Heartbleed Εξηγεί γιατί πρέπει να αλλάξετε τους κωδικούς σας τώρα
Η τελευταία φορά που σας ειδοποιήσαμε για σοβαρή παραβίαση ασφαλείας ήταν όταν η βάση δεδομένων των κωδικών πρόσβασης της Adobe διακυβεύτηκε, θέτοντας σε κίνδυνο εκατομμύρια χρήστες (ειδικά εκείνους με αδύναμους και συχνά επαναχρησιμοποιούμενους κωδικούς πρόσβασης). Σήμερα σας προειδοποιούμε για ένα πολύ μεγαλύτερο πρόβλημα ασφάλειας, το Heartbleed Bug, το οποίο έχει δυνητικά συμβιβάσει ένα εκπληκτικό 2 / 3rds των ασφαλών ιστοσελίδων στο διαδίκτυο. Πρέπει να αλλάξετε τους κωδικούς πρόσβασής σας και πρέπει να αρχίσετε να το κάνετε τώρα.
Σημαντική σημείωση: Το How-To Geek δεν επηρεάζεται από αυτό το σφάλμα.
Τι είναι το Heartbleed και γιατί είναι τόσο επικίνδυνο?
Στην τυπική παραβίαση ασφαλείας, εκτίθενται οι εγγραφές χρήστη / κωδικοί πρόσβασης μιας εταιρείας. Αυτό είναι φοβερό όταν συμβαίνει, αλλά είναι μια απομονωμένη υπόθεση. Η εταιρεία X έχει παραβιάσει την ασφάλεια, προειδοποιεί τους χρήστες και οι άνθρωποι σαν εμάς υπενθυμίζουν σε όλους ότι ήρθε η ώρα να αρχίσουν να εξασκούν καλή υγιεινή ασφάλειας και να ενημερώσουν τους κωδικούς τους. Αυτές, δυστυχώς, τυπικές παραβιάσεις είναι αρκετά κακές όπως είναι. Το Heartbleed Bug είναι κάτι πολύ, πολύ, χειρότερος.
Το Heartbleed Bug υπονομεύει το πολύ κρυπτογραφημένο σύστημα που μας προστατεύει ενώ στέλνουμε μηνύματα ηλεκτρονικού ταχυδρομείου, τράπεζα και αλλιώς αλληλεπιδρούμε με ιστότοπους που πιστεύουμε ότι είναι ασφαλείς. Ακολουθεί μια απλή αγγλική περιγραφή της ευπάθειας από την Codenomicon, την ομάδα ασφαλείας που ανακάλυψε και προειδοποίησε το κοινό στο σφάλμα:
Το Heartbleed Bug είναι μια σοβαρή ευπάθεια στη δημοφιλή βιβλιοθήκη λογισμικού κρυπτογράφησης OpenSSL. Αυτή η αδυναμία επιτρέπει την απόκρυψη των προστατευμένων πληροφοριών υπό κανονικές συνθήκες από την κρυπτογράφηση SSL / TLS που χρησιμοποιείται για τη διασφάλιση του Internet. Το SSL / TLS παρέχει ασφάλεια επικοινωνίας και ιδιωτικότητα μέσω του Διαδικτύου για εφαρμογές όπως web, email, instant messaging (IM) και μερικά εικονικά ιδιωτικά δίκτυα (VPN).
Το σφάλμα Heartbleed επιτρέπει σε οποιονδήποτε στο Διαδίκτυο να διαβάσει τη μνήμη των συστημάτων που προστατεύονται από τις ευάλωτες εκδόσεις του λογισμικού OpenSSL. Αυτό υπονομεύει τα μυστικά κλειδιά που χρησιμοποιούνται για τον εντοπισμό των παρόχων υπηρεσιών και την κρυπτογράφηση της κυκλοφορίας, των ονομάτων και των κωδικών πρόσβασης των χρηστών και του πραγματικού περιεχομένου. Αυτό επιτρέπει στους επιτιθέμενους να παρακολουθούν τις επικοινωνίες, να κλέβουν δεδομένα απευθείας από τις υπηρεσίες και τους χρήστες και να μιμούνται τις υπηρεσίες και τους χρήστες.
Αυτό ακούγεται πολύ κακό, ναι; Ακούγεται ακόμα χειρότερο όταν αντιλαμβάνεστε ότι περίπου τα δύο τρίτα όλων των ιστότοπων που χρησιμοποιούν SSL χρησιμοποιούν αυτήν την ευάλωτη έκδοση του OpenSSL. Δεν μιλάμε για ιστότοπους μικρού χρονικού διαστήματος, όπως φόρουμ θερμής ράβδου ή τοποθεσίες ανταλλαγής παιχνιδιών με συλλεκτικές κάρτες, μιλάμε για τράπεζες, εταιρείες πιστωτικών καρτών, μεγάλες επιχειρήσεις λιανικής πώλησης και παρόχους ηλεκτρονικού ταχυδρομείου. Ακόμα χειρότερο, αυτή η ευπάθεια βρίσκεται σε άγρια κατάσταση για περίπου δύο χρόνια. Αυτό είναι δύο χρόνια κάποιος με τις κατάλληλες γνώσεις και δεξιότητες θα μπορούσε να χτυπήσει τα διαπιστευτήρια σύνδεσης και τις ιδιωτικές επικοινωνίες μιας υπηρεσίας που χρησιμοποιείτε (και, σύμφωνα με τις δοκιμές που διεξήγαγε ο Codenomicon, να το κάνει χωρίς ίχνος).
Για ακόμα καλύτερη απεικόνιση του πώς λειτουργεί το σφάλμα Heartbleed. διαβάστε αυτό το κόμικ xkcd.
Παρόλο που καμία ομάδα δεν έχει προσέλθει για να παραπλανήσει όλα τα διαπιστευτήρια και τις πληροφορίες που σιφωνίζονται με την εκμετάλλευση, σε αυτό το σημείο του παιχνιδιού πρέπει να υποθέσετε ότι τα διαπιστευτήρια σύνδεσης για τις ιστοσελίδες που συχνάζουν έχουν παραβιαστεί.
Τι να κάνετε Post Bug Heartbleed
Οποιαδήποτε πλειοψηφία παραβιάσεων ασφαλείας (και αυτό ασφαλώς πληροί σε μεγάλη κλίμακα) απαιτεί από εσάς να αξιολογήσετε τις πρακτικές διαχείρισης κωδικού πρόσβασης. Δεδομένης της ευρείας εμβέλειας του Heartbleed Bug, αυτή είναι η ιδανική ευκαιρία να αναθεωρήσετε ένα σύστημα διαχείρισης κωδικών πρόσβασης που ήδη λειτουργεί με ομαλή λειτουργία ή, αν έχετε τραβήξει τα πόδια σας,.
Πριν αρχίσετε να αλλάζετε αμέσως τους κωδικούς σας, πρέπει να γνωρίζετε ότι η ευπάθεια είναι μόνο patched εάν η εταιρεία έχει αναβαθμίσει τη νέα έκδοση του OpenSSL. Η ιστορία έσπασε τη Δευτέρα και αν βιάζεστε να αλλάξετε αμέσως τους κωδικούς σας σε κάθε τοποθεσία, οι περισσότεροι από αυτούς θα εξακολουθούσαν να τρέχουν την ευάλωτη έκδοση του OpenSSL.
Τώρα, στα μέσα της εβδομάδας, οι περισσότεροι ιστότοποι έχουν ξεκινήσει τη διαδικασία ενημέρωσης και από το Σαββατοκύριακο είναι εύλογο να υποθέσουμε ότι η πλειοψηφία των ιστότοπων υψηλού προφίλ θα έχουν αλλάξει.
Μπορείτε να χρησιμοποιήσετε εδώ τον έλεγχο Heartbleed Bug για να διαπιστώσετε εάν το θέμα ευπάθειας είναι ακόμα ανοιχτό ή ακόμη και αν ο ιστότοπος δεν ανταποκρίνεται σε αιτήματα από το προαναφερθέν πλέγμα, μπορείτε να χρησιμοποιήσετε τον έλεγχο ημερομηνίας SSL του LastPass για να δείτε αν ο συγκεκριμένος διακομιστής ενημέρωσε Πιστοποιητικό SSL πρόσφατα (αν το ενημέρωσαν μετά τις 4/7/2014, είναι καλός δείκτης ότι έχουν τροποποιήσει την ευπάθεια.) Σημείωση: εάν εκτελέσετε το howtogeek.com μέσω του προγράμματος ελέγχου σφαλμάτων, θα επιστρέψει ένα σφάλμα επειδή δεν χρησιμοποιούμε την κρυπτογράφηση SSL και επιβεβαιώσαμε επίσης ότι οι διακομιστές μας δεν εκτελούν κανένα σχετικό λογισμικό.
Τούτου λεχθέντος, φαίνεται ότι αυτό το Σαββατοκύριακο διαμορφώνεται για να είναι ένα καλό Σαββατοκύριακο για να πάρει σοβαρά για την ενημέρωση των κωδικών πρόσβασης σας. Πρώτον, χρειάζεστε ένα σύστημα διαχείρισης κωδικού πρόσβασης. Ανατρέξτε στον οδηγό μας για να ξεκινήσετε με το LastPass για να ρυθμίσετε μία από τις πιο ασφαλείς και ευέλικτες επιλογές διαχείρισης κωδικών πρόσβασης. Δεν χρειάζεται να χρησιμοποιήσετε το LastPass, αλλά χρειάζεστε κάποιο είδος συστήματος που θα σας επιτρέψει να παρακολουθείτε και να διαχειρίζεστε έναν μοναδικό και ισχυρό κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεστε.
Δεύτερον, πρέπει να αρχίσετε να αλλάζετε τους κωδικούς πρόσβασής σας. Το περίγραμμα διαχείρισης κρίσεων στον οδηγό μας, Πώς να ανακτήσετε μετά τον κωδικό σας ηλεκτρονικού ταχυδρομείου είναι συμβιβασμένος, είναι ένας πολύ καλός τρόπος για να διασφαλίσετε ότι δεν θα χάσετε κανέναν κωδικό πρόσβασης. υπογραμμίζει επίσης τα βασικά στοιχεία της καλής υγιεινής κωδικού πρόσβασης, που αναφέρονται εδώ:
- Οι κωδικοί πρόσβασης πρέπει πάντα να είναι μεγαλύτεροι από το ελάχιστο που επιτρέπει η υπηρεσία. Εάν η συγκεκριμένη υπηρεσία επιτρέπει κωδικούς πρόσβασης 6-20 χαρακτήρων, πηγαίνετε για τον μακρύτερο κωδικό πρόσβασης που μπορείτε να θυμάστε.
- Μην χρησιμοποιείτε λέξεις λεξικού ως μέρος του κωδικού πρόσβασής σας. Ο κωδικός σας πρέπει να είναι ποτέ να είναι τόσο απλό που μια στρογγυλή σάρωση με ένα αρχείο λεξικού θα το αποκαλύψει. Ποτέ μην συμπεριλάβετε το όνομά σας, μέρος της σύνδεσης ή του ηλεκτρονικού ταχυδρομείου ή άλλα εύκολα αναγνωρίσιμα στοιχεία όπως το όνομα της εταιρείας σας ή το όνομα του δρόμου. Αποφύγετε επίσης τη χρήση κοινών συνδυασμών πληκτρολογίων όπως "qwerty" ή "asdf" ως μέρος του κωδικού πρόσβασής σας.
- Χρησιμοποιήστε φράσεις πρόσβασης αντί κωδικών πρόσβασης. Αν δεν χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης για να θυμάστε πραγματικά τυχαίους κωδικούς πρόσβασης (ναι, συνειδητοποιούμε ότι ασκούμε πραγματικά την ιδέα της χρήσης ενός διαχειριστή κωδικών πρόσβασης) τότε μπορείτε να θυμηθείτε ισχυρότερους κωδικούς πρόσβασης μετατρέποντάς τους σε φράσεις πρόσβασης. Για τον λογαριασμό σας στο Amazon, για παράδειγμα, θα μπορούσατε να δημιουργήσετε τη φράση πρόσβασης "θυμάμαι να διαβάζω βιβλία" εύκολα και στη συνέχεια να το κρίνετε σε έναν κωδικό πρόσβασης όπως "! Luv2ReadBkz". Είναι εύκολο να το θυμηθεί και είναι αρκετά ισχυρό.
Τρίτον, όποτε είναι δυνατόν, θέλετε να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων. Μπορείτε να διαβάσετε περισσότερα για τον έλεγχο ταυτότητας δύο παραγόντων εδώ, αλλά με λίγα λόγια σας επιτρέπει να προσθέσετε ένα επιπλέον επίπεδο αναγνώρισης στα στοιχεία σύνδεσης.
Με το Gmail, για παράδειγμα, ο έλεγχος ταυτότητας δύο παραγόντων απαιτεί να μην έχετε μόνο την ταυτότητα και τον κωδικό πρόσβασής σας αλλά την πρόσβαση στο κινητό τηλέφωνο που είναι εγγεγραμμένο στο λογαριασμό σας στο Gmail, ώστε να μπορείτε να αποδεχτείτε έναν κωδικό μηνύματος κειμένου που θα εισάγετε όταν συνδέεστε από έναν νέο υπολογιστή.
Με την ενεργοποίηση ταυτότητας δύο παραγόντων, είναι πολύ δύσκολο για κάποιον που έχει αποκτήσει πρόσβαση στο όνομα χρήστη και τον κωδικό πρόσβασής σας (όπως θα μπορούσαν με το Heartbleed Bug) να έχει πρόσβαση στον λογαριασμό σας.
Τα τρωτά σημεία ασφαλείας, ειδικά αυτά που έχουν τόσο μεγάλες συνέπειες, δεν είναι ποτέ διασκεδαστικά, αλλά μας δίνουν την ευκαιρία να σφίξουμε τις πρακτικές των κωδικών πρόσβασης και να διασφαλίσουμε ότι οι μοναδικοί και ισχυροί κωδικοί πρόσβασης θα κρατήσουν τη ζημιά όταν εμφανιστεί,.