FAQ: Mikä on heartbleed-haavoittuvuus haavoittuvuutta ja miten suojautua sitä

Äskettäin keksityn haavoittuvuus OpenSSL-protokollan, puhuttu heartbleed-haavoittuvuus, ja jopa oma logo, kantaa mahdollinen uhka käyttäjän salasanan erilaisia ​​sivustoja. Päätimme odottaa hype ympärillä ja puhua siitä, niin sanotusti, kuiva jäännös.

Tämä auttaa meitä suosittu painos CNET, joka kokosi listan usein kysyttyjä kysymyksiä tästä aiheesta. Toivottavasti seuraavat tiedot auttavat sinua oppimaan lisää heartbleed-haavoittuvuus ja suojautua. Ensinnäkin, muista tasalla heartbleed-haavoittuvuus ongelmaa ei ole ratkaistu täysin.

Mikä on heartbleed-haavoittuvuus?

Heartbleed-haavoittuvuus - tietoturvaheikkouden OpenSSL ohjelmistokirjasto (avoin täytäntöönpano SSL / TLS) -protokollan, jonka avulla hakkerit käyttää muistin sisältö palvelimia, joka tässä vaiheessa voi sisältää henkilökohtaisia ​​tietoja eri käyttäjien Verkkopalveluita. Mukaan tutkimusyhtiö Netcraft, tämä heikkous voi altistua noin 500000 sivustoja.

Tämä tarkoittaa, että näillä sivustoilla mahdollisesti vaarassa olivat käyttäjien henkilötietojen, kuten käyttäjätunnuksia, salasanoja, luottokorttitietoja, jne

Haavoittuvuus myös mahdollistaa hyökkääjän digitaalisia avaimia, joita käytetään muun muassa salaukseen kirjeenvaihtoa ja sisäisiä asiakirjoja eri yrityksissä.

Mikä on OpenSSL?

Aloitetaan SSL, joka on lyhenne sanoista Secure Sockets Layer (Secure Sockets Layer). Hänet tunnetaan myös sen uudella nimellä TLS (Transport Layer Security). Nykyään se on yksi yleisimmistä menetelmistä tietojen salausta verkossa, joka suojaa mahdolliselta "vakoilee" puolelta. (Https alussa linkin osoittaa, että välistä viestintää selaimen ja avaa se sivusto on SSL, muuten näet selaimessa vain http).

OpenSSL - SSL-toteutus avoimen lähdekoodin ohjelmistoja. Haavoittuvuutta alistettiin protokollan versio 1.0.1 ja 1.0.1f. OpenSSL käytetään myös Linux-käyttöjärjestelmä, se on osa kahden suosituin web-palvelinohjelmisto Apache ja nginx, joka "kulkee" suuri osa Internet. Lyhyesti, soveltamisala OpenSSL on valtava.

Joka löysi virheen?

Tämä ansio kuuluu yhtiön työntekijät Codenomiconin, käsittelee tietoturva sekä henkilöstön Google tutkija Nile Meta (Neel Mehta), joka löysi haavoittuvuudet toisistaan ​​riippumatta, kirjaimellisesti yhden päivän.

Meta lahjoitti palkkio 15000. dollaria. ja havaitsee vian kampanjan kehittämiseen salausvälineitä toimittajille työskentelevät tietolähteitä, joka vie vapaan lehdistön Foundation (Freedom of the Press Foundation). Meta edelleen kieltäytyy kuultavaksi, mutta hänen työnantajansa, Google, antoi seuraavan kommentin: "turvallisuus käyttäjien on meille erittäin tärkeää. Etsimme jatkuvasti haavoittuvuuksia ja kannustaa kaikkia ilmoitettava niistä mahdollisimman pian, jotta voimme korjata ne ennen kuin ne tulevat tiedossa hyökkääjiä. "

Miksi heartbleed-haavoittuvuus?

Nimi keksi heartbleed-haavoittuvuus Ossie Gerraloy (Ossi Herrala), järjestelmänvalvoja Codenomiconin. Se on enemmän harmoninen kuin tekninen nimi CVE-2014-0160, tätä heikkoutta määrä sisältää sen koodiriviä.

