SSS: Heartbleed açığı ve nasıl ondan kendini korumak için nedir
Teknolojinin / / December 19, 2019
Bir Heartbleed dublajlı OpenSSL protokolünde son zamanlarda keşfedilen güvenlik açığı, ve hatta kendi logosu, çeşitli web sitelerini kullanıcının şifresi için potansiyel bir tehdit taşır. Biz kuru kalıntı halinde, tabiri caizse, bu konuda etrafında yutturmaca ve konuşmak için beklemeye karar verdi.
Bu CNET, popüler bir sürümüne bize yardımcı olacak toplanmış Bu konuda sık sorulan soruların bir listesi. Biz Aşağıdaki bilgiler Heartbleed hakkında daha fazla bilgi ve kendinizi korumak yardımcı olacağını umuyoruz. Heartbleed sorunla tarih tamamen çözülmüş değil için şeyden önce, hatırlıyorum.
Heartbleed nedir?
Heartbleed - korsanları verir OpenSSL yazılım kitaplığında güvenlik açığı (SSL / TLS şifreleme protokolünün açık uygulama) Bu noktada farklı kullanıcıların özel verileri içerebilir hafıza sunucular, içeriğine erişmek için Web hizmetleri. Araştırma firması Netcraft göre, bu açığı bin 500 hakkında web maruz edilebilir.
Bu araçlar bu sitelerde potansiyel risk altında kullanıcı adları, parolalar, kredi kartı verileri, vb gibi bu kullanıcıların kişisel bilgileri, olduğu
Güvenlik açığı da şirketlerin çeşitli şifreleme yazışma ve iç belgeler için, örneğin, kullanılan dijital anahtarları, ele geçirmesine olanak sağlayan.
OpenSSL nedir?
en Güvenli Yuva Katmanı (Güvenli Yuva Katmanı) kısaltmasıdır SSL protokolü ile başlayalım. O da TLS (Taşıma Katmanı Güvenliği) onun yeni adıyla bilinir. Bugün kısmında "casusluk" mümkün korur ağındaki veri şifreleme en yaygın yöntemlerden biridir. (Bağlantının başlangıcı gösterir Https adresinden tarayıcı ve SSL kullanarak sitenin açmak arasındaki iletişim, aksi takdirde sadece http tarayıcıda göreceği).
OpenSSL - açık kaynak yazılım SSL uygulamasıdır. Güvenlik açıkları 1.0.1f protokol sürümü 1.0.1 tabi tutuldu. OpenSSL da Linux işletim sisteminde kullanıldığında, iki en popüler Web sunucusu Apache ve Nginx, "çalışır" İnternetin büyük bir bölümünün bir parçasıdır. Kısacası, OpenSSL kapsamı çok büyük.
Kim bir hata buldum?
Bu liyakat bilgisayar güvenliği ve personel ile uğraşan şirket Codenomicon çalışanlarına aittir birbirinden bağımsız açıklarını keşfetti hakkında araştırmacı Nil Meta (Neel Mehta), kelimenin tam anlamıyla Bir gün.
Meta 15 bin ödül bağışladı. dolar. özgür basını Vakfı (Basın Vakfı Özgürlüğü) alır bilgi kaynaklarıyla çalışan gazeteciler için şifreleme araçları geliştirilmesi için kampanyası bir hatayı tespit etmek için. Meta herhangi röportaj reddetme devam eder ancak onun işvereni Google, şu yorumu yaptı: "Kullanıcılarımızın güvenliği bizim en yüksek önceliktir. Sürekli güvenlik arayan ve kısa sürede de saldırganların bilinen haline gelmeden biz onları düzeltmek mümkün böylece onları bildirmek için tüm teşvik edilmektedir. "
Neden Heartbleed?
adı Heartbleed Ossie Gerraloy (Ossi Herrala), sistem yöneticisi, Codenomicon tarafından icat edilmiştir. Bu teknik adıyla CVE-2014-0160, kod çizgisini içeren sayısına göre bu güvenlik açığı daha uyumlu.
