pomogą Ci dowiedzieć się więcej o heartbleed i chronić siebie. Przede wszystkim należy pamiętać, aby data z problemem heartbleed nie został rozwiązany całkowicie.
Co jest heartbleed?
Luka bezpieczeństwa w oprogramowaniu biblioteki OpenSSL (otwarta implementacja protokołu szyfrowania SSL / TLS), który umożliwia hakerom - heartbleed aby uzyskać dostęp do zawartości serwerów pamięci, który w tym momencie mógł zawierać prywatne dane różnych użytkowników Web services. Według badań firmy Netcraft, luka ta może być narażony na około 500 tysięcy stron.
Oznacza to, że na tych miejscach potencjalnie zagrożonych były dane osobowe tych użytkowników, takich jak nazwy użytkowników, hasła, dane kart kredytowych, itp
Luka ta umożliwia również napastnikowi klawiszy cyfrowych, które są wykorzystywane na przykład do szyfrowania korespondencji i dokumentów wewnętrznych w różnych firmach.
Co jest OpenSSL?
Zacznijmy z protokołem SSL, co oznacza Secure Sockets Layer (Secure Sockets Layer). Znany jest także pod nową nazwą TLS (Transport Layer Security). Dziś jest jednym z najbardziej powszechnych metod szyfrowania danych w sieci, która chroni przed możliwe „szpiegostwo” na części. (Https na początku odnośnik wskazuje, że komunikacja pomiędzy przeglądarką i otwórz go w witrynie jest przy użyciu protokołu SSL, w przeciwnym razie będzie zobaczyć w przeglądarce tylko HTTP).
OpenSSL - implementacja SSL oprogramowania open source. Luki poddano wersji protokołu 1.0.1 do 1.0.1f. OpenSSL jest także używany w systemie operacyjnym Linux, jest częścią dwóch najbardziej popularnych serwerów WWW Apache i Nginx, który „biegnie” dużej części Internetu. Krótko mówiąc, zakres OpenSSL jest ogromna.
Kto znalazł błąd?
To zasługa należy do pracowników firmy Codenomicon, zajmujących się bezpieczeństwem komputerowym i zatrudnienia Google badacz Nile Meta (Neel Mehta), który odkrył luki niezależnie od siebie, dosłownie jeden dzień.
Meta zdobyłem nagrodę w wysokości 15 tys. dolarów. do wykrywania błędów w kampanii dla rozwoju narzędzi do szyfrowania dla dziennikarzy pracujących ze źródłami informacji, które odbywa wolnej prasy Foundation (Freedom Foundation Press). Meta nadal odmawia złożenia zeznań, ale jego pracodawca, Google, dał następujący komentarz: „Bezpieczeństwo naszych użytkowników jest naszym najwyższym priorytetem. Stale poszukuje luk i zachęcić wszystkich do zgłaszania ich tak szybko, jak to możliwe, że możemy je naprawić, zanim staną się znane atakujących. "
Dlaczego heartbleed?
Nazwa został ukuty przez heartbleed Ossie Gerraloy (Ossi Herrala), w Codenomicon administratora systemu. Jest bardziej harmonijny niż nazwą techniczną CVE-2014-0160, tej luki numeru zawierającego linię kodu.
Heartbleed (dosłownie - „krwawienia serca”) - gra słów zawierających odniesienie do ekspansji OpenSSL nazywany „bicie serca” (kołatanie serca). Protokół zachował otwarte połączenie, nawet jeśli między uczestnikami nie wymieniają dane. Gerrala uznał, że heartbleed doskonale opisuje istotę lukę, która pozwalała wyciek poufnych danych z pamięci.
Nazwa wydaje się być bardzo udany dla błędów, i to nie jest przypadek. Zespół Codenomicon celowo wykorzystywane Euphonic (naciśnij) nazwę, która pomoże zarówno jak najwięcej jak najszybciej powiadomić ludzi o znalezionych luka. Nadając mu nazwę błędu, Codenomicon wkrótce kupił domenę Heartbleed.com, która uruchomiła witrynę w przystępnej formie opowiada o heartbleed.
Dlaczego niektóre witryny nie wpływa heartbleed?
Mimo popularności OpenSSL, istnieje inna implementacja SSL / TLS. Ponadto niektóre witryny używają wcześniejszej wersji OpenSSL, która ten błąd nie występuje. A niektóre nie obejmują funkcję bicie serca, które jest źródłem zagrożenia.
Częściowo zmniejszyć ryzyko uszkodzenia wykorzystuje PFS (doskonałe utajnienie przekazywania - Tajemnica idealnie proste), Obiekt protokołu SSL, który gwarantuje, że jeśli atakujący pobrać z pamięci jeden klucz zabezpieczeń serwera, nie będą w stanie zdekodować cały ruch i dostęp do reszty kluczy. Wiele (ale nie wszystkie) firm korzysta już PFS - na przykład, Google i Facebook.
Jak heartbleed?
