Important note: How-To Geek is not affected by this bug.
Kas ir sirdsklauves un kāpēc tas ir tik bīstami?
Jūsu tipiskajā drošības pārkāpumā tiek atklāti viena uzņēmuma lietotāja ieraksti / paroles. Tas ir šausmīgi, kad tas notiek, bet tas ir izolēts lieta. Uzņēmumam X ir drošības pārkāpums, viņi brīdina savus lietotājus, un cilvēki, kuri tāpat kā mūs, visiem atgādina, ka ir laiks sākt īstenot labu drošības higiēnu un atjaunināt viņu paroles. Diemžēl tipiski pārkāpumi ir pietiekami slikti, kā tas ir. Heartbleed Bug ir kaut kas daudz,daudz sliktāk.
Heartbleed Bug mazina ļoti šifrēšanas shēmu, kas aizsargā mūs, kamēr mēs e-pastu, banku un citādi mijiedarbojamies ar vietnēm, kuras, mūsuprāt, ir drošas. Šeit ir vienkāršs-angļu apraksts par ievainojamību no Codenomicon, drošības grupas, kas atklāja un brīdināja sabiedrību par kļūdu:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Tas izklausās diezgan slikti, jā? Tas izklausās vēl sliktāk, ja jūs saprotat, ka apmēram divas trešdaļas no visām vietnēm, kurās tiek izmantots SSL, izmanto šo neaizsargāto OpenSSL versiju. Mēs nerunājam par mazām vietnēm, piemēram, karsto stieņu forumiem vai kolekcionējamu karšu spēļu mijmaiņas vietnēm, mēs runājam par bankām, kredītkaršu uzņēmumiem, lielākajiem e-mazumtirgotājiem un e-pasta pakalpojumu sniedzējiem. Vēl sliktāk, šī neaizsargātība ir bijusi savvaļā aptuveni divus gadus. Tieši divus gadus kāds ar atbilstošām zināšanām un prasmēm varētu būt izmantojis izmantojamā pakalpojuma pieslēgšanās akreditācijas datus un privātos sakarus (un saskaņā ar Codenomicon veiktajām pārbaudēm, to darot bez pēdām).
Lai vēl labāk ilustrētu to, kā darbojas Heartbleed bug. izlasiet šo xkcd komiksu.
Ko darīt Post Heartbleed Bug
Jebkurš vairākums drošības pārkāpumu (un tas, protams, atbilst liela mēroga prasībām), prasa novērtēt paroles pārvaldības praksi. Ņemot vērā Heartbleed Bug plašo sasniedzamību, tā ir lieliska iespēja pārskatīt jau vienmērīgu paroles vadības sistēmu vai, ja jūs esat velkot kājas, iestatīt vienu augšup.
Pirms peldieties uzreiz, mainot paroles, ņemiet vērā, ka ievainojamība tiek labota tikai tad, ja uzņēmums ir jauninājis jauno OpenSSL versiju. Pirmdiena nojauca stāstu, un, ja jūs steidzās nekavējoties mainīt paroles katrā vietnē, lielākā daļa no tām vēl arvien būtu izmantojuši neaizsargāto OpenSSL versiju.
Tagad, nedēļas vidū, lielākā daļa vietņu ir sākušas atjaunināšanas procesu un līdz nedēļas nogale ir pamatoti uzskatīt, ka vairums augsta līmeņa tīmekļa vietņu būs pārslēgti.
Varat šeit izmantot Heartbleed Bug Checker, lai redzētu, vai neaizsargātība joprojām ir atvērta vai, pat ja vietne nereaģē uz pieprasījumiem no iepriekšminētā pārbaudītāja, varat izmantot LastPass SSL datuma pārbaudītāju, lai redzētu, vai attiecīgais serveris ir atjauninājis savu Nesen (ja viņi to atjaunināja pēc 2014. gada 4. jūlija, tas ir labs rādītājs, ka viņi ir izgājuši neaizsargātību.) Piezīme: ja jūs, izmantojot kļūdu pārbaudītāju, palāsīsiet waytogeek.com, tā atgriež kļūdu, jo mēs vispirms neizmanto SSL šifrēšanu, un mēs esam arī pārliecinājušies, ka mūsu serveros netiek izmantota neviena ietekmētā programmatūra.
Tas nozīmē, ka izskatās, ka šīs nedēļas nogales veidošana ir laba nedēļas nogale, lai nopietni apskatītu paroles. Pirmkārt, jums ir nepieciešama paroles vadības sistēma. Apmeklējiet mūsu ceļvedi, lai sāktu darbu ar LastPass, lai iestatītu vienu no drošākajām un elastīgākajām paroles pārvaldības iespējām. Jums nav jāizmanto LastPass, bet jums ir nepieciešama sava veida sistēma, kas ļaus jums izsekot un pārvaldīt unikālu un drošu paroli katrai apmeklētajai vietnei.
Otrkārt, jums ir jāsāk mainīt savas paroles. Krīzes vadības plāns mūsu ceļvedī Kā atgūt savu e-pasta paroli ir apdraudēta, ir lielisks veids, kā nodrošināt, ka neaizmirstiet nevienu paroli; tajā arī uzsvērti labas parožu higiēnas pamati:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Treškārt, ja vien iespējams, jūs vēlaties iespējot divu faktoru autentifikāciju. Šeit jūs varat uzzināt vairāk par divu faktoru autentifikāciju, bet īsumā tas ļauj jums pieteikšanās sākumam pievienot papildu identifikācijas slāni.
Piemēram, izmantojot Gmail, izmantojot divu faktoru autentifikāciju, jums ir nepieciešams ne tikai jūsu pieteikumvārds un parole, bet arī piekļuve mobilajam tālrunim, kas reģistrēts jūsu Gmail kontā, lai jūs varētu pieņemt īsziņas kodu, kuru ievadīt, piesakoties no jauna datora.
Izmantojot divfaktoru autentifikāciju, tas ļoti apgrūtina to, kurš ir ieguvis piekļuvi jūsu pieteikumvārdam un parolei (piemēram, ar Heartbleed Bug), lai faktiski piekļūtu jūsu kontam.
Drošības neaizsargātība, jo īpaši tādas, kas nodrošina tik lielas sekas, nekad nav jautri, taču tie piedāvā iespēju pastiprināt paroles praksi un nodrošināt, ka unikālas un spēcīgas paroles novērš bojājumus, kad tas notiek.
