Co to jest Heartbleed Bug i jak się chronić i zachować bezpieczeństwo?

Prawie 70 procent ruchu w Internecie zatrudnia OpenSSL , aby zabezpieczyć transmisje danych. Przekłada się to na prawie wszystkie główne serwery (czytaj: strony internetowe) wykorzystując OpenSSL do zabezpieczenia danych, takich jak dane logowania. Jednak ktoś z Google znalazł błąd w OpenSSL - pomniejszy błąd w programowaniu, ale wystarczająco duży, by przekazać dane hakerom - osobom, które chcą wykorzystać dane do swoich celów. Ten błąd OpenSSL ma nazwę Heartbleed , ponieważ jest ściśle powiązany z warstwą HeartBeat OpenSLL.

Co to jest Heartbleed Bug

Większość serwerów akceptuje zaszyfrowane dane, dekoduje je za pomocą kluczy szyfrowania i przesyła dalej do przetwarzania. Ponieważ większość serwerów używa metody FIFO (First in First Out) do obsługi użytkowników końcowych, często dane (po odszyfrowaniu) znajdują się w pamięci serwera przez jakiś czas, zanim serwer podejmie je do dalszego przetwarzania.

Błąd Heartbleed to sprawa zmartwień dla prawie wszystkich internetowych stron komercyjnych i niektórych innych typów. Ten błąd programowania umożliwia hakerom sprawdzenie na dowolnym serwerze, który wykorzystuje OpenSSL i odczytanie / zapisanie / użycie niezaszyfrowanych danych (odszyfrowanych danych). Hakerzy mają teraz nie tylko dostęp do twoich danych, ale mogą też powielić certyfikat strony internetowej, co czyni jeszcze bardziej niebezpiecznym miejsce w Internecie. Wraz z kopią certyfikatu witryny, hakerzy mogą tworzyć witryny naśladujące: witryny, które wyglądają podobnie do oryginalnych witryn. Dzięki temu mogą oni uzyskać dostęp do twoich danych, takich jak dane karty kredytowej, dane osobowe itp.

Dźwięki są przerażające, prawda? Jest tak naprawdę, ponieważ może uzyskać dostęp do twoich informacji, a informacje mogą być użyte w dowolnym celu.

Uwaga : Heartbleed ma również nazwę kodową CVE-2014-0160. CVE to skrót od Common Vulnerabilities and Exposures. Kody te związane z lukami w zabezpieczeniach itp. Są podawane przez MITER, niezależny organ przechowujący ślady błędów i podobne problemy.

Czy mogę uaktualnić antywirus lub coś podobnego

Błąd Heartbleed w OpenSSL nie ma nic wspólnego za pomocą programu antywirusowego lub zapory. To nie jest problem po stronie klienta, więc niewiele możesz z tym zrobić. Z drugiej strony, serwery muszą zastosować łatę do systemu OpenSSL, którego używają. W ten sposób można powiedzieć, że witryna jest bezpieczniejsza do interakcji.

To, co możesz zrobić jako użytkownik, to zmniejszyć liczbę odwiedzin w handlu i podobnych witrynach. Nie chodzi o to, że błąd dotyczy tylko witryn handlowych. Jest równy dla wszystkich typów stron internetowych korzystających z OpenSSL. Mówię, że przez jakiś czas unikaj witryn handlowych, ponieważ będą one głównym celem hakerów, którzy będą chcieli danych Twojej karty itp. Oznacza to, że głównym celem hakerów będą witryny e-commerce używające OpenSSL.

Po otrzymaniu wiadomości / zgłoś, że błąd został naprawiony, możesz postępować tak, jak robiłeś to przed odkryciem błędu. OpenSSL stworzył łatkę i udostępnił ją właścicielom witryn, aby zabezpieczyć dane swoich użytkowników. Do tego czasu staraj się unikać stron, w których musisz podać swoje dane w dowolnej formie - nawet poświadczenia logowania. Jestem pewien, że prawie wszyscy webmasterzy muszą iść do poprawki, ale nadal istnieje problem. Po upewnieniu się, że nie ma żadnych luk w zabezpieczeniach lub takie luki zostały załatane, może to być dobry pomysł na zmianę haseł.

Tymczasem użyj tych rozszerzeń przeglądarki, aby ostrzec Cię o witrynach dotkniętych Heartbleed.

Kopie certyfikatów witryny za pośrednictwem Heartbleed należy zająć się

Istnieje duża szansa, że ​​można było skopiować certyfikaty bezpieczeństwa stron internetowych w celu tworzenia złośliwych stron internetowych. Ponieważ certyfikaty bezpieczeństwa są kopiami zwykłymi, przeglądarki mogą nie odróżniać. To ty musisz zachować ostrożność. Unikaj klikania linków, a zamiast tego wpisz adres URL witryny na pasku adresu, aby nie przekierować Cię do fałszywej witryny.

Ten problem można rozwiązać na dwa sposoby:

1. Przeglądarki dostępne na rynku powinny być wystarczająco inteligentne, aby identyfikować skopiowane certyfikaty i powiadamiać użytkownika.
2. Webmasterzy zmieniają certyfikaty po zastosowaniu poprawki.

Innymi słowy, implementacja powyższego zajmie trochę czasu, nawet jeśli webmasterzy zastosują tę poprawkę. Chciałbym powtórzyć, że nie klikają linków w e-mailach lub niereprezentowanych stronach internetowych. Po prostu wpisz adres URL w pasku adresu lub jeśli masz oryginalną witrynę zaznaczoną zakładkami, skorzystaj z zakładki.

W sekcji Referencje na końcu tego artykułu znajduje się pełna lista stron, których dotyczy problem. Niekompletne, ponieważ może być więcej stron internetowych niż te, które są tam wymienione.

Odniesienia:

• Heart Bleed: Strona internetowa
• OpenSSL: Security Advisory for Heart Bleed
• Git Hub: lista stron, których dotyczy problem.