Heartbleed-haavoittuvuus (kirjaimellisesti - "verenvuoto sydämet") - sanaleikiksi sisältää viittauksen laajentamisen OpenSSL kutsutaan "syke" (sydämentykytys). Protokolla piti yhteyden auki, vaikka välillä osallistujat eivät vaihtavat tietoja. Gerrala katsoi, että heartbleed-haavoittuvuus kuvaa täydellisesti ydin haavoittuvuuden, joka mahdollisti vuotaa arkaluontoisia tietoja muistista.

Nimi näyttää olevan varsin menestyksekäs vika, ja tämä ei ole sattumaa. Codenomiconin joukkue tarkoituksella käyttää euphonic (lehdistö) nimi, mikä auttaisi sekä mahdollisimman paljon mahdollisimman nopeasti ilmoittaa ihmisille haavoittuvuus löytyi. Antaa sille nimi bug Codenomicon pian osti verkkotunnuksen Heartbleed.com, joka käynnisti sivusto käytettävissä olevassa muodossa kertominen heartbleed-haavoittuvuus.

Miksi jotkut sivustot eivät vaikuta heartbleed-haavoittuvuus?

Huolimatta suosio OpenSSL on muitakin SSL / TLS toteuttamista. Lisäksi jotkut sivustot käyttävät aiempaa versiota OpenSSL, joka tämän vian puuttuu. Ja jotkut eivät sisältäneet sydämen toiminto, joka on lähde haavoittuvuuden.

Osittain vähentää mahdolliset vahingot hyödyntää PFS (Perfect Forward salaisuuden - täysin suorassa salaisuuden), Asunto on SSL-protokollaa, joka varmistaa, että jos hyökkääjä hakea muistista palvelin yksi salausavain, hän ei pysty purkamaan kaiken liikenteen ja pääsyn muualle avaimet. Monet (mutta eivät kaikki) yritykset käyttävät jo PFS - esimerkiksi Google ja Facebook.

Miten heartbleed-haavoittuvuus?

Haavoittuvuutta hyökkääjä päästä palvelimen 64 kilotavua muistia ja suorittaa hyökkäys uudelleen ja uudelleen kunnes koko tietojen häviämisen. Tämä tarkoittaa, että ei vain altis vuotaa käyttäjätunnuksia ja salasanoja, mutta evästetiedot että web-palvelimet ja sivustot seurata käyttäjien toimintaa ja yksinkertaistaa lupaa. Organisaation Electronic Frontier Foundation todetaan, että määräajoin hyökkäykset voivat antaa pääsy sekä enemmän luotettavaa tietoa, kuten yksityinen sivusto salausavaimia käytetään salaukseen liikennettä. Käyttämällä tätä näppäintä, hyökkääjä voi väärentää alkuperäisen sivuston ja varastaa eniten erilaisia ​​henkilökohtaisia ​​tietoja, kuten luottokorttien numeroita tai yksityisten kirjeenvaihtoa.

Pitäisikö minun vaihtaa salasanani?

Useille sivustoja vastata "kyllä". MUTTA - se on parempi odottaa viestin antokohdan, että tämä haavoittuvuus on eliminoitu. Luonnollisesti ensimmäinen reaktio - Vaihda kaikki salasanat välittömästi, mutta jos haavoittuvuuden joitakin sivustoja ei puhdisteta, muutos salasana turhaa - samaan aikaan, kun haavoittuvuus tunnetaan laajalti, että sinulla on vain lisätä mahdollisuuksia hyökkääjä tuntemaan uusi salasana.

Mistä tiedän, mitkä sivustot sisältävät haavoittuvuuksia ja on se kiinteä?

On olemassa useita resursseja, jotka tarkistavat Internetistä haavoittuvuus ja raportoi läsnäolo / poissaolo. suosittelemme resurssi Yhtiö LastPass, ohjelmistokehittäjä salasanan hallinta. Vaikka se antaa melko selkeän vastauksen kysymykseen, onko hän on haavoittuvainen tai että sivusto, ajattele tarkastuksen tuloksista varoen. Jos haavoittuvuus sivuston tarkasti löytyi - yritä käymään siellä.

