FAQ: Wat is heartbleed kwetsbaarheid en hoe je jezelf te beschermen tegen deze
Van Technologie / / December 19, 2019
Een recent ontdekte kwetsbaarheid in de OpenSSL protocol, genaamd heartbleed, en zelfs uw eigen logo, draagt een potentiële bedreiging voor het wachtwoord van de gebruiker op een verscheidenheid van websites. We besloten te wachten op de hype er omheen en erover praten, om zo te zeggen, in de droge residu.
Dit zal ons helpen om een populaire editie van CNET, waarvan verzamelde een lijst met veelgestelde vragen over dit onderwerp. We hopen dat de volgende informatie zal u helpen om meer te leren over heartbleed en jezelf te beschermen. Allereerst, vergeet niet op de hoogte van heartbleed probleem niet volledig is opgelost.
Wat is heartbleed?
beveiligingsprobleem in OpenSSL softwarebibliotheek (open uitvoering van de SSL / TLS-encryptie-protocol) dat hackers toelaat - heartbleed voor toegang tot de inhoud van het geheugen servers, die op dit moment privé-gegevens van verschillende gebruikers zouden kunnen bevatten Webservices. Volgens onderzoeksbureau Netcraft, kan dit beveiligingslek worden blootgesteld aan ongeveer 500.000 websites.
Dit betekent dat op deze sites mogelijk risico waren de persoonsgegevens van die gebruikers, zoals gebruikersnamen, wachtwoorden, creditcardgegevens, enz.
De kwetsbaarheid maakt het ook mogelijk aanvallers digitale sleutels, die worden gebruikt, bijvoorbeeld voor de encryptie correspondentie en interne documenten in een verscheidenheid van bedrijven.
Wat is OpenSSL?
Laten we beginnen met het SSL-protocol, dat staat voor Secure Sockets Layer (Secure Sockets Layer). Hij is ook bekend onder de nieuwe naam van TLS (Transport Layer Security). Vandaag is het een van de meest voorkomende methoden van data-encryptie in het netwerk die je beschermt tegen mogelijke "spionage" van de kant. (Https aan het begin van de verbinding geeft aan dat de communicatie tussen uw browser en open het in de site maakt gebruik van SSL, anders kun je zult zien in de browser alleen http).
OpenSSL - SSL implementatie van open source software. Kwetsbaarheden werden onderworpen aan een protocol versie 1.0.1 te 1.0.1f. OpenSSL wordt ook gebruikt in de Linux-besturingssysteem, het maakt deel uit van de twee meest populaire webserver Apache en Nginx, die "loopt" een groot deel van het internet. Kortom, de reikwijdte van OpenSSL is enorm.
Wie een bug gevonden?
Deze verdienste behoort tot de werknemers van het bedrijf Codenomicon, omgaan met computerbeveiliging, en personeel Google onderzoeker Nile Meta (Neel Mehta), die kwetsbaarheden onafhankelijk van elkaar ontdekt, letterlijk één dag.
Meta geschonken beloning van 15 duizend. dollars. voor het detecteren van een bug op de campagne voor de ontwikkeling van encryptie gereedschappen voor journalisten het werken met bronnen van informatie, die een vrije pers Foundation (Freedom of the Press Foundation) neemt. Meta blijft voor een onderhoud te weigeren, maar zijn werkgever, Google, gaf het volgende commentaar: "De veiligheid van onze gebruikers is onze hoogste prioriteit. We zijn voortdurend op zoek naar kwetsbaarheden en al aan te moedigen om deze zo snel mogelijk, zodat we ze kunnen oplossen voordat ze bekend zijn aanvallers te melden. "
Waarom heartbleed?
De naam werd bedacht door heartbleed Ossie Gerraloy (Ossi Herrala), de systeembeheerder Codenomicon. Het is meer harmonieuze dan de technische benaming CVE-2014-0160, dit beveiligingslek op lotnummer met zijn lijn van code.
Heartbleed (letterlijk - "bleeding hearts") - een spel op woorden met een verwijzing naar de uitbreiding van OpenSSL genoemd de "heartbeat" (hartkloppingen). Protocol hield de verbinding open, zelfs als tussen de deelnemers geen gegevens uit te wisselen. Gerrala mening dat heartbleed perfect beschrijft de kern van het probleem dat het lekken van gevoelige gegevens uit het geheugen toegestaan.
De naam lijkt zeer succesvol te zijn voor de bug, en dat is geen toeval. Codenomicon team doelbewust gebruikt eufonische (druk) de naam, die zowel zou helpen zo veel mogelijk zo snel mogelijk om mensen te informeren over de kwetsbaarheid gevonden. Waardoor het de naam van de bug, Codenomicon kocht al snel een domein Heartbleed.com, die de site in een toegankelijke vorm vertellen over heartbleed gelanceerd.
Waarom hebben sommige sites niet beïnvloed door heartbleed?
Ondanks de populariteit van OpenSSL, zijn er andere SSL / TLS-implementatie. Bovendien hebben sommige sites maken gebruik van een eerdere versie van de OpenSSL, die deze bug is afwezig. En sommige omvatten geen hartslag functie, dat is een bron van kwetsbaarheid.
Mede om de potentiële schade gebruik maakt van PFS (Perfect Forward Secrecy verminderen - perfect rechte geheimhouding) Bezit van het SSL-protocol, die ervoor zorgt dat indien een aanvaller uit het geheugen server een beveiligingssleutel, zal hij niet in staat zijn om alle verkeer en toegang te decoderen tot de rest van sleutels. Veel (maar niet alle) bedrijven al gebruik van PFS - bijvoorbeeld Google en Facebook.
Hoe werkt heartbleed?
