Phenquestions
Gandrīz 70 procenti no interneta datplūsmas ir nodarbināti OpenSSL lai nodrošinātu datu pārsūtīšanu. Tas nozīmē, ka gandrīz visi galvenie serveri (lasīt: vietnes) izmanto OpenSSL, lai aizsargātu jūsu datus, piemēram, pieteikšanās akreditācijas datus. Tomēr kāds no Google atklāja OpenSSL kļūdu - nelielu programmēšanas kļūdu, bet pietiekami lielu, lai atdotu jūsu datus hakeriem - cilvēkiem, kuri vēlas izmantot jūsu datus saviem mērķiem. Šī OpenSSL kļūda ir nosaukta Sirsnīgs jo tas ir cieši saistīts ar kādu OpenSLL HeartBeat slāni.
Kas ir Heartbleed Bug
Lielākā daļa serveru pieņem šifrētus datus, tos atšifrē, izmantojot šifrēšanas atslēgas, un pārsūta tos apstrādei. Tā kā lielākā daļa serveru izmanto FIFO (First in First Out) metodi, lai apkalpotu galalietotājus, bieži vien dati (pēc atšifrēšanas) kādu laiku atrodas servera atmiņā, pirms serveris tos uzņem tālākai apstrādei.
The Heartbleed Bug rada bažas gandrīz visām interneta komerciālajām vietnēm un dažiem citiem veidiem. Šī programmēšanas kļūda ļauj hakeriem pārbaudīt jebkuru serveri, kurā tiek izmantots OpenSSL, un nolasīt / saglabāt / izmantot nešifrētus datus (atšifrētus datus). Hakeriem tagad nav tikai piekļuve jūsu datiem, bet viņi var reproducēt vietnes sertifikātu, padarot internetu par vēl bīstamāku vietu. Izmantojot vietnes sertifikāta kopiju, hakeri var izveidot atdarinošas vietnes: vietnes, kas izskatās līdzīgas sākotnējām vietnēm. Tādējādi viņi var piekļūt jūsu datiem, piemēram, kredītkartes datiem, personiskajai informācijai utt.
Izklausās biedējoši, vai ne? Tā patiešām ir, jo tā var piekļūt jūsu informācijai un šo informāciju var izmantot jebkurā nolūkā.
Piezīme: Heartbleed ir arī kods CVE-2014-0160. CVE apzīmē kopēju ievainojamību un iedarbību. Šie kodi bija saistīti ar ievainojamību utt. MITER sniedz neatkarīga organizācija, kas seko līdzi kļūdām un tamlīdzīgiem jautājumiem.
Vai man vajadzētu uzlabot savu pretvīrusu programmu vai kaut ko citu
OpenSSL kļūdai Heartbleed nav nekāda sakara ar jūsu antivīrusu vai ugunsmūri. Šī nav klienta puse, tāpēc jūs varat maz darīt. No otras puses, serveriem ir jāpielieto ielāps OpenSSL sistēmai, kuru tie izmanto. Tas izdarīts, var teikt, ka vietne ir drošāka mijiedarbībai.
Kā lietotājs varat samazināt tirdzniecības un līdzīgu vietņu apmeklējumu skaitu. Nav tā, ka kļūda ietekmē tikai tirdzniecības vietnes. Tas ir vienāds visiem vietņu veidiem, kas izmanto OpenSSL. Es saku, ka kādu laiku izvairieties no tirdzniecības vietnēm, jo tās būtu galvenais mērķis hakeriem, kuri vēlas jūsu kartes datus utt. Tas nozīmē, ka hakeru galvenais mērķis būtu e-komercijas vietnes, kurās tiek izmantota OpenSSL.
Kad esat saņēmis ziņojumu / ziņojumu, ka kļūda ir novērsta, varat turpināt, kā to darījāt pirms kļūdas atklāšanas. OpenSSL ir izveidojis plāksteri un izlaidis to vietņu īpašniekiem, lai aizsargātu viņu lietotāju datus. Līdz tam mēģiniet izvairīties no vietnēm, kurās jebkādā formā ir jāievada dati - pat pieteikšanās akreditācijas dati. Esmu pārliecināts, ka gandrīz visiem tīmekļa pārziņiem ir jāpiedalās plāksterim, taču joprojām pastāv problēma. Kad esat pārliecināts, ka nav ievainojamību vai šādas nepilnības ir ielāpītas, varētu būt ieteicams nomainīt paroles.
Tikmēr izmantojiet šos pārlūka paplašinājumus, lai brīdinātu jūs par ietekmētajām Heartbleed vietnēm.
Ir jārisina vietnes sertifikāti, kas nokopēti, izmantojot Heartbleed
Pastāv lielas iespējas, ka vietņu drošības sertifikāti, iespējams, ir nokopēti ļaunprātīgu vietņu izveidošanai. Tā kā drošības sertifikāti ir vispārīgas kopijas, jūsu pārlūkprogrammas, iespējams, nenosaka atšķirību. Jums ir jāpaliek piesardzīgiem. Izvairieties noklikšķināt uz saitēm un tā vietā adreses joslā ierakstiet vietnes URL, lai netiktu novirzīts uz kādu viltotu vietni.
Šo problēmu var atrisināt divos veidos:
- Pārdošanā esošajām pārlūkprogrammām jābūt pietiekami gudrām, lai identificētu kopētus sertifikātus un brīdinātu jūs.
- Pēc plākstera lietošanas tīmekļa pārziņi maina sertifikātus.
Citiem vārdiem sakot, būs nepieciešams zināms laiks, lai to ieviestu iepriekš, pat ja tīmekļa pārziņi pielieto plāksteri. Es vēlētos atkārtot, ka klikšķi uz saitēm e-pastos vai vietnēs ar labu reputāciju nav. Vienkārši ierakstiet URL adreses joslā vai, ja sākotnējā vietne ir atzīmēta ar grāmatzīmi, izmantojiet grāmatzīmi.
Šī raksta beigās esošajā sadaļā “Atsauces” ir ietverts visaptverošs ietekmēto vietņu saraksts. Nepabeigta, jo var būt vairāk ietekmētu vietņu nekā tur uzskaitītās.
Atsauces:
- Sirds asiņošana: vietne
- OpenSSL: Drošības padoms sirds asiņošanai
- Git Hub: Ietekmēto vietņu saraksts.
