Important note: How-To Geek is not affected by this bug.
Kas išgydoma ir kodėl taip pavojinga?
Jūsų tipiškame saugumo pažeidime atskleidžiami vieno vartotojo įrašai / slaptažodžiai. Tai baisu, kai tai atsitiks, bet tai yra atskiras reikalas. Bendrovė X turi saugumo pažeidimą, įspėja savo vartotojus, o žmonės, kurie mums patinka, primena visiems, kad laikas pradėti gerą saugumo higieną ir atnaujinti savo slaptažodžius. Deja, tipiniai pažeidimai yra pakankamai blogi, kaip yra. "Heartbleed Bug" yra kažkas daug,daug blogiau.
"Heartbleed Bug" pažeidžia labai kodavimo schemą, kuri saugo mus, kol mes siunčiame el. Paštą, banką ir kitaip sąveikaujame su svetainėmis, kurios, mūsų manymu, yra saugios. Čia pateikiamas paprastas-anglų aprašymas apie pažeidžiamumą iš "Codenomicon", saugumo grupės, kuri aptiko ir įspėjo visuomenę apie klaidą:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Tai skamba gana blogai, taip? Tai atrodo dar blogiau, kai apytikriai du trečdaliai visų svetainių, naudojančių SSL, naudoja šią pažeidžiamą "OpenSSL" versiją. Mes nekalbu mažų laiko svetainių, tokių kaip karštų lazdelių forumai ar kolekcionuojamų kortų žaidimų apsikeitimo svetainės, mes kalbame apie bankus, kreditinių kortelių bendroves, didžiausius elektroninius mažmenininkus ir el. Pašto paslaugų teikėjus. Dar blogiau, šis pažeidžiamumas buvo laukinių maždaug dvejus metus. Tai dvejus metus asmuo, turintis reikiamų žinių ir įgūdžių, galėjo pasinaudoti naudojamos paslaugos prisijungimo duomenimis ir privačiais pranešimais (ir pagal Codenomicon atliktus tyrimus, tai daro be pėdsakų).
Dar geriau parodyti, kaip veikia "Heartbleed" klaida. skaitykite šį xkcd komiksą.
Ką daryti po širdies klaidą
Bet kokia dauguma saugumo pažeidimų (ir tai, be abejo, atitinka didelę reikšmę), reikia įvertinti jūsų slaptažodžių valdymo praktiką. Atsižvelgiant į "Heartbleed Bug" platų pasiekiamumą, tai yra puiki galimybė peržiūrėti jau sklandžiai veikiančią slaptažodžių valdymo sistemą arba, jei jūs vilkėte kojas, nustatykite vieną.
Prieš pasinerdami nedelsdami pakeisdami savo slaptažodžius, turėtumėte žinoti, kad pažeidžiamumas yra tik pataisytas, jei įmonė atnaujinta į naują "OpenSSL" versiją. Pirmadienį ši istorija nutrūko, o jei paspartėjo iš karto keisti savo slaptažodžius kiekvienoje svetainėje, dauguma iš jų vis tiek naudotų pažeidžiamą OpenSSL versiją.
Dabar viduriniosios savaitės metu dauguma svetainių pradėjo atnaujinimo procesą ir savaitgalį pagrįstai manysime, kad dauguma didelės apimties interneto svetainių bus perjungiamos.
Čia galite pasinaudoti "Heartbleed" klaidų tikrinimo priemone, jei norite sužinoti, ar pažeidžiamumas vis dar yra atidarytas, arba net jei svetainė neatsako į užklausas iš pirmiau minėto tikrintojo, galite naudoti "LastPass" SSL datos tikrinimo priemonę, kad sužinotumėte, ar atitinkamas serveris atnaujino savo SSL sertifikatas neseniai (jei jie atnaujino ją po 2013-04/7, tai yra geras rodiklis, kad jie patobulino pažeidžiamumą.) Pastaba: jei paleisite "howtogeek.com" per klaidų tikrinimo priemonę, ji grąžins klaidą, nes mes pirmiausia nesinaudosime SSL šifravimu, taip pat patvirtinsime, kad mūsų serveriuose nėra jokios paveiktos programinės įrangos.
Tačiau sakoma, kad atrodo, kad šį savaitgalį renginys tampa geru savaitgaliu, kad rimtai pasikalbėti apie slaptažodžių atnaujinimą. Pirma, jums reikia slaptažodžių valdymo sistemos. Peržiūrėkite mūsų vadovą, kaip pradėti naudoti "LastPass", kad sukurtumėte vieną iš saugiausių ir lanksčių slaptažodžių valdymo pasirinkčių. Jums nereikia naudoti "LastPass", bet jums reikia tam tikros sistemos, kuri leistų jums stebėti ir valdyti unikalų ir patikimą slaptažodį kiekvienai svetainėje, kurioje lankotės.
Antra, jums reikia pradėti keisti savo slaptažodžius. Mūsų vadovo krizių valdymo koncepcija, kaip atkurti po to, kai jūsų el. Pašto slaptažodis yra pažeistas, yra puikus būdas užtikrinti, kad nepraleidžiate jokių slaptažodžių; taip pat pabrėžiami gero slaptažodžio higienos pagrindai, cituojami čia:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Trečia, kai tik įmanoma, norite įgalinti dviejų veiksnių autentifikavimą. Čia galite sužinoti daugiau apie dviejų veiksnių autentifikavimą, bet trumpai tai leidžia pridėti papildomą identifikavimo sluoksnį prie prisijungimo.
Pavyzdžiui, naudodamiesi "Gmail" dviejų veiksnių autentiškumo nustatymu, turite turėti ne tik savo prisijungimo vardą ir slaptažodį, bet ir prieigą prie "Gmail" paskyroje įregistruoto mobiliojo telefono, kad galėtumėte priimti teksto pranešimo kodą, kurį norite įvesti prisijungdami iš naujo kompiuterio.
Dviejų veiksnių autentiškumo įjungimas tampa labai sunku tiems, kurie turi prieigą prie jūsų prisijungimo vardo ir slaptažodžio (kaip jie galėjo su "Heartbleed Bug") pasiekti jūsų paskyrą.
Saugumo pažeidžiamumai, ypač tokie tolimos pasekmės, niekada nėra įdomios, tačiau tai suteikia mums galimybę sugriežtinti slaptažodžių naudojimo praktiką ir užtikrinti, kad unikalūs ir saugūs slaptažodžiai išsaugotų žalą, kai ji įvyktų.
