2024 Συγγραφέας: Peter John Melton | [email protected]. Τελευταία τροποποίηση: 2023-12-16 04:44
Σχεδόν το 70% της κυκλοφορίας στο Διαδίκτυο απασχολεί OpenSSL για τη διασφάλιση των μεταφορών δεδομένων. Αυτό μεταφράζεται σε όλους σχεδόν τους μεγάλους εξυπηρετητές (διαβάστε: ιστοσελίδες) χρησιμοποιούν το OpenSSL για να εξασφαλίσουν τα δεδομένα σας, όπως τα διαπιστευτήρια σύνδεσης. Ωστόσο, κάποιος από την Google βρήκε ένα σφάλμα στο OpenSSL - ένα μικρό λάθος προγραμματισμού, αλλά αρκετά μεγάλο για να δώσει τα δεδομένα σας σε χάκερς - άτομα που θέλουν να χρησιμοποιήσουν τα δεδομένα σας για τους σκοπούς τους. Αυτό το σφάλμα OpenSSL ονομάζεται Καρδιάς δεδομένου ότι σχετίζεται στενά με κάποιο επίπεδο HeartBeat του OpenSLL.
Τι είναι το Heartbleed Bug
Το Heartbleed Bug είναι μια περίπτωση ανησυχίας για σχεδόν όλες τις εμπορικές ιστοσελίδες με βάση το Διαδίκτυο και μερικούς άλλους τύπους. Αυτό το σφάλμα προγραμματισμού επιτρέπει στους hackers να ελέγχουν σε οποιοδήποτε διακομιστή που χρησιμοποιεί το OpenSSL και να διαβάζει / αποθηκεύει / χρησιμοποιεί τα μη κρυπτογραφημένα δεδομένα (αποκρυπτογραφημένα δεδομένα). Οι χάκερ δεν έχουν μόνο πρόσβαση στα δεδομένα σας, αλλά μπορούν να αναπαράγουν το πιστοποιητικό ιστότοπου καθιστώντας το Διαδίκτυο ακόμη πιο επικίνδυνο. Με το αντίγραφο του πιστοποιητικού ιστότοπου, οι χάκερ μπορούν να δημιουργήσουν μιμητικές τοποθεσίες: ιστότοπους που μοιάζουν με τους αρχικούς ιστότοπους. Με αυτό, μπορούν να έχουν πρόσβαση στα δεδομένα σας, όπως στοιχεία πιστωτικών καρτών, προσωπικές πληροφορίες κ.λπ.
Οι ήχοι είναι τρομακτικοί, έτσι δεν είναι; Είναι - πράγματι - καθώς μπορεί να έχει πρόσβαση στις πληροφορίες σας και ότι οι πληροφορίες μπορούν να χρησιμοποιηθούν προς οποιοδήποτε σκοπό.
Σημείωση: Το Heartbleed έχει επίσης ένα κωδικό όνομα CVE-2014-0160. Το CVE σημαίνει κοινά ευάλωτα σημεία και εκθέσεις. Αυτοί οι κώδικες που σχετίζονται με τις ευπάθειες κ.λπ. δίνονται από τον MITER, έναν ανεξάρτητο φορέα που διατηρεί κομμάτια σφαλμάτων και παρόμοια θέματα.
Πρέπει να αναβαθμίσω τον Anti-Virus μου ή κάτι τέτοιο
Το σφάλμα Heartbleed στο OpenSSL δεν έχει καμία σχέση με το antivirus ή το τείχος προστασίας. Αυτό δεν είναι θέμα πλευρά πελάτη, ώστε να μπορείτε να κάνετε λίγα πράγματα γι 'αυτό. Από την άλλη πλευρά, οι διακομιστές πρέπει να εφαρμόσουν μια ενημερωμένη έκδοση κώδικα στο σύστημα OpenSSL που χρησιμοποιούν. Αυτό έγινε, ο ιστότοπος μπορεί να ειπωθεί ότι είναι ασφαλέστερος για αλληλεπίδραση.