Kwetsbaarheden aanvaller om toegang te krijgen tot de server 64 kilobytes van het geheugen en het uitvoeren van de aanval opnieuw en opnieuw totdat het volledig verlies van gegevens. Dit betekent dat niet alleen gaan lekken gebruikersnamen en wachtwoorden, maar de cookie-gegevens die webservers en sites gebruiken om de activiteit van de gebruiker en te vereenvoudigen toestemming te volgen. De organisatie Electronic Frontier Foundation stelt dat periodieke aanvallen toegang tot zowel kan geven meer serieuze informatie, zoals een eigen website encryptiesleutels gebruikt voor codering verkeer. Met behulp van deze toets kan een aanvaller de oorspronkelijke site spoofen en stelen de meest uiteenlopende vormen van persoonlijke gegevens zoals creditcardnummers of privé-correspondentie.
Moet ik mijn wachtwoord wijzigen?
Voor een verscheidenheid van de sites "ja." MAAR - het is beter om te wachten op het bericht van de plaats van toediening, dat dit beveiligingslek is geëlimineerd. Natuurlijk, je eerste reactie - Change alle wachtwoorden onmiddellijk, maar als kwetsbaarheid bij enkele van de sites zijn niet schoongemaakt, verandering password zinloos - op een moment dat de kwetsbaarheid algemeen bekend, dat je alleen maar vergroten de kans op een aanvaller om te weten uw nieuwe wachtwoord.
Hoe weet ik welke van de sites kwetsbaarheden bevatten en is het vast?
Er zijn verschillende middelen die het internet te controleren op de kwetsbaarheid en gerapporteerd zijn aanwezigheid / afwezigheid. we raden hulpbron Company LastPass, een software-ontwikkelaar van het wachtwoord management. Hoewel het geeft een vrij duidelijk antwoord op de vraag of hij kwetsbaar is of die site, denk aan de resultaten van de audit met de nodige voorzichtigheid. Als de kwetsbaarheid van de site nauwkeurig gevonden - probeer het niet te bezoeken.
Lijst van de meest populaire sites blootgesteld kwetsbaarheden, kunt u ook het verkennen link.
Het allerbelangrijkste voor het wijzigen van het wachtwoord - een officiële bevestiging van de plaats van toediening, die ontdekt werd heartbleed, dat ze al zijn opgeheven te krijgen.
Veel bedrijven hebben al de relevante gegevens gepubliceerd op hun blogs. Als er niet - aarzel dan niet om de zaak aan te ondersteunen.
Wie is verantwoordelijk voor het uiterlijk van de kwetsbaarheid?
Volgens de krant The Guardian, wordt de naam geschreven code "buggy" programmeur - Zeggelman Robin (Robin Seggelmann). Hij werkte aan het project OpenSSL in het proces van het behalen van een doctoraat 2008-2012. Dramatische situatie draagt bij aan het feit dat de code naar de repository, 31 december 2011 is gestuurd om 23:59, hoewel de Zeggelman Hij stelt dat het maakt niet uit, "Ik ben verantwoordelijk voor de fout, zoals ik de code geschreven en deed al het nodige controles. "
Op hetzelfde moment, omdat OpenSSL - een open source project, is het moeilijk om de fout van iemand een schuld. Project code is complex en bevat een groot aantal complexe functies, en in het bijzonder Heartbeat - niet het belangrijkste van hen.
Is het waar dat verdomd State Department De Amerikaanse regering gebruikt heartbleed tot twee jaar te spioneren voor de publiciteit?
Het is niet duidelijk. Bekende persbureau Bloomberg gemeld dat dit het geval is, maar het gaat de hele NSA ontkent. Hoe dan ook, het blijft een feit - heartbleed is nog steeds een bedreiging.
Moet ik me zorgen over mijn bankrekening?
De meeste banken geen gebruik maken van OpenSSL, de voorkeur merkgebonden encryptie-oplossing. Maar als je geplaagd door twijfels - gewoon contact op met uw bank en vraag hen de relevante vraag. In ieder geval is het beter om de ontwikkeling van de situatie, en de officiële rapporten van banken volgen. En vergeet niet om een oogje houden op transacties in uw account te houden - in het geval van transacties onbekend voor je zijn, neem de juiste maatregelen.
Hoe weet ik of er al heartbleed hackers gebruiken om mijn persoonlijke gegevens te stelen?
Helaas, geen - gebruik dit beveiligingslek geen spoor van de server te verlaten logt de indringer activiteit.
Of het nu om het programma te gebruiken om uw wachtwoorden, en wat op te slaan?
Aan de ene kant, heartbleed roept opnieuw de vraag over de waarde van een sterk wachtwoord. Als gevolg van de verandering in massa worden wachtwoorden, kan je je afvragen hoe je zelfs uw veiligheid kunnen vergroten. Natuurlijk zijn password managers vertrouwde assistenten in dit geval - ze kunnen automatisch genereren en opslaan van sterke wachtwoorden voor elke site individueel, maar je moet slechts één te onthouden hoofdwachtwoord. Online LastPass password manager, bijvoorbeeld, staat erop dat hij niet wordt blootgesteld aan heartbleed kwetsbaarheid, en gebruikers kunnen uw hoofdwachtwoord niet wijzigen. In aanvulling op LastPass, raden wij aandacht te besteden aan dergelijke bewezen oplossingen zoals RoboForm, Dashlane en 1Password.
Daarnaast adviseren wij het gebruik van een twee-staps-verificatie waar mogelijk (Gmail, Dropbox en Evernote ondersteunen het al) - toen machtiging, in aanvulling op het wachtwoord, zal de dienst vragen om een eenmalige code die wordt gegeven aan u in een speciale mobiele applicatie of verstuurd via SMS. In dit geval, zelfs als uw wachtwoord wordt gestolen, kan een aanvaller niet alleen gebruiken om in te loggen.