Heartbleed paskaidrots Kāpēc jums ir nepieciešams mainīt jūsu paroles tagad
Pēdējo reizi, kad jūs brīdinājām par būtisku drošības pārkāpumu, bija apdraudēta Adobe paroles datu bāze, liekot miljoniem lietotāju (īpaši tiem, kuriem ir vājas un bieži atkārtotas paroles). Šodien mēs brīdinām jūs par daudz lielāku drošības problēmu - Heartbleed Bug, kas ir potenciāli apdraudējusi satriecošu 2/3 trešdaļu no drošajām tīmekļa vietnēm internetā. Jums ir jāmaina paroles, un jums tas ir jādara tagad.
Svarīga piezīme. Šī kļūda nav atkarīga no tā, kā Geek tiek izmantots.
Kas ir sirdsdarbība un kāpēc tā ir tik bīstama?
Jūsu raksturīgajā drošības pārkāpumā tiek pakļautas viena uzņēmuma lietotāja ieraksti / paroles. Tas ir šausmīgi, kad tas notiek, bet tas ir atsevišķs lieta. Uzņēmumam X ir drošības pārkāpums, viņi izsaka brīdinājumu saviem lietotājiem, un tādi cilvēki kā mums atgādina, ka ir pienācis laiks sākt praktizēt labu drošības higiēnu un atjaunināt savas paroles. Tie, diemžēl, tipiski pārkāpumi ir pietiekami slikti, kā tas ir. Heartbleed Bug ir kaut kas daudz, daudz, sliktāk.
Heartbleed Bug grauj šifrēšanas shēmu, kas aizsargā mūs, kamēr mēs e-pastu, banku, un citādi mijiedarbojamies ar tīmekļa vietnēm, kuras mēs uzskatām par drošām. Šeit ir vienkāršs angļu valodas apraksts par Codenomicon, drošības grupas, kas atklāja un brīdināja sabiedrību par kļūdu, neaizsargātību:
Heartbleed Bug ir nopietna ievainojamība populārajā OpenSSL kriptogrāfijas programmatūras bibliotēkā. Šis vājums ļauj zagt informāciju, kas normālos apstākļos aizsargāta ar SSL / TLS šifrēšanu, ko izmanto interneta aizsardzībai. SSL / TLS nodrošina komunikāciju drošību un privātumu internetā, piemēram, tīmekļa, e-pasta, tūlītējās ziņojumapmaiņas (IM) un dažu virtuālo privāto tīklu (VPN) lietošanā.
Heartbleed bug ļauj ikvienam internetā nolasīt atmiņas sistēmu, ko aizsargā OpenSSL programmatūras neaizsargātās versijas. Tas apdraud slepenās atslēgas, ko izmanto, lai identificētu pakalpojumu sniedzējus un šifrētu datplūsmu, lietotāju vārdus un paroles un faktisko saturu. Tas ļauj uzbrucējiem uzklausīt sakarus, nozagt datus tieši no pakalpojumiem un lietotājiem, kā arī uzdoties par pakalpojumiem un lietotājiem.
Tas izklausās diezgan slikti, jā? Tas izklausās vēl sliktāk, ja jūs apzināties, ka aptuveni divas trešdaļas no visām tīmekļa vietnēm, kas izmanto SSL, izmanto šo neaizsargāto OpenSSL versiju. Mēs nerunājam par nelielām laika vietnēm, piemēram, karstu stieņu forumiem vai kolekcionējamo kāršu spēļu mijmaiņas vietnēm, mēs runājam bankām, kredītkaršu kompānijām, galvenajiem e-mazumtirgotājiem un e-pasta pakalpojumu sniedzējiem. Vēl sliktāk, šī neaizsargātība ir bijusi savvaļā apmēram divus gadus. Tas ir divi gadi, kad kāds ar atbilstošām zināšanām un prasmēm varētu būt izmantojis jūsu izmantotā pakalpojuma pieteikšanās akreditācijas datus un privātos sakarus (un saskaņā ar Codenomicon veikto testēšanu, to darot bez pēdām).
Lai vēl labāk parādītu, kā darbojas Heartbleed. izlasiet šo xkcd komiksu.
Lai gan neviena grupa nav nākusi klajā ar visiem akreditācijas datiem un informāciju, ko viņi sifonēja ar ekspluatāciju, šajā spēlē šajā brīdī jums ir jāpieņem, ka pieteikto informāciju par tīmekļa vietnēm, kuras bieži izmantojat, ir apdraudētas.
Ko darīt Post Heartbleed Bug
Jebkuram vairākuma drošības pārkāpumam (un tas noteikti atbilst lielam mērogam) ir nepieciešams, lai jūs novērtētu savu paroles pārvaldības praksi. Ņemot vērā Heartbleed Bug plašo loku, šī ir lieliska iespēja pārskatīt jau veiksmīgu paroles pārvaldības sistēmu vai, ja jūs esat velkot savas pēdas, iestatīt to.