Αυτό που μπορείτε να κάνετε ως χρήστης είναι να μειώσετε τον αριθμό επισκέψεων στο εμπόριο και σε παρόμοιους ιστότοπους. Δεν είναι ότι το σφάλμα επηρεάζει μόνο τις περιοχές εμπορίου. Είναι ισότιμο για όλους τους τύπους ιστοτόπων που χρησιμοποιούν το OpenSSL. Λέω να αποφευχθεί sites εμπορίου για μια στιγμή, δεδομένου ότι θα είναι ο κύριος στόχος για τους χάκερ οι οποίοι θα θέλουν τα στοιχεία της κάρτας σας, κλπ Αυτό σημαίνει ότι ο πρωταρχικός στόχος των χάκερ θα είναι e-commerce sites χρησιμοποιώντας OpenSSL.
Μόλις λάβετε ένα μήνυμα / αναφορά ότι το σφάλμα είναι διορθωμένο, μπορείτε να προχωρήσετε όπως κάνατε πριν να εντοπιστεί το σφάλμα. Το OpenSSL δημιούργησε μια ενημερωμένη έκδοση κώδικα και το κυκλοφόρησε για τους κατόχους ιστότοπων για να εξασφαλίσουν τα δεδομένα των χρηστών τους. Μέχρι τότε, προσπαθήστε να αποφύγετε τοποθεσίες όπου πρέπει να δώσετε στα δεδομένα σας οποιαδήποτε μορφή - ακόμα και τα διαπιστευτήρια σύνδεσης. Είμαι βέβαιος ότι σχεδόν όλοι οι webmasters πρέπει να μπαίνουν για το έμπλαστρο, αλλά εξακολουθεί να υπάρχει κάποιο πρόβλημα. Μόλις είστε σίγουροι ότι δεν υπάρχουν τρωτά σημεία ή ότι τέτοιου είδους τρωτά σημεία έχουν διορθωθεί, ίσως είναι καλό να αλλάξετε τους κωδικούς πρόσβασής σας.
Εν τω μεταξύ, χρησιμοποιήστε αυτές τις επεκτάσεις του προγράμματος περιήγησης για να σας προειδοποιήσω σχετικά με τους ιστότοπους που έχουν προσβληθεί από Heartbleed.
Τα πιστοποιητικά τοποθεσίας που έχουν αντιγραφεί μέσω του Heartbleed πρέπει να αντιμετωπιστούν
Υπάρχουν μεγάλες πιθανότητες να έχουν αντιγραφεί τα πιστοποιητικά ασφαλείας ιστότοπου για τη δημιουργία κακόβουλων ιστοσελίδων. Δεδομένου ότι τα πιστοποιητικά ασφαλείας είναι γενικά αντίγραφα, τα προγράμματα περιήγησης ενδέχεται να μην αναφέρουν τη διαφορά. Είστε εσείς που πρέπει να είστε προσεκτικοί. Αποφύγετε να κάνετε κλικ σε συνδέσμους και, αντ 'αυτού, πληκτρολογήστε τη διεύθυνση URL του δικτυακού τόπου στη γραμμή διευθύνσεων, έτσι ώστε να μην κάνετε ανακατεύθυνση σε κάποιο ψεύτικο ιστότοπο.
Αυτό το πρόβλημα μπορεί να επιλυθεί με δύο τρόπους:
- Τα προγράμματα περιήγησης που είναι διαθέσιμα στην αγορά πρέπει να είναι αρκετά έξυπνα ώστε να αναγνωρίζουν τα αντιγραμμένα πιστοποιητικά και να σας προειδοποιούν.
- Οι webmasters αλλάζουν τα πιστοποιητικά μετά την εφαρμογή της ενημερωμένης έκδοσης κώδικα.