Heartbleed (kelimenin tam anlamıyla - "kalpleri kanama") - OpenSSL'de genişlemesi için bir başvuru içeren kelime oyunu "sinyal" (çarpıntı) olarak adlandırılan. Katılımcılar veri alışverişi yok arasında bile Protokol, bağlantı açık tutulması. Gerrala Heartbleed mükemmel bellekten hassas verilerin sızıntı izin açığı özünü açıklayan değerlendirmiştir.
adı hata için oldukça başarılı gibi görünüyor ve bu bir rastlantı değildir. Codenomicon ekibi kasten açığı bulunan insanlara bildirmek için en kısa sürede mümkün olduğunca hem yardımcı olacağını kulağa hoş gelen (basın) adını kullandı. o hatanın adını veren, Codenomicon yakında Heartbleed hakkında erişilebilir bir şekilde anlatma siteyi başlatılan bir domain Heartbleed.com, satın aldı.
Neden bazı siteler Heartbleed etkilenen değil mi?
OpenSSL popülaritesi rağmen, diğer SSL / TLS uygulaması vardır. Buna ek olarak, bazı siteler bu böcek yoktur OpenSSL, önceki bir sürümünü kullanın. Ve bazı güvenlik açığının kaynağı olan bir kalp atışı işlevi içermiyordu.
Kısmen markaları PFS kullanmak potansiyel hasarı (mükemmel iletme gizliliği azaltmak için - mükemmel düz gizlilik), Bir saldırganın bellekten almak durumunda olmasını sağlar SSL protokolünün Mülkiyet, Sunucu bir güvenlik anahtarı, o geri kalanına tüm trafiği ve erişime çözmesi mümkün olmayacaktır tuşları. örneğin Google ve Facebook - Birçok (hepsi değil) şirket zaten PFS kullanın.
Nasıl Heartbleed yapar?
Güvenlik açıkları sunucuya bellek 64 kilobayt erişmek ve tam veri kaybı kadar tekrar tekrar saldırıyı gerçekleştirmek için saldırganın. sızıntı kullanıcı adı ve şifre ancak çerez verilere sadece yatkın değil bu araçlar Web sunucuları ve siteler kullanıcı etkinliğini ve basitleştiren yetkilendirme izlemek için kullandıkları. Organizasyon Electronic Frontier Foundation periyodik saldırılar hem erişim verebilir belirtiyor Böyle şifreleme için kullanılan özel bir sitedir şifreleme anahtarları gibi daha ciddi bilgi, trafiği. Bu anahtarı kullanarak saldırgan orijinal siteyi taklit ve kredi kartı numaraları veya özel yazışmalar kişisel verilerin en farklı türde çalmak olabilir.
Şifremi değiştirmek gerekir mi?
Çeşitli sitelerde İçin "Evet." cevap AMA - açığı kaldırılması sonrasında, uygulama yerinden mesajını beklemek daha iyidir. Doğal olarak, ilk tepki - Değişim tüm şifreleri bazı sitelerin de açığı temizlenmez hemen ama eğer değişiklik şifre anlamsız - açığı yaygın yalnızca yeni bilmek bir saldırganın şansını artırmak olduğunu, bilindiği bir dönemde parola.
Nasıl açıklarını içeren ve sabit olduğu sitelerin hangi biliyoruz?
güvenlik açığı için interneti kontrol etmek ve onun varlığını / yokluğunu bildirdi birkaç kaynak vardır. Önerdiğimiz kaynak Şirket LastPass, şifre yönetiminin bir yazılım geliştiricisi. o savunmasız veya bu site olup olmadığı sorusuna oldukça net bir cevap verir de, dikkatli denetim sonuçlarının düşünüyorum. Sitenin güvenlik açığı doğru bulduysanız - onu ziyaret çalış.
En popüler siteleri maruz açıkları listesi, ayrıca keşfedebilirsiniz bağlantı.
şifreyi değiştirmeden önce en önemli şey - o zaten öldürüldüğünü, Heartbleed keşfedildi uygulama yerinden, resmi bir onay alır.
Şirketler bir çok zaten kendi bloglarında alakalı girdileri yayınladık. yoksa - desteğe konuyu çekinmeden.
Kim güvenlik açığının görünüm sorumludur?
The Guardian gazetesinde göre, adı yazılır "buggy" programcının kodu - Zeggelman Robin (Robin Seggelmann). O 2008 yılından 2012 yılına doktora derecesini elde etme sürecinde proje OpenSSL üzerinde çalıştı. Dramatik bir durum Zeggelman rağmen, kod saat 23:59 'da depo, 31 Aralık 2011 gönderildi gerçeğine ekler O kod yazdım ve gerekli tüm yaptığı gibi, yanlışlıkla sorumluyum", önemli değil savunuyor denetler. "
Aynı zamanda, OpenSSL beri - bir açık kaynak projesi, birilerinin birinin hatasını suçlamak zordur. Proje kodu karmaşıktır ve karmaşık fonksiyonların çok sayıda içerir ve özellikle Heartbeat - çoğu önemli değildir.
o doğru mu Dışişleri Bakanlığı'na kahretsin Heartbleed kullanılan ABD hükümeti tanıtım önce iki yıl gözetlemek için?
Bu açık değil. Bilinen haber ajansı Bloomberg Bu durumda, ama hepsi NSA yalanladı gider bildirdi. Ne olursa olsun, gerçek kalır - Heartbleed halen bir tehdit.
Banka hesabımda dert?
Çoğu banka tescilli şifreleme çözümü tercih OpenSSL'i kullanmayın. Eğer şüphe boğulmuş Ama eğer - sadece bankanıza başvurun ve onlara alakalı soru sormak. Her durumda, bankalardan durumun gelişmesini ve resmi raporlar takip etmek daha iyidir. Size bilmediğiniz işlemleri durumunda gerekli işlemi - Ve hesabınızdaki işlemlere göz kulak unutmayın.
Nasıl kişisel verileri çalmak zaten Heartbleed korsanları kullanılıp kullanılmayacağını biliyoruz?
Ne yazık ki, hayır - sunucunun izine bırakmaz bu güvenlik açığını kullanarak davetsiz aktivitesini kaydeder.
İster şifreleri ve ne saklamak için programı kullanmak için?
Bir yandan, Heartbleed kez daha güçlü bir şifre değeri hakkında sorusunu gündeme getirmektedir. Kitle değişim şifreleri bir sonucu olarak, hatta güvenliğini nasıl geliştirebileceğini merak edebilirsiniz. Tabii ki, şifre yöneticileri bu durumda asistanlar güvenilen - onlar olabilir otomatik oluşturmak ve tek tek her site için güçlü şifreler saklamak, ama sadece birisi hatırlamak zorunda Ana parola. Çevrimiçi LastPass şifre yöneticisi, örneğin, o Heartbleed açığı tabi olmadığını ısrar ve kullanıcıların ana parola değiştiremezsiniz. LastPass ek olarak, biz RoboForm, Dashlane ve 1Password gibi böyle kanıtlanmış çözümlerle dikkat önerilir.
Buna ek olarak, mümkün oldukça (Gmail, Dropbox ve Evernote zaten bunu destekleyecek) iki aşamalı kimlik doğrulaması kullanarak tavsiye - o zaman ne zaman yetkilendirme, şifrelerin yanı sıra, hizmet, özel bir mobil uygulamada size verilen veya aracılığıyla gönderilen bir kerelik kodu soracaktır SMS. Bu durumda, şifreniz çalınsa bile, bir saldırganın basitçe giriş için kullanabilirsiniz olamaz.