Luki atakującej uzyskanie dostępu do serwera 64 kilobajtów pamięci i wykonać atak znowu i znowu, aż do całkowitej utraty danych. Oznacza to, że nie tylko podatne na wycieki nazw użytkowników i haseł, ale z danych cookie serwery internetowe i strony używać do śledzenia aktywności użytkowników i uprościć zezwolenie. Organizacja Electronic Frontier Foundation twierdzi, że ataki okresowe może dać dostęp do obu bardziej poważne informacje, takie jak prywatne witryny kluczy szyfrujących wykorzystywanych do szyfrowania ruch. Stosując ten klucz, osoba atakująca może podszyć się pod witrynę oryginalną i ukraść jak najwięcej różnych rodzajów danych osobowych, takich jak numery kart kredytowych czy prywatnej korespondencji.
Powinien zmienić swoje hasło?
Z różnych stron odpowiedzieć „tak”. ALE - lepiej jest poczekać na wiadomość od miejsca podania, że luka ta została wyeliminowana. Naturalnie, twoja pierwsza reakcja - Zmień wszystkie hasła od razu, ale jeśli luka w niektórych miejscach nie są sprzątane, zmiana hasło bezcelowe - w czasie, gdy usterka jest powszechnie znane, że tylko zwiększyć szanse atakującego Poznaj swój nowy hasło.
Skąd mam wiedzieć, które z tych stron zawierają luki i jest to stałe?
Istnieje kilka środków, które sprawdzić w Internecie na luki i zgłaszane swoją obecność / nieobecność. zalecamy zasób Firma LastPass, programista zarządzania hasłami. Mimo to daje dość jasną odpowiedź na pytanie, czy jest on podatny albo że strona, myśleć o wynikach kontroli z ostrożnością. Jeśli podatność na miejscu dokładnie znaleziono - nie próbować go odwiedzić.
Lista najbardziej popularnych miejsc narażonych luk, można również odkrywać powiązanie.
Najważniejszą rzeczą przed zmianą hasła - aby uzyskać oficjalne potwierdzenie ze strony administracji, która została odkryta heartbleed, że zostały już wyeliminowane.
Wiele firm zostały opublikowane już odpowiednie wpisy na swoich blogach. Jeśli nie ma - nie wahaj się skierować sprawę do wsparcia.
Kto jest odpowiedzialny za pojawienie się luka?
Według gazety The Guardian, nazwa jest napisane "Buggy" programisty code - Zeggelman Robin (Robin Seggelmann). Pracował na OpenSSL Project w procesie uzyskiwania stopnia doktora od 2008 do 2012 roku. Dramatyczna sytuacja przyczynia się do faktu, że kod został wysłany do repozytorium, 31 grudnia 2011 roku o godzinie 23:59, chociaż Zeggelman Twierdzi, że nie ma znaczenia, „Jestem odpowiedzialny za pomyłkę, jak napisałem kod i zrobił wszystkie niezbędne Kontrole ".
Jednocześnie, ponieważ OpenSSL - projekt open source, trudno jest winić kogoś jednego błędu. Kod projekt jest złożony i zawiera dużą liczbę złożonych funkcji, a konkretnie Heartbeat - nie najważniejszym z nich.
Czy to prawda, że cholera Departamentu Stanu Rząd USA używany heartbleed szpiegować dwa lata przed rozgłosu?
Nie jest jasne. Znana agencja informacyjna Bloomberg poinformował, że jest to przypadek, ale to idzie wszystko NSA zaprzecza. Niezależnie od tego, pozostaje faktem - heartbleed jest nadal zagrożeniem.
Czy mam się martwić o moje konto bankowe?
Większość banków nie używać OpenSSL, preferując autorskie rozwiązanie szyfrowania. Ale jeśli są nękane przez wątpliwości - wystarczy skontaktować się z bankiem i zadać im odpowiednie pytanie. W każdym razie, to lepiej śledzić rozwój sytuacji, a oficjalne raporty z banków. I nie zapomnij, aby mieć oko na transakcje na koncie - w przypadku transakcji nieznanych do Ciebie, podjąć odpowiednie działania.
Skąd mam wiedzieć, czy używać już heartbleed hakerów do kradzieży moich danych osobowych?
Niestety, nie - wykorzystać tę lukę nie pozostawia żadnych śladów na serwer rejestruje aktywność intruza.
Czy korzystania z programu do przechowywania haseł i co?
Z jednej strony, heartbleed po raz kolejny pojawia się pytanie o wartości silnym hasłem. W konsekwencji haseł zmiana masy, można się zastanawiać, w jaki sposób można nawet zwiększyć swoje bezpieczeństwo. automatycznie mogą - oczywiście, menedżerów haseł są zaufane asystentów w tym przypadku generowania i przechowywania silnych haseł dla każdej strony z osobna, ale trzeba pamiętać, tylko jeden hasło główne. Online menedżer haseł LastPass, na przykład, twierdzi, że nie poddaje się luka heartbleed, a użytkownicy nie mogą zmienić swoje hasło główne. Oprócz LastPass, zalecamy zwrócenie uwagi na takich sprawdzonych rozwiązań takich jak RoboForm, Dashlane i 1Password.
Ponadto, zalecamy użycie uwierzytelnianie dwuetapowe w miarę możliwości (Gmail, Dropbox i Evernote już obsługiwać go) - wtedy, gdy autoryzacja, oprócz hasła, obsługa poprosi o podanie kodu jednorazowego, że jest wam w specjalnej aplikacji mobilnej lub wysłanej przez SMS. W tym przypadku, nawet jeśli hasło zostanie skradziony, atakujący nie może po prostu użyć go do logowania.