KKK: Mis on Heartbleed haavatavust ja kuidas kaitsta end selle
Tehnikaülikool / / December 19, 2019
Hiljuti avastati haavatavust OpenSSL protokolli dubleeritud Heartbleed ja isegi oma logo, kannab potentsiaalset ohtu kasutaja parooli erinevaid veebisaite. Me otsustasime, et oodata hype ümber ja rääkida, kui nii võib öelda, et kuiv jääk.
See aitab meil populaarne väljaanne CNET, mis kogutud korduma kippuvad küsimused selle teema kohta. Loodame, et järgmine teave aitab teil rohkem teada Heartbleed ja kaitsta ennast. Esiteks, pea meeles, et kuupäeva Heartbleed probleem ei ole lahendatud täielikult.
Mis on Heartbleed?
Heartbleed - turvaauke OpenSSL tarkvara raamatukogu (avatud rakendamise SSL / TLS krüpteerimisprotokolli), mis võimaldab häkkeritel pääseda juurde mälu serverid, mis sel ajal võib olla privaatseid andmeid erinevate kasutajate Veebiteenuseid. Vastavalt uuringute firma Netcraft, selle haavatavuse võivad kokku puutuda umbes 500.000 veebilehed.
See tähendab, et nendel saitidel potentsiaalselt ohustatud olid kasutajate isikuandmete nagu kasutajanimed, paroolid, krediitkaardi andmed jne
Haavatavuse võimaldab ründajad digitaalse võtmed, mida kasutatakse näiteks krüpteerimiseks kirjavahetus ja sisedokumendid erinevaid ettevõtteid.
Mis on OpenSSL?
Alustame SSL protokolli, mis tähistab Secure Sockets Layer (Secure Sockets Layer). Ta on tuntud ka oma uue nime TLS (Transport Layer Security). Täna on üks levinumaid meetodeid andmete krüpteerimise võrgustik, mis kaitseb teid võimaliku "luurad" on osa. (Https alguses link näitab, et suhtlus brauseri ja avada see sait kasutab SSL, muidu näed brauseris lihtsalt http).
OpenSSL - SSL rakendamine avatud lähtekoodiga tarkvara. Turvaaukude allutati protokolli versiooni 1.0.1 kuni 1.0.1f. OpenSSL kasutatakse ka Linux operatsioonisüsteem, see on osa kaks kõige populaarsem veebiserver Apache ja nginx, mis "töötab" suur osa interneti. Lühidalt, ulatust OpenSSL on tohutu.
Kes leidis vea?
See väärtus kuulub ettevõtte töötajad Codenomicon, tegeleb arvuti turvalisuse ja töötajate Google uurija Niiluse Meta (Neel Mehta), kes avastas turvaaukude üksteisest sõltumatult, sõna otseses mõttes üks päev.
Meta annetatud tasu 15 tuhat. dollarit. avastamiseks veast kampaania arendamiseks krüpteerimise vahendeid ajakirjanikud töötavad teabeallikaid, mis võtab vaba ajakirjandus Foundation (ajakirjandusvabaduse Foundation). Meta jätkuvalt keelduda intervjuu, kuid tema tööandja, Google, andis järgmised kommentaar: "ohutust meie kasutajatele on meie kõrgeim prioriteet. Otsime pidevalt turvaauke ning julgustada kõiki neid esitada võimalikult kiiresti, et saaksime neid parandada, enne kui nad saavad teada, et ründajad. "
Miks Heartbleed?
Nimi võeti kasutusele Heartbleed Ossie Gerraloy (Ossi Herrala), süsteemiadministraator Codenomicon. See on rohkem harmooniline kui tehniline nimi CVE-2014-0160, selle haavatavuse arvust sisaldavad oma rida koodi.
Heartbleed (sõna otseses mõttes - "verejooks südamed") - sõnamäng, mis sisaldavad viidet laienemine OpenSSL nimega "südamelööke" (südamepekslemine). Protokolli hoida ühendust avatud, isegi kui osalejate vahel ei vaheta andmeid. Gerrala leidis, et Heartbleed täiesti olemust kirjeldab haavatavust, mis võimaldas lekke tundlike andmete mälust.
Nimi tundub olevat üsna edukas viga, ja see ei ole juhus. Codenomicon meeskond teadlikult kasutada eufooniliste (press) nimi, mis aitaks nii palju kui võimalik nii kiiresti kui võimalik teatama inimesi haavatavuse leitud. Andes sellele nime viga, Codenomicon varsti ostetud domeeni Heartbleed.com, mis käivitas saidi juurdepääsetavas vormis rääkimine Heartbleed.
Miks mõned saidid ei mõjuta Heartbleed?
Hoolimata populaarsuse OpenSSL, on ka teisi SSL / TLS rakendamise. Lisaks on mõned saidid kasutavad varasema versiooni OpenSSL, mis seda viga puudub. Ja mõned ei sisaldanud südamelöökide funktsioon, mis on allikas haavatavust.
Osaliselt vähendada võimalikku kahju kasutab PFS (täiuslik edasi hoidmise - täiesti sirge hoidmise), Property SSL-protokolli, mis tagab, et kui ründaja mälust ekraanile server üks turvalisuse võti, ta ei saa dekodeerida kõik liikluse ja juurdepääsu ülejäänud võtmed. Paljud (aga mitte kõik) ettevõtted juba kasutavad PFS - näiteks Google ja Facebook.