Pirms ienirstiet uzreiz mainot paroles, ņemiet vērā, ka ievainojamība tiek novērsta tikai tad, ja uzņēmums ir jaunināts uz jauno OpenSSL versiju. Stāsts tika lauzts pirmdien, un, ja jūs uzreiz steidzīgi nomaināt paroles katrā vietnē, lielākā daļa no viņiem joprojām darbotos ar neaizsargāto OpenSSL versiju.
Tagad, nedēļas vidū, lielākā daļa vietņu ir sākušas atjaunināšanas procesu, un nedēļas nogalē ir pamatoti pieņemt, ka lielākā daļa augsta profila tīmekļa vietņu būs pārslēgtas.
Jūs varat izmantot Heartbleed Bug pārbaudītāju šeit, lai redzētu, vai neaizsargātība joprojām ir atvērta vai, pat ja vietne nereaģē uz iepriekšminētā pārbaudītāja pieprasījumiem, varat izmantot LastPass SSL datuma pārbaudītāju, lai redzētu, vai attiecīgais serveris ir atjauninājis savu SSL sertifikāts nesen (ja tās atjaunināja pēc 2014. gada 4. jūlija, tas ir labs rādītājs, ka viņi ir ievainojuši ievainojamību.) Piezīme: ja jūs palaidīsiet howtogeek.com caur kļūdu pārbaudītāju, tā atgriezīsies pie kļūdas, jo, pirmkārt, neizmantojam SSL šifrēšanu, un mēs arī esam pārliecinājušies, ka mūsu serveriem nav nevienas skartās programmatūras.
Tas nozīmē, ka izskatās, ka šī nedēļas nogale veidojas kā laba nedēļas nogale, lai nopietni uztvertu paroles atjaunināšanu. Pirmkārt, jums ir nepieciešama paroles pārvaldības sistēma. Iepazīstieties ar mūsu rokasgrāmatu, lai sāktu darbu ar LastPass, lai izveidotu vienu no drošākajām un elastīgākajām paroles pārvaldības iespējām. Jums nav jāizmanto LastPass, bet jums ir nepieciešama sava veida sistēma, kas ļaus jums izsekot un pārvaldīt unikālu un spēcīgu paroli katrai jūsu apmeklētajai vietnei.
Otrkārt, jums ir jāsāk mainīt paroles. Krīzes vadības izklāsts mūsu rokasgrāmatā, Kā atgūt pēc jūsu e-pasta paroles ir apdraudēts, ir lielisks veids, kā nodrošināt, lai jūs nepalaistu garām kādas paroles; tajā ir uzsvērti arī labas paroles higiēnas pamati, kas citēti šeit:
- Parolēm vienmēr jābūt garākām par minimālo, ko pakalpojums pieļauj. Ja attiecīgais pakalpojums ļauj 6-20 rakstzīmju paroles, dodieties uz garāko paroli, ko varat atcerēties.
- Neizmantojiet vārdnīcas vārdus kā daļu no paroles. Jūsu parolei vajadzētu būt nekad būt tik vienkāršam, ka tas parādītu galveno skenēšanu ar vārdnīcas failu. Nekad neietveriet savu vārdu, pieteikšanās vai e-pasta daļu vai citus viegli identificējamus vienumus, piemēram, uzņēmuma nosaukumu vai ielas nosaukumu. Tāpat arī neizmantojiet parastās tastatūras kombinācijas, piemēram, “qwerty” vai “asdf” kā daļu no paroles.
- Paroles vietā izmantojiet frāzes. Ja jūs neizmantojat paroles pārvaldnieku, lai atcerētos patiešām izlases paroles (jā, mēs saprotam, ka mēs patiešām esam harping par ideju izmantot paroles pārvaldnieku), tad jūs varat atcerēties spēcīgākas paroles, pārvēršot tās paroles. Jūsu Amazon kontam, piemēram, jūs varētu izveidot viegli atcerēties ieejas frāzi “Man patīk lasīt grāmatas” un pēc tam krustot to par paroli, piemēram, “! Luv2ReadBkz”. Tas ir viegli atcerēties un tas ir diezgan spēcīgs.
Treškārt, kad vien iespējams, vēlaties iespējot divfaktoru autentifikāciju. Jūs varat izlasīt vairāk par divu faktoru autentifikāciju šeit, bet īsi tas ļauj jums pievienot papildu identifikācijas slāni savam pieteikumam.
Piemēram, izmantojot Gmail, divfaktoru autentifikācijai nepieciešams, lai jums būtu ne tikai jūsu pieteikumvārds un parole, bet piekļuve mobilajam tālrunim, kas reģistrēts jūsu Gmail kontā, lai jūs varētu pieņemt teksta ziņojuma kodu, kas jāievada, piesakoties no jauna datora.
Izmantojot divfaktoru autentifikāciju, ir ļoti grūti kādam, kurš ir ieguvis piekļuvi jūsu pieteikumvārdam un parolei (piemēram, ar Heartbleed Bug), piekļūt jūsu kontam.
Drošības ievainojamības, jo īpaši tās, kurām ir tik liela ietekme, nekad nav jautras, bet tās piedāvā mums iespēju nostiprināt savu paroli un nodrošināt, lai unikālās un spēcīgās paroles saglabātu bojājumus, kad tas notiek..