Luettelo suosituimmista sivustoista alttiina haavoittuvuuksia, voit myös tutustua linkki.

Tärkeintä ennen salasanan vaihtamista - saada virallisen vahvistuksen antokohdan, joka löytyi heartbleed-haavoittuvuus, että hän oli jo poistettu.

Monet yritykset ovat jo julkaisseet asiaa merkinnät niiden blogeja. Jos ei ole - älä epäröi viedä asian tukeen.

Kuka vastaa ulkonäkö haavoittuvuuden?

Lehden mukaan Guardian, nimi on kirjoitettu "buginen" ohjelmoijan koodi - Zeggelman Robin (Robin Seggelmann). Hän oli mukana hankkeessa OpenSSL parhaillaan saada tohtorin tutkinnon 2008-2012. Dramaattinen tilanne lisää siihen, että koodi on lähetetty arkistossa 31 joulukuu 2011 klo 23:59, vaikka Zeggelman Hän väittää, että sillä ei ole väliä, "Olen vastuussa virheestä, kuten kirjoitin koodi ja teki kaiken tarvittavan tarkastuksia. "

Samalla, koska OpenSSL - avoimen lähdekoodin projekti, on vaikea syyttää virheestä jonkun yhden. Projektikoodi on monimutkainen ja sisältää useita monimutkaisia ​​toimintoja, ja nimenomaan Heartbeat - ole tärkein niistä.

Onko totta, että pirun ulkoministeriö Yhdysvaltain hallitus käytti heartbleed-haavoittuvuus vakoilemaan kaksi vuotta ennen julkisuutta?

Se ei ole selvää. Tunnetut uutistoimisto Bloomberg kertoi, että näin on, mutta se menee kaiken NSA kiistää. Riippumatta, tosiasia on - heartbleed-haavoittuvuus on yhä uhka.

Pitäisikö minun murehtia minun pankkitilille?

Useimmat pankit eivät käytä OpenSSL mieluummin oma salaus ratkaisu. Mutta jos olet vaivannut epäilyksiä - ota yhteyttä pankkiisi ja pyydä heitä olennainen kysymys. Joka tapauksessa se on parempi seurata tilanteen kehittymistä, ja virallisia raportteja pankeista. Ja älä unohda pitää silmällä tilisi tapahtumiin - kun on kyse liiketoimista tuntemattomia teitä, ryhtyä asianmukaisiin toimiin.

Mistä tiedän, onko käyttää jo heartbleed-haavoittuvuus hakkerit varastaa henkilökohtaisia ​​tietoja?

Valitettavasti ei - käytä tätä heikkoutta ei jätä mitään jälkiä palvelin kirjaa tunkeilija toimintaa.

Onko käyttää ohjelmaa tallentaa salasanoja, ja mitä?

Toisaalta, heartbleed-haavoittuvuus jälleen esiin kysymys siitä arvosta vahvan salasanan. Seurauksena massan muutoksen salasanat, saatat tietää, kuinka te voi jopa parantaa turvallisuutta. Tietenkin salasana johtajat luotetaan avustajat tässä tapauksessa - he voivat automaattisesti tuotettava ja säilytettävä vahvoja salasanoja jokaiselle alueelle erikseen, mutta täytyy muistaa vain yksi pääsalasana. Online LastPass salasanojen hallinta, esimerkiksi vaatii, että hän ei joudu heartbleed-haavoittuvuus haavoittuvuutta, ja käyttäjät eivät voi muuttaa pääsalasanaa. Lisäksi LastPass, kannattaa kiinnittää huomiota tällaisiin todettuja ratkaisuja kuten RoboForm, Dashlane ja 1Password.

Lisäksi suosittelemme käyttämään kaksivaiheinen vahvistus mahdollisuuksien (Gmail, Dropbox ja Evernote jo tukevat sitä) - sitten kun Valtuutus lisäksi salasanan, palvelu kysyy kertaluonteinen koodi, joka annetaan sinulle erityisellä mobiilisovellus tai lähetetään Tekstiviestillä. Tässä tapauksessa, vaikka salasana on varastettu, hyökkääjä voi käyttää sitä vain kirjautua.