Τι είναι το Heartbleed Bug και πώς να προστατεύσετε τον εαυτό σας και να μείνετε ασφαλείς;

Πίνακας περιεχομένων:

Βίντεο: Τι είναι το Heartbleed Bug και πώς να προστατεύσετε τον εαυτό σας και να μείνετε ασφαλείς;

Βίντεο: Τι είναι το Heartbleed Bug και πώς να προστατεύσετε τον εαυτό σας και να μείνετε ασφαλείς;
Βίντεο: Introducing Microsoft Surface Book 3 2024, Μάρτιος
Τι είναι το Heartbleed Bug και πώς να προστατεύσετε τον εαυτό σας και να μείνετε ασφαλείς;
Τι είναι το Heartbleed Bug και πώς να προστατεύσετε τον εαυτό σας και να μείνετε ασφαλείς;
Anonim

Σχεδόν το 70% της κυκλοφορίας στο Διαδίκτυο απασχολεί OpenSSL για τη διασφάλιση των μεταφορών δεδομένων. Αυτό μεταφράζεται σε όλους σχεδόν τους μεγάλους εξυπηρετητές (διαβάστε: ιστοσελίδες) χρησιμοποιούν το OpenSSL για να εξασφαλίσουν τα δεδομένα σας, όπως τα διαπιστευτήρια σύνδεσης. Ωστόσο, κάποιος από την Google βρήκε ένα σφάλμα στο OpenSSL - ένα μικρό λάθος προγραμματισμού, αλλά αρκετά μεγάλο για να δώσει τα δεδομένα σας σε χάκερς - άτομα που θέλουν να χρησιμοποιήσουν τα δεδομένα σας για τους σκοπούς τους. Αυτό το σφάλμα OpenSSL ονομάζεται Καρδιάς δεδομένου ότι σχετίζεται στενά με κάποιο επίπεδο HeartBeat του OpenSLL.

Τι είναι το Heartbleed Bug

Οι περισσότεροι από τους διακομιστές δέχονται κρυπτογραφημένα δεδομένα, αποκωδικοποιούν τα χρησιμοποιώντας τα κλειδιά κρυπτογράφησης και τα διαβιβάζουν για επεξεργασία. Δεδομένου ότι οι περισσότεροι διακομιστές χρησιμοποιούν FIFO (First In First Out) μέθοδος για να εξυπηρετήσει τους τελικούς χρήστες, συχνά, τα δεδομένα (μετά την αποκρυπτογράφηση) βρίσκεται στη μνήμη του διακομιστή για λίγο πριν ο διακομιστής που χρειάζεται για περαιτέρω επεξεργασία.
Οι περισσότεροι από τους διακομιστές δέχονται κρυπτογραφημένα δεδομένα, αποκωδικοποιούν τα χρησιμοποιώντας τα κλειδιά κρυπτογράφησης και τα διαβιβάζουν για επεξεργασία. Δεδομένου ότι οι περισσότεροι διακομιστές χρησιμοποιούν FIFO (First In First Out) μέθοδος για να εξυπηρετήσει τους τελικούς χρήστες, συχνά, τα δεδομένα (μετά την αποκρυπτογράφηση) βρίσκεται στη μνήμη του διακομιστή για λίγο πριν ο διακομιστής που χρειάζεται για περαιτέρω επεξεργασία.

Το Heartbleed Bug είναι μια περίπτωση ανησυχίας για σχεδόν όλες τις εμπορικές ιστοσελίδες με βάση το Διαδίκτυο και μερικούς άλλους τύπους. Αυτό το σφάλμα προγραμματισμού επιτρέπει στους hackers να ελέγχουν σε οποιοδήποτε διακομιστή που χρησιμοποιεί το OpenSSL και να διαβάζει / αποθηκεύει / χρησιμοποιεί τα μη κρυπτογραφημένα δεδομένα (αποκρυπτογραφημένα δεδομένα). Οι χάκερ δεν έχουν μόνο πρόσβαση στα δεδομένα σας, αλλά μπορούν να αναπαράγουν το πιστοποιητικό ιστότοπου καθιστώντας το Διαδίκτυο ακόμη πιο επικίνδυνο. Με το αντίγραφο του πιστοποιητικού ιστότοπου, οι χάκερ μπορούν να δημιουργήσουν μιμητικές τοποθεσίες: ιστότοπους που μοιάζουν με τους αρχικούς ιστότοπους. Με αυτό, μπορούν να έχουν πρόσβαση στα δεδομένα σας, όπως στοιχεία πιστωτικών καρτών, προσωπικές πληροφορίες κ.λπ.

Οι ήχοι είναι τρομακτικοί, έτσι δεν είναι; Είναι - πράγματι - καθώς μπορεί να έχει πρόσβαση στις πληροφορίες σας και ότι οι πληροφορίες μπορούν να χρησιμοποιηθούν προς οποιοδήποτε σκοπό.

Σημείωση: Το Heartbleed έχει επίσης ένα κωδικό όνομα CVE-2014-0160. Το CVE σημαίνει κοινά ευάλωτα σημεία και εκθέσεις. Αυτοί οι κώδικες που σχετίζονται με τις ευπάθειες κ.λπ. δίνονται από τον MITER, έναν ανεξάρτητο φορέα που διατηρεί κομμάτια σφαλμάτων και παρόμοια θέματα.

