FAQ: Hvad er heartbleed-bug sårbarhed og hvordan du beskytter dig fra det

Et nyligt opdaget sårbarhed i OpenSSL-protokollen, døbt heartbleed-bug, og selv dit eget logo, bærer en potentiel trussel mod brugerens adgangskode på en række forskellige hjemmesider. Vi besluttede at vente på den hype omkring det og tale om det, så at sige, i den tørre rest.

Dette vil hjælpe os til en populær udgave af CNET, som indsamlede en liste over ofte stillede spørgsmål om dette emne. Vi håber, at følgende oplysninger vil hjælpe dig med at lære mere om heartbleed-bug og beskytte dig selv. Først og fremmest huske opdateret med heartbleed-bug problemet ikke er løst helt.

Hvad er heartbleed-bug?

Heartbleed-bug - sikkerhedsbrist i OpenSSL-software bibliotek (åben implementering af SSL / TLS-kryptering protokol), der giver hackere at få adgang til indholdet af hukommelse servere, som på dette tidspunkt kunne indeholde private data i forskellige brugere Webtjenester. Ifølge analysefirmaet Netcraft, kan denne sårbarhed udsættes for cirka 500 tusind hjemmesider.

Det betyder, at på disse steder blive udsat for fare var disse brugeres persondata, ligesom brugernavne, adgangskoder, kreditkort data osv

instagram viewer

Sårbarheden gør det også muligt for angribere at digitale nøgler, som anvendes, for eksempel til kryptering korrespondance og interne dokumenter i en række forskellige selskaber.

Hvad er OpenSSL?

Lad os starte med SSL-protokollen, som står for Secure Sockets Layer (Secure Sockets Layer). Han er også kendt under sit nye navn TLS (Transport Layer Security). I dag er det en af ​​de mest almindelige metoder til datakryptering i netværket, der beskytter dig mod mulige "spionage" på den del. (Https i begyndelsen af ​​linket indikerer, at kommunikationen mellem din browser og åbne den i stedet er ved hjælp af SSL, ellers vil du se i browseren bare http).

OpenSSL - SSL implementering af open source-software. Sårbarheder blev udsat for protokolversion 1.0.1 til 1.0.1f. OpenSSL bruges også i Linux-operativsystem, det er en del af de to mest populære webserver Apache og Nginx, der "kører" en stor del af internettet. Kort sagt, omfanget af OpenSSL er enorm.

Hvem fundet en fejl?

Denne fortjeneste hører til medarbejderne i selskabet Codenomicon, der beskæftiger sig med edb-sikkerhed, og bemanding Google forsker Nile Meta (Neel Mehta), der opdagede sårbarheder uafhængigt af hinanden, bogstaveligt talt en dag.

Meta doneret belønning på 15 tusind. dollars. til detektering af en fejl på den kampagne for udvikling af kryptering værktøjer til journalister, der arbejder med informationskilder, som tager en fri presse Foundation (pressefrihed Foundation). Meta fortsætter med at afvise enhver samtale, men hans arbejdsgiver, Google, gav følgende kommentar: "Sikkerheden for vores brugere er vores højeste prioritet. Vi er konstant på udkig efter sårbarheder og opmuntre alle til at rapportere dem så hurtigt som muligt, så vi kan rette dem, før de bliver kendt af angribere. "

Hvorfor heartbleed-bug?

Navnet blev opfundet af heartbleed-bug Ossie Gerraloy (Ossi Herrala), systemadministratoren Codenomicon. Det er mere harmonisk end den tekniske betegnelse CVE-2014-0160, denne sårbarhed ved nummer indeholder sin linje kode.

Heartbleed-bug (bogstaveligt - "blødende hjerter") - et ordspil, der indeholder en henvisning til en udvidelse af OpenSSL kaldet "hjerteslag" (palpitationer). Protokol holdt forbindelsen åben, selv om mellem deltagerne ikke udveksle data. Gerrala overvejet at heartbleed-bug perfekt beskriver essensen af ​​sårbarhed, der gav lækage af følsomme data fra hukommelsen.

Navnet synes at være ganske vellykket for fejlen, og det er ikke tilfældigt. Codenomicon hold bevidst brugt euphonic (tryk) navn, som ville hjælpe både så meget som muligt så hurtigt som muligt at underrette folk om sårbarhed fundet. At give det navnet på fejlen, Codenomicon købte snart et domænenavn Heartbleed.com, der lancerede sitet i en tilgængelig form fortæller om heartbleed-bug.

Hvorfor er nogle steder, der ikke påvirkes af heartbleed-bug?

På trods af populariteten af ​​OpenSSL, der er andre SSL / TLS implementering. Hertil kommer, at nogle steder bruger en tidligere version af OpenSSL, som denne fejl er fraværende. Og nogle har ikke omfattet et hjerteslag funktion, som er en kilde til sårbarhed.

Dels for at reducere den potentielle skade gør brug af PFS (perfekt frem hemmelighed - helt lige hemmeligholdelse), Ejendom af SSL-protokollen, som sikrer, at hvis en hacker hente fra hukommelsen server én sikkerhedsnøgle, vil han ikke være i stand til at afkode al trafik og adgang til resten af nøgler. Mange (men ikke alle) virksomheder allerede bruger PFS - for eksempel Google og Facebook.

Hvordan virker heartbleed-bug?

Sårbarheder hacker at få adgang til serveren 64 kilobyte hukommelse og udføre angrebet igen og igen, indtil den fuldstændig tab af data. Det betyder, at ikke kun tilbøjelige til utætte brugernavne og passwords, men cookie data, webservere og websteder bruger til at spore brugeraktivitet og forenkle tilladelse. Organisationen Electronic Frontier Foundation hedder det periodiske angreb kan give adgang til både mere seriøs information, så som privat hjemmeside krypteringsnøgler, der anvendes til kryptering trafik. Ved hjælp af denne tast, kan en hacker spoof det oprindelige websted og stjæle de mest forskellige former for personlige data, f.eks kreditkortnumre eller privat korrespondance.

Skal jeg ændre min adgangskode?

For en lang række sites svare "ja". MEN - det er bedre at vente på besked fra administrationsstedet, at denne sårbarhed er blevet elimineret. Naturligvis din første reaktion - Skift alle passwords det samme, men hvis sårbarhed på nogle af de steder er ikke renset, forandring adgangskode meningsløst - på et tidspunkt hvor sårbarheden er almindeligt kendt, at du kun øge chancerne for en hacker at kende din nye adgangskode.

Hvordan kan jeg vide, hvilken af ​​de hjemmesider indeholder sårbarheder og er det fast?

Der er flere ressourcer, der tjekker internettet for sårbarhed og indberettet sin tilstedeværelse / fravær. anbefaler vi ressource Firma LastPass, en softwareudvikler af password management. Selv om det giver et ret klart svar på spørgsmålet om, hvorvidt han er sårbar, eller at stedet, så tænk på resultaterne af revisionen med forsigtighed. Hvis sårbarheden af ​​webstedet præcist fundet - prøv ikke at besøge det.

Liste over de mest populære websteder udsatte sårbarheder, kan du også udforske link.

Det vigtigste før du ændrer adgangskoden - at få en officiel bekræftelse fra administrationen site, som blev opdaget heartbleed-bug, at hun allerede var blevet fjernet.

Mange virksomheder har allerede offentliggjort de relevante poster på deres blogs. Hvis der ikke er - tøv ikke med at henvise sagen til støtte.

Hvem er ansvarlig for forekomsten af ​​sårbarheden?

Ifølge avisen The Guardian, er det navn, skrevet "buggy" programmør kode - Zeggelman Robin (Robin Seggelmann). Han arbejdede på projektet OpenSSL i processen med at få en ph.d.-grad fra 2008 til 2012. Dramatisk situation, tilføjer til den kendsgerning, at koden er blevet sendt til lageret, December den 31., 2011 kl 23:59, selv om Zeggelman Han hævder, at det er ligegyldigt, "jeg er ansvarlig for fejlen, da jeg skrev koden og gjorde alt det nødvendige checks ".

Samtidig, da OpenSSL - et open source-projekt, er det svært at bebrejde den fejl at nogen én. Projekt kode er komplekst og indeholder en lang række af komplekse funktioner, og specifikt Heartbeat - ikke det vigtigste af dem.

Er det rigtigt, at pokkers udenrigsministerium Den amerikanske regering brugt heartbleed-bug at udspionere to år før den reklame?

Det er ikke klart. Kendte nyhedsbureau Bloomberg rapporterede, at dette er tilfældet, men det går hele NSA benægter. Uanset, faktum er - heartbleed-bug er stadig en trussel.

Skal jeg bekymre sig om min bankkonto?

De fleste banker ikke bruger OpenSSL, foretrækker proprietære kryptering løsning. Men hvis du er plaget af tvivl - bare kontakte din bank og bede dem det relevante spørgsmål. Under alle omstændigheder er det bedre at følge udviklingen i situationen, og officielle rapporter fra banker. Og glem ikke at holde øje med transaktioner på din konto - i tilfælde af transaktioner ukendte for dig, tage de nødvendige skridt.

Hvordan ved jeg, om der skal bruges allerede heartbleed-bug hackere at stjæle mine personlige data?

Desværre, nej - bruge denne sårbarhed ikke efterlader nogen spor af serveren logger ubuden gæst aktivitet.

Uanset om at bruge programmet til at gemme dine adgangskoder og hvad?

På den ene side, heartbleed-bug igen rejser spørgsmålet om værdien af ​​en stærk adgangskode. Som en konsekvens af adgangskoder af masseændringen kan du spekulerer på, hvordan du kan endda forbedre din sikkerhed. Selvfølgelig er password ledere betroede assistenter i dette tilfælde - de kan automatisk generere og gemme stærke adgangskoder for hvert websted individuelt, men du skal huske kun én hovedadgangskode. Online LastPass Password Manager, for eksempel, insisterer på, at han ikke udsættes for heartbleed-bug sårbarhed, og brugerne kan ikke ændre din hovedadgangskode. Ud over LastPass, anbefaler vi at være opmærksom på sådanne gennemprøvede løsninger som RoboForm, Dashlane og 1Password.

Desuden anbefales det at bruge en to-trins-godkendelse hvor det er muligt (Gmail, Dropbox og Evernote allerede støtter det) - så når tilladelse, ud over den adgangskode, vil tjenesten bede om en engangs-kode, der er givet til dig i en særlig mobilapplikation eller sendes via SMS. I dette tilfælde, selv hvis din adgangskode bliver stjålet, en hacker kan ikke bare bruge den til at logge ind.