Με άλλα λόγια, θα χρειαστεί λίγος χρόνος για να εφαρμοστεί παραπάνω, παρόλο που οι webmasters εφαρμόζουν την ενημερωμένη έκδοση κώδικα. Θα ήθελα να επαναλάβω ότι δεν κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή σε μη-φημισμένους ιστότοπους. Απλά, πληκτρολογήστε τη διεύθυνση URL στη γραμμή διευθύνσεων ή αν έχετε επιλέξει τον σελιδοδείκτη του αρχικού ιστότοπου, χρησιμοποιήστε το σελιδοδείκτη.
Η ενότητα "Αναφορές" στο τέλος αυτού του άρθρου περιέχει μια απίστευτη λίστα με τους επηρεαζόμενους ιστότοπους. Ελλιπής επειδή ενδέχεται να υπάρχουν περισσότερες ιστοσελίδες που επηρεάζονται από αυτές που αναφέρονται εκεί.
Βιβλιογραφικές αναφορές:
- Heart Bleed: Ιστοσελίδα
- OpenSSL: Συμβουλευτική ασφαλείας για την αιμορραγία από καρδιά
- Git Hub: Λίστα επηρεαζόμενων ιστότοπων.
Συνιστάται:
Πώς μπορείτε να μολύνεστε μέσω του προγράμματος περιήγησης και πώς να προστατεύσετε τον εαυτό σας
Σε έναν τέλειο κόσμο, δεν θα υπήρχε τρόπος για να μολυνθεί ο υπολογιστής σας μέσω του προγράμματος περιήγησης. Τα προγράμματα περιήγησης υποτίθεται ότι εκτελούν ιστοσελίδες σε ένα untrusted sandbox, απομονώνοντάς τα από τον υπόλοιπο υπολογιστή σας. Δυστυχώς, αυτό δεν συμβαίνει πάντα.
Τι είναι το "Zero-Day" Exploit, και πώς μπορείτε να προστατεύσετε τον εαυτό σας;
Ο τεχνολογικός τύπος γράφει συνεχώς για νέα και επικίνδυνα "μηδενικά" εκμεταλλεύματα. Αλλά τι είναι ακριβώς μια εκμετάλλευση μηδέν, τι το κάνει τόσο επικίνδυνο και - το πιο σημαντικό - πώς μπορείς να προστατεύσεις τον εαυτό σου;
Μην πέσετε για τη νέα απάτη CryptoBlackmail: Εδώ είναι πώς να προστατεύσετε τον εαυτό σας
Εδώ ξεκινάει μια απάτη CryptoBlackmail: Ένας εγκληματίας σας έρχεται σε επαφή με το ηλεκτρονικό ταχυδρομείο ή το ταχυδρομείο σαλιγκαριών και επιμένει ότι έχουν αποδείξεις ότι εξαπατήσατε τη σύζυγό σας, υπάρχει ένας δολοφόνος μετά από σας, ή υπάρχει ένα βίντεο κάμερας από εσάς που παρακολουθείτε πορνογραφία.
Ποια είναι η ευπάθεια POODLE και πώς μπορείτε να προστατεύσετε τον εαυτό σας;
Είναι δύσκολο να κλείσουμε το μυαλό μας γύρω από όλες αυτές τις καταστροφές στο Internet καθώς συμβαίνουν και όπως πιστεύαμε ότι το Διαδίκτυο ήταν ασφαλές και πάλι, αφού οι Heartbleed και Shellshock απειλούσαν να «τερματίσουν τη ζωή όπως το ξέρουμε», έρχεται το POODLE.
Τι είναι το Email Spoofing & πώς να προστατεύσετε τον εαυτό σας και να είστε ασφαλείς
Το Spoofing μέσω ηλεκτρονικού ταχυδρομείου είναι μια μορφή Phishing. Οι αποστολείς χρησιμοποιούν τις διευθύνσεις των άλλων ως δόλωμα. Μάθετε σχετικά με την πρόληψη της spoofing μέσω ηλεκτρονικού ταχυδρομείου, τον τρόπο να τον σταματήσετε, να προστατευθείτε και να είστε ασφαλείς.