Kuidas Heartbleed?
Turvaaukude ründaja pääseda serverile 64 kilobaiti mälu ja sooritada rünnak uuesti ja uuesti, kuni täielik andmete kadu. See tähendab, et mitte ainult lekkima kasutajanimesid ja paroole, kuid küpsise andmete veebiserveri ja saite kasutada jälgida kasutaja tegevust ja lihtsustada loa. Organisatsioon Electronic Frontier Foundation väidab, et perioodilised rünnakud võivad anda juurdepääs nii tõsisem teavet, näiteks era sait krüptovõtmetele kasutada krüpteerimist liiklust. Kasutades seda võtit, võib ründaja paroodia originaal kohas ja varastada kõige erinevaid isikuandmeid, näiteks krediitkaardi numbreid või erakirjavahetuse.
Kas ma peaksin muutma oma parooli?
Erinevatel saitidel vastata "jah". KUID - see on parem oodata sõnum manustamiskoha, et selle haavatavuse on kõrvaldatud. Loomulikult oma esimene reaktsioon - Change kõik paroolid kohe, kuid kui haavatavust ka mõned saidid ei puhastata, muutus parooli mõttetu - ajal, mil haavatavust on laialt tuntud, et te ainult suurendada võimalusi ründaja teada endale parool.
Kuidas ma tean, milline saidid sisaldavad turvaaukude ja on see fikseeritud?
On mitmeid vahendeid, et kontrollida internetist haavatavust ja teatas oma olemasolu / puudumine. soovitame ressurss Firma LastPass, tarkvara arendaja parooli juhtimine. Kuigi see annab üsna selge vastus küsimusele, kas ta on haavatav või selle saidi arvate auditi tulemused ettevaatusega. Kui haavatavust saidi täpselt leitud - püüdke mitte külastada seda.
Loetelu populaarsemaid saite avatud turvaaukude saab ka uurida link.
Kõige tähtsam enne muutuvas parooli - saada ametliku kinnituse manustamiskoha, mis avastati heartbleed, et ta oli juba kõrvaldatud.
Paljud firmad on juba avaldatud asjakohased märked nende blogisid. Kui seal ei ole - ärge kartke saata, toetust.
Kes vastutab välimus haavatavust?
Vastavalt ajalehe Guardian nimi on kirjutatud "lollakas" programmeerija koodi - Zeggelman Robin (Robin Seggelmann). Ta töötas projekti OpenSSL protsessis saada doktorikraadi 2008-2012. Dramaatiline olukord suurendab asjaolu, et kood on saadetud hoidla 31 detsember, 2011 kell 23:59, kuigi Zeggelman Ta väidab, et see ei ole tähtis, "Ma olen vastutab viga, kui ma kirjutasin kood ja tegi kõik vajalikud kontrolli. "
Samal ajal, kuna OpenSSL - avatud lähtekoodiga projekt, see on raske süüdistada viga keegi üks. Projekti kood on keeruline ja sisaldab palju keerulisi funktsioone ja spetsiaalselt Heartbeat - ei ole kõige olulisem neist.
Kas on tõsi, et kurat Riigidepartemangu USA valitsus kasutada Heartbleed spioon kaks aastat enne reklaami?
Ei ole selge. Tuntud uudisteagentuur Bloomberg teatas, et see on nii, kuid see läheb kõik NSA eitab. Sõltumata on tõsi - Heartbleed on endiselt ohus.
Kas ma peaksin muretsema minu pangakontole?
Enamik pangad ei kasuta OpenSSL, eelistades krüptimiseks lahendus. Aga kui sa vaevavad kahtlused - lihtsalt ühendust oma pangaga ja paluda neil asjakohane küsimus. Igal juhul on parem jälgida olukorra arengut ja ametlike aruannete pankadest. Ja ärge unustage, et hoida silma peal tehingute kontol - puhul tehingute võõras teile, võtta asjakohaseid meetmeid.
Kuidas ma tean, kas kasutada juba Heartbleed häkkerite varastada minu isikuandmeid?
Kahjuks ei - kasutada selle haavatavuse ei jäta jälgi server logib sissetungija aktiivsus.
Kas kasutada programmi salvestada paroolid ja mida?
Ühelt poolt, Heartbleed taas tekib küsimus, väärtus tugev parool. Selle tagajärjel massi muutus paroole, võite küsida, kuidas saab isegi suurendada oma turvalisust. Muidugi parooli juhid usaldavad assistentide antud juhul - nad saavad automaatselt luua ja säilitada tugevaid paroole iga saidi individuaalselt, kuid teil on vaja meeles pidada vaid üks master parool. Online LastPass parooli manager, näiteks nõuab, et ta ei ole läbinud Heartbleed haavatavust ja kasutajad ei saa muuta oma master parool. Lisaks LastPass soovitame pöörata tähelepanu selliste tõestatud lahendusi nagu RoboForm, Dashlane ja 1Password.
Lisaks soovitame kasutada kaheastmelist autentimise võimaluse (Gmail, Dropbox ja Evernote juba toetavad seda) - siis kui loa, lisaks parool teenuse küsib ühekordse koodi, mis on antud teile erilise mobiilirakenduse või saadetakse läbi SMS. Sel juhul, isegi kui teie parool on varastatud, ründaja ei saa lihtsalt kasutada seda sisselogimiseks.