Pitanja i odgovori: Što je Heartbleed ranjivost i kako se zaštititi od njega
Tehnologije / / December 19, 2019
Nedavno otkrivena ranjivost u protokolu OpenSSL, nazvan Heartbleed, pa čak i svoj vlastiti logotip, nosi potencijalnu prijetnju korisnikove lozinke na različitim stranicama. Odlučili smo čekati hype oko nje i razgovarati o tome, da tako kažemo, u suhe tvari.
To će nam pomoći da popularnom izdanju CNET, koji okupilo popis često postavljanih pitanja o ovoj temi. Nadamo se sljedeće informacije će vam pomoći da naučite više o Heartbleed i zaštitili sebe. Prije svega, zapamtite da date s Heartbleed problema nije u potpunosti riješen.
Što je Heartbleed?
Heartbleed - sigurnosna ranjivost u OpenSSL softver knjižnica (otvorena implementacija SSL / TLS enkripcije protokola) koji omogućava hakerima pristupiti sadržaju memorijske poslužitelja, koji u ovom trenutku može sadržavati vaše privatne podatke različitih korisnika Web usluge. Prema istraživanju tvrtke Netcraft, ova ranjivost može biti izložen na oko 500 tisuća web stranica.
To znači da se na tim mjestima potencijalno u opasnosti su tih korisnika osobne podatke, kao što su korisnička imena, lozinke, kartice podataka kreditne itd
Ranjivost omogućava napadačima digitalnih ključeva koji se koriste, na primjer, za enkripciju dopisivanje i internih dokumenata u različitim tvrtkama.
Što je OpenSSL?
Krenimo s SSL protokola, koji stoji za Secure Sockets Layer (Secure Sockets Layer). On je također poznat pod novim imenom TLS (Transport Layer Security). Danas je to jedna od najčešćih metoda enkripcije podataka u mreži koja vas štiti od moguće „špijuniranje” na dijelu. (Https na početku veze pokazuje da je komunikacija između vašeg preglednika i otvorite ga u mjestu koristi SSL, inače ćete vidjeti u pregledniku samo HTTP).
OpenSSL - implementacija SSL open source softvera. Ranjivosti su podvrgnuti protokola verzije 1.0.1 na 1.0.1f. OpenSSL se također koristi u Linux operativnom sustavu, to je dio dva najpopularnija web poslužitelja Apache i Nginx, koji „teče” velikim dijelom Interneta. Ukratko, opseg OpenSSL je ogroman.
Tko je pronašao grešku?
To je zasluga pripada zaposlenicima tvrtke Codenomicon, koja se bavi računalnom sigurnošću, i osoblja Google istraživač Nila meta (Neel Mehta), koji je otkrio ranjivost neovisno jedan od drugoga, doslovno jedan dan.
Meta donirao nagradu od 15 tisuća kuna. dolara. za otkrivanje bug na kampanju za razvoj šifriranja alata za novinare koji rade s izvorima informacija, koji se besplatno pritisnite Foundation (Freedom Foundation Press). Meta dalje odbija bilo intervju, ali njegov poslodavac, Google, dao je slijedeći komentar: „Sigurnost naših korisnika je naš najveći prioritet. Mi smo stalno u potrazi za propuste i potaknuti sve da ih što je prije moguće, tako da ih možemo popraviti prije nego što postanu poznati napadača. "
Zašto Heartbleed?
Ime je skovao Heartbleed Ossie Gerraloy (Ossi Herrala), administrator sustava Codenomicon. To je više harmonično nego tehničko ime CVE-2014-0160, ova ranjivost prema broju sadrži svoju liniju koda.
Heartbleed (doslovno - „krvarenje srca”) - igra riječi kojima se upućuje na širenje OpenSSL zove „srca” (lupanje srca). Protokol je zadržao na vezi, čak i ako je između sudionici ne razmjenjuju podatke. Gerrala smatra da Heartbleed savršeno opisuje suštinu ranjivost koja je omogućila da curenje povjerljivih podataka iz memorije.
Naziv čini se da je prilično uspješna za bug, a to nije slučajno. Codenomicon tim namjerno koristi eufoničan (pritisnite) naziv, koji bi pomogli i koliko je god moguće u najkraćem mogućem roku obavijestiti ljude o ranjivost pronađena. Dajući mu ime bug, Codenomicon uskoro kupio domenu Heartbleed.com, koja je pokrenula stranicu u pristupačnom obliku pripovijedanja o Heartbleed.
Zašto neke web stranice ne utječe Heartbleed?
Unatoč popularnosti OpenSSL, postoje i druge implementacije SSL / TLS. Osim toga, neke web stranice koriste stariju verziju OpenSSL, što ovaj bug je odsutan. A neki ne uključuje otkucaja srca funkciju, što je izvor ranjivosti.
Djelomično smanjiti potencijalnu štetu koristi PFS (savršenu tajnost naprijed - savršeno ravno tajnost), Vlasništvo SSL protokol koji osigurava da ako napadač dohvatiti iz memorije poslužitelj ključno sigurnost, on neće moći dekodirati sav promet i pristup na ostatak tipke. Mnoge (ali ne sve) tvrtke već koriste PFS - npr, Google i Facebook.
Kako Heartbleed?
Ranjivosti napadaču pristup poslužitelju 64 kilobajta memorije i opet i opet izvesti napad do potpunog gubitka podataka. To znači da ne samo curiti korisnička imena i lozinke, ali podacima kolačića koje web poslužitelja i web stranice koristiti za praćenje aktivnosti korisnika i pojednostaviti odobrenje. Organizacija Electronic Frontier Foundation navodi da periodične napadi mogu dati pristup i ozbiljniji informacije, kao što su privatna stranica ključeve za šifriranje koji se koriste za enkripciju promet. Pomoću ove tipke, napadač može lažirati izvornu stranicu i ukrasti najviše različitih vrsta osobnih podataka kao što su brojevi kreditnih kartica ili privatne korespondencije.
Trebam li promijeniti svoju lozinku?
Za niz mjesta odgovor „da”. ALI - to je bolje pričekati poruku s mjesta primjene, da je ova ranjivost je eliminiran. Naravno, svoj prvi reakcija - Promjena sve lozinke odmah, ali ako ranjivost na neke od stranica se ne čiste, promjena Lozinka besmisleno - u vrijeme kada je ranjivost je poznato, da se samo povećati šanse za napadača znati svoj novi lozinka.
Kako mogu znati koje od stranica sadrži ranjivosti i je li to popraviti?
Postoji nekoliko resursa koji provjeravaju Interneta za ranjivosti i iskazane njegovu prisutnost / odsutnost. preporučujemo izvor Tvrtka LastPass, softver developer upravljanje lozinkom. Iako to daje prilično jasan odgovor na pitanje da li je osjetljiva ili da mjesto, mislim na rezultate revizije s oprezom. Ako je ranjivost mjestu točno naći - pokušajte ga ne posjetite.
Popis najpopularnijih mjesta izložena ranjivosti, možete istražiti veza.
Najvažnija stvar prije promjene lozinke - dobiti službenu potvrdu od mjesta uprave, koji je otkriven heartbleed, koji je već bio eliminiran.
Mnoge tvrtke već su objavljene relevantne unose na svojim blogovima. Ako nema - ne ustručavajte se pitanje podnijeti na podršci.
Tko je odgovoran za pojavu ranjivosti?
Prema pisanju lista Guardian, ime je napisano „lud” programer kod - Zeggelman Robin (Robin Seggelmann). On je radio na projektu OpenSSL u postupku stjecanje doktorata znanosti od 2008. do 2012. godine. Dramatična situacija dodaje da je činjenica da je kod poslane na repozitorij, 31. prosinca 2011. u 23:59, iako je Zeggelman On tvrdi da to ne smeta, „Ja sam odgovoran za pogrešku, kao što sam napisao kod i učinili sve potrebne provjere ".
U isto vrijeme, jer OpenSSL - open source projekt, teško je kriv pogrešku netko jednom. Šifra projekta je složen i sadrži veliki broj složenih funkcija, a posebno Heartbeat - nije najvažnije od njih.
Je li istina da prokleti State Department Američka vlada koristi Heartbleed da izvidi dvije godine prije publiciteta?
To nije jasno. Poznata novinska agencija Bloomberg izvijestio da je to slučaj, ali to ide sve NSA negira. Bez obzira na to, ostaje činjenica - Heartbleed je još uvijek prijetnja.
Trebam li brinuti o svom bankovnom računu?
Većina banaka ne koristi OpenSSL, preferirajući vlasnički rješenje za šifriranje. Ali ako udario po sumnje - samo kontaktirajte svoju banku i pitati ih relevantne pitanje. U svakom slučaju, bolje je pratiti razvoj situacije i službenih izvješća iz banaka. I ne zaboravite da paze na transakcije na računu - u slučaju transakcija upoznati s tobom, poduzeti odgovarajuće mjere.
Kako ću znati da li koristiti već Heartbleed hakera ukrasti moje osobne podatke?
Nažalost, ne - koristite ovu ranjivost ne ostavlja tragove poslužitelja prijavljuje uljeza aktivnosti.
Bilo kako koristiti program za pohranu vaše lozinke, i što?
S jedne strane, Heartbleed ponovno postavlja pitanje o vrijednosti jake lozinke. Kao posljedica lozinki masa promjena, vi svibanj se pitate kako možete čak povećati svoju sigurnost. Naravno, lozinkom menadžeri su pouzdani pomoćnici u ovom slučaju - oni mogu automatski generirati i pohraniti jake lozinke za svaku stranicu pojedinačno, ali morate zapamtiti samo jednu glavna lozinka. Online LastPass Password Manager, na primjer, tvrdi da on nije podvrgnut Heartbleed ranjivosti, a korisnici ne mogu mijenjati svoju glavnu lozinku. Osim LastPass, preporučujemo plaćati pozornost na takve dokazane rješenja poput RoboForm, Dashlane i 1Password.
Osim toga, preporučamo da koristite provjeru autentičnosti u dva koraka gdje god je to moguće (Gmail, Dropbox i Evernote već ga podržavaju) - onda kada ovlaštenje, osim lozinku, usluga će tražiti jednokratnu kod koje se daje za vas na poseban mobilnoj aplikaciji ili poslane putem SMS. U tom slučaju, čak i ako ste lozinku je ukraden, napadač ne mogu jednostavno koristiti za prijavu.