Gandrīz 70 procenti interneta trafika tiek izmantoti OpenSSL lai nodrošinātu datu pārsūtīšanu. Tas nozīmē, ka gandrīz visi lielākie serveri (lasīt: vietnes) izmanto OpenSSL, lai nodrošinātu jūsu datus, piemēram, pieteikšanās datus. Tomēr kāds no Google atklāja OpenSSL kļūdu - neliela programmēšanas kļūda, bet pietiekami liela, lai dotu jūsu datus hakeriem - cilvēki, kuri vēlas izmantot jūsu datus saviem nolūkiem. Šī OpenSSL kļūda ir nosaukta Sirdis jo tas ir cieši saistīts ar kādu OpenSLL sirdsdarbības slāni.
Kas ir Heartbleed Bug
"Heartbleed Bug" ir jāuztraucas gandrīz visām interneta vietnēm, kas darbojas komerciālās tīmekļa vietnēs, un dažiem citiem veidiem. Šī programmēšanas kļūda ļauj hakeriem pārbaudīt jebkurā serverī, kurā tiek izmantots OpenSSL, un lasīt / saglabāt / izmantot nešifrētos datus (atšifrētus datus). Hakeri tagad var piekļūt ne tikai jūsu datiem, bet arī reproducēt tīmekļa vietnes sertifikātu, padarot internetu par vēl bīstamāku vietu. Ar tīmekļa vietnes sertifikāta kopiju hakeri var izveidot mīmikas vietnes: vietnes, kas izskatās līdzīgas sākotnējām vietnēm. Ar to viņi var turpināt piekļūt saviem datiem, piemēram, kredītkartes datiem, personas datiem utt.
Skaņas ir biedējošas, vai ne? Tas ir - patiešām -, jo tas var piekļūt jūsu informācijai un šo informāciju var izmantot jebkura mērķa sasniegšanai.
Piezīme: "Heartbleed" ir arī koda nosaukums CVE-2014-0160. CVE apzīmē kopējās neaizsargātības un ekspozīcijas. Šie kodi, kas saistīti ar ievainojamību utt., Ir MITER, neatkarīga iestāde, kas uztur bugu un līdzīgu problēmu ierakstus.
Vai man vajadzētu uzlabot savu Anti-Virus vai kaut ko
OpenSSL nopelna kļūda nav saistīta ar jūsu pretvīrusu vai ugunsmūri. Tas nav klienta puses jautājums, tāpēc jūs varat mazliet to darīt. No otras puses, serveriem jāpielieto ielāps OpenSSL sistēmai, kuru tās izmanto. To darot, var teikt, ka tīmekļa vietne ir drošāka mijiedarbībai.
Kā rīkoties kā lietotājam, ir jāsamazina tirdzniecības apmeklējumu skaits un līdzīgas vietnes. Tas nenozīmē, ka kļūda ietekmē tikai komercijas vietnes. Tas ir vienāds visiem tīmekļa vietņu veidiem, kas izmanto OpenSSL. Es saku, ka laika gaitā izvairieties no komercijas vietnēm, jo tie būtu galvenais hakeru mērķis, kurš vēlētos, lai jūsu kartes dati utt. Tas nozīmē, ka galvenais hakeru mērķis ir izmantot e-komercijas vietnes, izmantojot OpenSSL.
Kad esat saņēmis ziņojumu / ziņojumu, ka kļūda ir fiksēta, jūs varat turpināt darbu, kā to izmantojāt pirms kļūdas atklāšanas. OpenSSL ir izveidojis plāksteri un ir to izlaidis vietņu īpašniekiem, lai nodrošinātu viņu lietotāju datus. Līdz tam mēģiniet izvairīties no vietnēm, kurās jums ir jādod savi dati jebkurā formā - pat login credentials. Esmu pārliecināts, ka gandrīz visiem tīmekļa pārziņiem ir jāiet pie plākstera, bet joprojām pastāv problēma. Kad esat pārliecināts, ka nav neaizsargātību, vai šādas vājās vietas ir ielādētas, tas varētu būt labs idejas, lai mainītu savas paroles.
Vienlaikus izmantojiet šos pārlūka paplašinājumus, lai brīdinātu jūs par ietekmētajām vietnēm Heartbleed.
Vietņu sertifikāti, kas tiek kopēti, izmantojot Heartbleed, ir jārisina
Pastāv lielas izredzes, ka vietņu drošības sertifikāti, iespējams, ir nokopēti ļaunprātīgu vietņu izveidei. Tā kā drošības sertifikāti kā kopējas kopijas, jūsu pārlūkprogrammas var nenorādīt atšķirību. Tas ir jums, kam jāpaliek piesardzīgiem. Izvairieties noklikšķināt uz saitēm, un tā vietā adreses joslā ierakstiet vietnes URL, lai jūs netiktu novirzīts uz kādu viltus vietni.
Šo problēmu var atrisināt divos veidos:
- Tirgū pieejamās pārlūkprogrammas būtu pietiekami gudras, lai identificētu nokopētos sertifikātus un brīdinātu jūs.
- Tīmekļa pārziņi maina sertifikātus pēc plākstera izmantošanas.
Citiem vārdiem sakot, tas prasīs zināmu laiku, lai ieviestu iepriekš, pat ja tīmekļa pārziņi izmanto plāksteri. Es gribētu atkārtot, ka nespiediet saites e-pastos vai pazīstamajās vietnēs. Vienkārši ierakstiet URL adreses joslā vai, ja sākotnējā vietne ir atzīmēta ar grāmatzīmi, izmantojiet grāmatzīmi.
Sadaļā References (Raksti) šā raksta beigās ir iekļauts nesaprotams ietekmēto vietņu saraksts. Nepabeigts, jo tajā var būt vairāk iesaistīto vietņu.
Atsauces:
- Sirds Bleed: tīmekļa vietne
- OpenSSL: Drošības padoms sirds slimībām
- Git Hub: Affected Websites saraksts.