Πρέπει να αναβαθμίσω τον Anti-Virus μου ή κάτι τέτοιο

Το σφάλμα Heartbleed στο OpenSSL δεν έχει καμία σχέση με το antivirus ή το τείχος προστασίας. Αυτό δεν είναι θέμα πλευρά πελάτη, ώστε να μπορείτε να κάνετε λίγα πράγματα γι 'αυτό. Από την άλλη πλευρά, οι διακομιστές πρέπει να εφαρμόσουν μια ενημερωμένη έκδοση κώδικα στο σύστημα OpenSSL που χρησιμοποιούν. Αυτό έγινε, ο ιστότοπος μπορεί να ειπωθεί ότι είναι ασφαλέστερος για αλληλεπίδραση.

Αυτό που μπορείτε να κάνετε ως χρήστης είναι να μειώσετε τον αριθμό επισκέψεων στο εμπόριο και σε παρόμοιους ιστότοπους. Δεν είναι ότι το σφάλμα επηρεάζει μόνο τις περιοχές εμπορίου. Είναι ισότιμο για όλους τους τύπους ιστοτόπων που χρησιμοποιούν το OpenSSL. Λέω να αποφευχθεί sites εμπορίου για μια στιγμή, δεδομένου ότι θα είναι ο κύριος στόχος για τους χάκερ οι οποίοι θα θέλουν τα στοιχεία της κάρτας σας, κλπ Αυτό σημαίνει ότι ο πρωταρχικός στόχος των χάκερ θα είναι e-commerce sites χρησιμοποιώντας OpenSSL.

Μόλις λάβετε ένα μήνυμα / αναφορά ότι το σφάλμα είναι διορθωμένο, μπορείτε να προχωρήσετε όπως κάνατε πριν να εντοπιστεί το σφάλμα. Το OpenSSL δημιούργησε μια ενημερωμένη έκδοση κώδικα και το κυκλοφόρησε για τους κατόχους ιστότοπων για να εξασφαλίσουν τα δεδομένα των χρηστών τους. Μέχρι τότε, προσπαθήστε να αποφύγετε τοποθεσίες όπου πρέπει να δώσετε στα δεδομένα σας οποιαδήποτε μορφή - ακόμα και τα διαπιστευτήρια σύνδεσης. Είμαι βέβαιος ότι σχεδόν όλοι οι webmasters πρέπει να μπαίνουν για το έμπλαστρο, αλλά εξακολουθεί να υπάρχει κάποιο πρόβλημα. Μόλις είστε σίγουροι ότι δεν υπάρχουν τρωτά σημεία ή ότι τέτοιου είδους τρωτά σημεία έχουν διορθωθεί, ίσως είναι καλό να αλλάξετε τους κωδικούς πρόσβασής σας.

Εν τω μεταξύ, χρησιμοποιήστε αυτές τις επεκτάσεις του προγράμματος περιήγησης για να σας προειδοποιήσω σχετικά με τους ιστότοπους που έχουν προσβληθεί από Heartbleed.

Τα πιστοποιητικά τοποθεσίας που έχουν αντιγραφεί μέσω του Heartbleed πρέπει να αντιμετωπιστούν

Υπάρχουν μεγάλες πιθανότητες να έχουν αντιγραφεί τα πιστοποιητικά ασφαλείας ιστότοπου για τη δημιουργία κακόβουλων ιστοσελίδων. Δεδομένου ότι τα πιστοποιητικά ασφαλείας είναι γενικά αντίγραφα, τα προγράμματα περιήγησης ενδέχεται να μην αναφέρουν τη διαφορά. Είστε εσείς που πρέπει να είστε προσεκτικοί. Αποφύγετε να κάνετε κλικ σε συνδέσμους και, αντ 'αυτού, πληκτρολογήστε τη διεύθυνση URL του δικτυακού τόπου στη γραμμή διευθύνσεων, έτσι ώστε να μην κάνετε ανακατεύθυνση σε κάποιο ψεύτικο ιστότοπο.

Αυτό το πρόβλημα μπορεί να επιλυθεί με δύο τρόπους:

  1. Τα προγράμματα περιήγησης που είναι διαθέσιμα στην αγορά πρέπει να είναι αρκετά έξυπνα ώστε να αναγνωρίζουν τα αντιγραμμένα πιστοποιητικά και να σας προειδοποιούν.
  2. Οι webmasters αλλάζουν τα πιστοποιητικά μετά την εφαρμογή της ενημερωμένης έκδοσης κώδικα.

Με άλλα λόγια, θα χρειαστεί λίγος χρόνος για να εφαρμοστεί παραπάνω, παρόλο που οι webmasters εφαρμόζουν την ενημερωμένη έκδοση κώδικα. Θα ήθελα να επαναλάβω ότι δεν κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή σε μη-φημισμένους ιστότοπους. Απλά, πληκτρολογήστε τη διεύθυνση URL στη γραμμή διευθύνσεων ή αν έχετε επιλέξει τον σελιδοδείκτη του αρχικού ιστότοπου, χρησιμοποιήστε το σελιδοδείκτη.

Η ενότητα "Αναφορές" στο τέλος αυτού του άρθρου περιέχει μια απίστευτη λίστα με τους επηρεαζόμενους ιστότοπους. Ελλιπής επειδή ενδέχεται να υπάρχουν περισσότερες ιστοσελίδες που επηρεάζονται από αυτές που αναφέρονται εκεί.

Βιβλιογραφικές αναφορές:

  • Heart Bleed: Ιστοσελίδα
  • OpenSSL: Συμβουλευτική ασφαλείας για την αιμορραγία από καρδιά
  • Git Hub: Λίστα επηρεαζόμενων ιστότοπων.

Συνιστάται: