Често: Шта је Хеартблеед рањивост и како да се заштитите од тога

Недавно откривена рањивост у протоколу ОпенССЛ, под називом Хеартблеед, па чак и свој логотип, носи потенцијалну опасност за лозинке корисника на различитим сајтовима. Одлучили смо да чекамо хипе око ње и говорити о томе, да тако кажем, у суви остатак.

То ће нам помоћи да популарном издању ЦНЕТ, који окупила списак често постављана питања о овој теми. Надамо се да ће следеће информације ће вам помоћи да више науче о Хеартблеед и заштитити себе. Пре свега, не заборавите да није решен у потпуности састанак са Хеартблеед проблемом.

Шта је Хеартблеед?

Хеартблеед - безбедносна рањивост у ОпенССЛ софтвера библиотеци (отворена имплементација протокола ССЛ / ТЛС шифровање) која омогућава хакере за приступ садржају меморијских сервера, који у овом тренутку могу да садрже приватне податке различитих корисника Веб сервиси. Према истраживању фирми Нетцрафт, овај пропуст може бити изложен око 500 хиљада сајтова.

То значи да на овим страницама потенцијално у опасности су лични подаци тих корисника, као што су корисничка имена, лозинке, податке кредитне картице, итд

Рањивост омогућава нападачима да дигиталних кључева, који се користе, на пример, за шифровање преписке и интерних докумената у различитим компанијама.

Шта је ОпенССЛ?

Почнимо са ССЛ протокола, који се залаже за Сецуре Соцкетс Лаиер (Сецуре Соцкетс Лаиер). Он је такође познат под новим именом ТЛС (Транспорт Лаиер Сецурити). Данас је једна од најчешћих метода шифрирање података у мрежи који вас штити од могуће "шпијунира" на делу. (Хттпс на почетку линка показује да је комуникација између прегледача и отворите га у месту користи ССЛ, иначе ћете видети у бровсеру само хттп).

ОпенССЛ - ССЛ имплементација софтвера отвореног кода. Рањивости су подвргнути протокола верзије 1.0.1 на 1.0.1ф. ОпенССЛ се користи у оперативном систему Линук, то је део два најпопуларнија веб сервера Апацхе и нгинк, које "води" велики део интернета. Укратко, обим ОпенССЛ је огроман.

Ко је нашао грешку?

Ово заслуга припада запосленима у компанији Цоденомицон, која се бави компјутерском безбедности, и особља Гоогле истраживач Ниле Мета (Неел Мехта), који је открио рањивост независно један од другог, буквално један дан.

Мета донирао награду од 15 хиљада. долара. за детекцију грешку на кампању за развој алата за шифровање за новинаре који раде са изворима информација, која узима слободне штампе Фоундатион (слобода Фондације за штампу). Мета и даље одбија било какав разговор, али његов послодавац, Гоогле је дао следећи коментар: "Сигурност наших корисника је наш највећи приоритет. Ми смо стално у потрази за рањивости и охрабрити све да их пријаве што је пре могуће, тако да можемо да их поправи пре него што постану познати нападача. "

Зашто Хеартблеед?

Назив је сковао Хеартблеед Оссие Герралои (Осси Херрала), систем администратор Цоденомицон. То је више хармоничан у односу на технички назив ЦВЕ-2014-0160, то рањивости по броју садржи своју линију кода.

Хеартблеед (дословно - "блеединг хеартс") - игра речи садрже референцу на проширењу ОпенССЛ назван "срца" (палпитације). Протокол задржао прикључак отворен, чак и ако између учесници не размењују податке. Геррала сматра да Хеартблеед савршено описује суштину рањивости која дозвољено цурење осетљивих података из меморије.

Име изгледа прилично успешна за грешке, и то није случајно. Цоденомицон тим намерно користи еупхониц (Пресс) назив, који ће помоћи и колико је то могуће у најкраћем року обавести људе о рањивости фоунд. Дајући му име грешке, Цоденомицон ускоро купио домен Хеартблеед.цом, која је покренула сајт у приступачном облику говори о Хеартблеед.

Зашто неки сајтови не утиче Хеартблеед?

Упркос популарности ОпенССЛ, постоје и друге примена ССЛ / ТЛС. Поред тога, неки сајтови користе ранију верзију ОпенССЛ, што ова буба је одсутан. А неки не садрже функцију срца, која је извор рањивости.

Делимично да се смањи потенцијалну штету користи ПФС (Перфецт Форвард Сецреци - савршено страигхт сецреци), Имовина ССЛ протокола, који обезбеђује да уколико нападач позовите из меморије Сервер кључна безбедност, он неће моћи да декодира сав саобраћај и приступ остатку кључеви. Многи (али не све) компаније већ користе ПФС - на пример, Гоогле и Фацебоок.

Како Хеартблеед?

Рањивости нападач добити приступ серверу 64 килобајта меморије и поново и поново изврши напад до потпуног губитка података. То значи да не само склони да цурење корисничких имена и лозинки, али подаци колачића који Веб сервери и сајтови користе за праћење активности корисника и поједностави овлашћење. Организација Елецтрониц Фронтиер Фоундатион наводи да периодичне напади могу дати приступ и озбиљније информације, као што су кључеви приватни сајт за шифровање који се користе за шифровање саобраћај. Користећи овај тастер, нападач може да превари оригиналну страницу и украде најразличитије врсте личних података као што су бројеви кредитних картица или приватне преписке.

Треба да променим лозинку?

За различитим локацијама одговорите са "да". АЛИ - то је боље чекати поруку од управе сајта, да је овај рањивост је елиминисан. Наравно, прва реакција - Промена све лозинке одмах, али ако рањивост на некој од локација нису очишћене, промена лозинка бесмислено - у време када је широко позната рањивост, да само повећати шансе нападачу да знате ваш нови лозинка.

Како да знам који од сајтова садрже слабости и да ли је фиксна?

Постоји неколико ресурса који проверавају интернет за рањивост и објавио своје присуство / одсуство. препоручујемо ресурс Компанија ЛастПасс, програмер управљања лозинком. Иако она даје прилично јасан одговор на питање да ли је рањив или да сајт, да о резултатима ревизије са опрезом. Ако рањивост сајта прецизно фоунд - пробај да не посети.

Листа најпопуларнијих сајтова који су изложени рањивости, можете истражила веза.

Најважнија ствар пре промене лозинке - да добије званичну потврду од локације управе, која је откривена хеартблеед, да је она већ елиминисани.

Велики број компанија је већ објавио релевантне ставке на својим блоговима. Ако нема - не устручавајте се да ствар проследи подршку.

Ко је одговоран за појаву рањивости?

Према писању тог листа Гуардиан, име је написано код "Бугги" програмера - Зеггелман Робин (Робин Сеггелманн). Он је радио на ОпенССЛ пројекта у процесу добијања докторске студије од 2008. до 2012. године. Драматична ситуација додаје на чињеницу да је код је послат у спремиште, 31. децембра 2011. године у 23:59, иако је Зеггелман Он тврди да то није битно, "Ја сам одговоран за грешку, као што сам написао код и урадили све неопходне провере. "

Истовремено, од ОпенССЛ - опен соурце пројекат, тешко је кривити грешку некоме једну. Пројекат код је сложен и садржи велики број сложених функција, а посебно Откуцај срца - није најважнији од њих.

Да ли је тачно да је дамн Стате Департмент Америчка влада користи Хеартблеед да шпијунира две године пре публицитет?

То није јасно. Познати новинска агенција Блумберг пријавио да је то случај, али то иде све НСА негира. Без обзира, остаје чињеница - Хеартблеед је још увек претња.

Да ли треба да бринем о свом банковном рачуну?

Већина банака не користе ОпенССЛ, радије власнички решење за шифровање. Али, ако се муче сумње - само обратите банку и да им је релевантно питање. У сваком случају, боље је да прати развој ситуације, као и званичне извештаје из банке. И не заборавите да припази на трансакције на вашем рачуну - у случају трансакција непознатих вама, предузети одговарајуће мере.

Како да знам да ли да користи већ Хеартблеед хакере да украде моје личне податке?

На жалост, не - користите ову рањивост не оставља никакав траг серверу евидентира активности уљеза.

Без обзира да ли се користи програм да сачувате своје лозинке, и шта?

С једне стране, Хеартблеед још једном поставља питање о вредности јаке лозинке. Као последица лозинки на маса промене, можда се питате како можете чак повећати безбедност. Наравно, лозинка менаџери су веровали асистената у овом случају - они могу аутоматски генерисање и складишти јаке лозинке за сваку локацију појединачно, али морате да запамтите само једну главна лозинка. Онлајн менаџер ЛастПасс Пассворд, на пример, тврди да он није подвргнут Хеартблеед угрожености, а корисници не могу да мењају своју главну лозинку. Поред ЛастПасс, препоручујемо обраћају пажњу на такве доказаних решења као што су РобоФорм, Дасхлане и 1Пассворд.

Поред тога, препоручујемо да користите потврду идентитета на два корака год је то могуће (Гмаил-Дропбок и Еверноте већ га подржава) - онда када овлашћење, поред лозинке, сервис ће тражити једнократну кодом који се даје у посебној мобилне апликације или шаљу путем СМС-а. У овом случају, чак и ако је украден лозинка, нападач не може једноставно користити за пријаву.