FAQ: Co je Heartbleed zranitelnost a jak se chránit od něj

Nedávno objevil zranitelnost v protokolu OpenSSL, přezdívaná Heartbleed, a dokonce i své vlastní logo, s sebou nese potenciální hrozbu pro heslo uživatele na různých webových stránkách. Rozhodli jsme se počkat na humbuk kolem něj a mluvit o tom, tak říkajíc, ve zbytku za sucha.

To nám pomůže populární vydání CNET, která shromážděné seznam často kladených dotazů na toto téma. Doufáme, že tyto informace vám pomohou více dozvědět o Heartbleed a chránit. Za prvé, pamatujte na rande s Heartbleed problém nebyl zcela vyřešen.

Co je Heartbleed?

Heartbleed - zabezpečení OpenSSL knihovny softwaru (open implementaci SSL / TLS šifrování protokol), který umožňuje hackerům přístup k obsahu paměťových serverů, které v tomto bodě by mohly obsahovat soukromá data z různých uživatelů Webové služby. Podle výzkumu firmy Netcraft, tato chyba může být vystaveno asi 500 tisíc webových stránek.

To znamená, že na těchto stránkách mohou být ohroženi jsou osobní údaje těchto uživatelů, jako jsou uživatelská jména, hesla, údaje o kreditní karty atd

Tato chyba zabezpečení umožňuje útočníkům číselných tlačítek, které se používají například pro šifrování korespondenci a interních dokumentů v různých firem.

Co je OpenSSL?

Začněme s protokolem SSL, což je zkratka pro Secure Sockets Layer (Secure Sockets Layer). On je také známý pod svým novým názvem TLS (Transport Layer Security). Dnes je jedním z nejčastějších způsobů šifrování dat v síti, která vás chrání před možným „špehování“ na straně. (Https na začátku odkazu znamená, že komunikace mezi prohlížečem a otevřít jej v místě je pomocí SSL, jinak uvidíte v prohlížeči jen http).

OpenSSL - implementace SSL open source software. Chyby byly podrobeny protokol verze 1.0.1 na 1.0.1f. OpenSSL je také používán v operačním systému Linux, je součástí dvou nejpopulárnější webový server Apache a Nginx, který „běží“ velkou část internetu. Stručně řečeno, rozsah OpenSSL je obrovský.

Kdo našel chybu?

Tato zásluha patří k zaměstnancům firmy Codenomicon, zabývající se počítačové bezpečnosti, a personálního Google výzkumník Nile Meta (Neel Mehta), který objevil zranitelnost nezávisle na sobě, a to doslova jeden den.

Meta darovali odměnu ve výši 15 tisíc. dolarů. pro detekci chyb na kampaň pro rozvoj šifrovacích nástrojů pro novináře pracující s jinými zdroji informací, které trvá svobodný tisk Foundation (svoboda tisku Foundation). Meta nadále odmítá jakýkoli rozhovor, ale jeho zaměstnavatel, Google, poskytla následující poznámku: „Bezpečnost našich uživatelů je naší nejvyšší prioritou. Neustále hledáme pro zranitelnosti a povzbudit všechny, aby je nahlásit co nejdříve, abychom mohli opravit dříve, než se stal známým útočníkům. "

Proč Heartbleed?

Název byl vytvořen Heartbleed Ossie Gerraloy (Ossi Herrala), přičemž Codenomicon správce systému. To je více harmonický než technickým názvem CVE-2014-0160, tuto chybu číslem obsahujícím jeho řádek kódu.

Heartbleed (doslova - „krvácení srdce“) - hra na slova, které obsahují odkaz na rozšíření OpenSSL nazývá „tep“ (palpitace). Protokol držel otevřeného spojení, i když mezi účastníky nemají vyměňovat data. Gerrala za to, že Heartbleed dokonale popisuje podstatu zranitelnost, která umožnila úniku citlivých dat z paměti.

Jméno se zdá být docela úspěšný na chybu, a to není náhoda. Codenomicon tým záměrně používány eufonický (stisknutím) název, který by pomohl jak co nejvíce co nejdříve informovat lidi o zranitelnost nalezena. Což je název chyby, Codenomicon brzy koupil doménu Heartbleed.com, který zahájil místo v přístupné formě vyprávění o Heartbleed.

Proč některé stránky nejsou ovlivněny Heartbleed?

Přes popularitu OpenSSL, existují i ​​jiné implementace SSL / TLS. Kromě toho některé stránky používají starší verze OpenSSL, které tato chyba chybí. A někteří nezahrnovala funkci srdeční, která je zdrojem zranitelnosti.

Částečně omezit potenciální škody využívá PFS (Perfect Forward tajemství - dokonale rovné tajemství), Objekt protokolu SSL, která zajistí, že pokud útočník získat z paměti klíčový bezpečnostní server, nebude schopen dekódovat všechny přenosy a přístup ke zbytku klíče. Mnoho (ale ne všichni) společnosti již používají PFS - například Google a Facebook.

Jak Heartbleed?

Zranitelnosti útočníkovi získat přístup k serveru 64 kilobajtů paměti a provést útok znovu a znovu, dokud úplné ztrátě dat. To znamená, že nejen dojít k úniku uživatelských jmen a hesel, ale data cookie, které webové servery a servery používají ke sledování aktivity uživatelů a zjednodušit registraci. Organizace Electronic Frontier Foundation uvádí, že pravidelné útoky mohou umožnit přístup k oběma vážnější informace, jako jsou soukromé stránky šifrovacích klíčů používaných k šifrování provoz. Tímto klíčem může útočník zfalšovat původní místo a ukrást co nejvíce různých druhů osobních údajů, jako jsou čísla kreditních karet nebo soukromé korespondence.

Měl bych změnit své heslo?

Pro celou řadu míst odpoví „ano“. ALE - je lepší počkat na zprávu od místa podání, že tato chyba zabezpečení byla odstraněna. Samozřejmě, že vaše první reakce - Změnit všechna hesla okamžitě, ale v případě, zranitelnost v některých místech nejsou vyčištěny, změna Heslo nesmyslné - v době, kdy je zranitelnost široce známý, že si jen zvýšit šance na útočník znát váš nový hesla.

Jak mám vědět, která z lokalit obsahují slabá místa a je to opravit?

Existuje několik zdrojů, které kontrolují internet pro zranitelnosti a hlášené jeho přítomnosti / nepřítomnosti. doporučujeme prostředky Společnost LastPass, softwarový vývojář správu hesel. Ačkoli to dává poměrně jasnou odpověď na otázku, zda je zranitelný, nebo že stránky, myslím, že o výsledcích auditu s opatrností. V případě, že zranitelnost webu přesně našel - pokusit se ho navštívit.

Seznam z nejpopulárnějších míst vystavených zranitelnosti, můžete také prozkoumat odkaz.

Nejdůležitější věc, než změna hesla - získat oficiální potvrzení ze serveru pro správu, který byl objeven heartbleed, že ona už byla odstraněna.

Mnoho společností již zveřejnila příslušné položky na svém blogu. Pokud nejsou - neváhejte obrátit na podporu.

Kdo je zodpovědný za objevení zranitelnosti?

Podle deníku Guardian, jméno je napsáno "Buggy" Programátor code - Zeggelman Robin (Robin Seggelmann). On pracoval na projektu OpenSSL v procesu získávání doktorát od roku 2008 do roku 2012. Dramatická situace přispívá k tomu, že kód byl odeslán do úložiště, do 31. prosince 2011 v 23:59, ačkoliv Zeggelman Tvrdí, že nezáleží na tom, „Jsem zodpovědný za chybu, jak jsem napsal kód a učinili vše potřebné Kontroly ".

Současně, protože OpenSSL - open source projekt, je obtížné na vině chyba někoho jeden. Kód projektu je komplexní a obsahuje velké množství složitých funkcí, a to konkrétně Heartbeat - ne-li nejdůležitější z nich.

Je pravda, že zatraceně ministerstvo zahraničí Vláda Spojených států používá Heartbleed špehovat dva roky před publicitu?

Není jasné. Známá tisková agentura Bloomberg uvedla, že se jedná o tento případ, ale to jde všechno NSA popírá. Bez ohledu na to, faktem zůstává, - Heartbleed je stále hrozbou.

Měl jsem strach o můj bankovní účet?

Většina bank nepoužívají OpenSSL, raději proprietární šifrovací řešení. Ale pokud jste se potýká s pochybnostmi - stačí kontaktovat svou banku a zeptejte se jich příslušnou otázku. V každém případě je lepší sledovat vývoj situace a oficiální zprávy od bank. A nezapomeňte dávat pozor na transakce na účtu - v případě transakcí neznámých vám podniknout příslušné kroky.

Jak mám vědět, jestli použít již Heartbleed hackery ukrást mé osobní údaje?

Bohužel, ne - používat tuto chybu nezanechává žádné stopy na server protokoluje vetřelce aktivitu.

Zda se má použít program pro ukládání hesel a co?

Na jedné straně, Heartbleed opět vyvolává otázku o hodnotě silné heslo. Jako důsledek hesel změny hmotnosti, může vás zajímalo, jak můžete ještě zvýšit svou bezpečnost. Samozřejmě, software pro správu hesel jsou důvěryhodné pomocníky v tomto případě - mohou automaticky vytvářet a ukládat silných hesel pro každou lokalitu zvlášť, ale musíte si uvědomit, pouze jeden Hlavní heslo. Online manažer LastPass hesla, například, trvá na tom, že není vystaven Heartbleed zranitelnosti, a uživatelé nemohou měnit hlavní heslo. Kromě LastPass, doporučujeme věnovat pozornost takovým osvědčenými řešeními, jako je RoboForm, Dashlane a 1Password.

Dále doporučujeme používat ověřování dvoustupňovou všude tam, kde je to možné (Gmail, Dropbox a Evernote už ji podporují) - poté, kdy povolení, kromě hesla, služba bude žádat o jednorázový kódu, který je uveden na vás ve speciální mobilní aplikace nebo zaslanou prostřednictvím SMS. V tomto případě, i když je heslo odcizeno, se útočník nemůže jednoduše použít ji k přihlášení.