Близо 70% от трафика в интернет работят OpenSSL за да осигурите прехвърлянето на данни. Това се изразява в почти всички основни сървъри (прочетени: уеб сайтове), които използват OpenSSL, за да защитят данните ви, като например идентификационни данни за вход. Обаче някой от Google откри грешка в OpenSSL - малка програмна грешка, но достатъчно голяма, за да предаде вашите данни на хакери - хора, които желаят да използват вашите данни за целите си. Тази грешка OpenSSL е наречена Heartbleed тъй като тя е тясно свързана с някои HeartBeat слой на OpenSLL.
Какво представлява сърцевината на бъбреците?
Heartbleed Bug е случай на тревога за почти всички интернет базирани търговски сайтове и някои други видове. Тази програмна грешка позволява на хакерите да проверяват във всеки сървър, който използва OpenSSL и чете / записва / използва некриптираните данни (декриптирани данни). Хакерите сега имат не само достъп до вашите данни, те могат да възпроизведат сертификата на уебсайта, правещ интернет, дори и по-опасно място. С копието на сертификата на уебсайта хакерите могат да създават имитирани сайтове: сайтове, които приличат на оригинални сайтове. По този начин те могат допълнително да получат достъп до вашите данни, като например данни за кредитни карти, лична информация и т.н.
Звучи страшно, нали? То е - наистина - тъй като може да има достъп до вашата информация и тази информация може да бъде използвана за всякакви цели.
Забележка: Heartbleed има и кодово име CVE-2014-0160. CVE означава обща уязвимост и експозиции. Тези кодове, свързани с уязвимостите и т.н., са предоставени от MITER, независим орган, който поддържа следи от бъгове и подобни проблеми.
Трябва ли да надстроя моя антивирусен софтуер или нещо подобно
Хроничната грешка в OpenSSL няма нищо общо с антивирусната или защитната стена. Това не е проблем на клиента, така че можете да направите малко за него. От друга страна, сървърите трябва да прилагат кръпка към OpenSSL системата, която използват. Това стана, може да се каже, че сайтът е по-безопасен за взаимодействие.
Това, което можете да направите като потребител, е да намалите броя на посещенията в търговията и подобни сайтове. Това не е, че бъгът засяга само сайтовете за търговия. Той е равен за всички видове уеб сайтове, които използват OpenSSL. Аз казвам, че избягвайте търговските сайтове за известно време, тъй като те биха били основната цел за хакери, които биха искали вашите данни за картата и т.н. Това означава, че основната цел на хакерите ще бъде сайтове за електронна търговия, използващи OpenSSL.
Щом получите съобщение / доклад, че грешката е фиксирана, можете да продължите напред, както преди, преди да бъде открита грешката. OpenSSL създаде кръпка и я пусна на собствениците на уеб сайтове, за да осигури данните на потребителите. Дотогава се опитайте да избегнете сайтовете, в които трябва да предоставите данните си под каквато и да е форма, дори и за идентификационни данни за вход. Сигурен съм, че почти всички уебмастъри трябва да влязат в пластира, но все още има проблем. Щом сте сигурни, че няма уязвимости или че такива уязвимости са били защитени, може би е добре да промените паролите си.
Междувременно използвайте тези разширения на браузъра, за да ви предупредим за засегнатите уебсайтове с Heartbleed.
Сертификатите за сайт, копирани чрез Heartbleed, трябва да бъдат разгледани
Има големи шансове, че сертификатите за сигурност на уебсайтове може да са били копирани за създаване на злонамерени уеб сайтове. Тъй като сертификатите за защита като общи копия, вашите браузъри може да не различат разликата. Вие трябва да останете предпазливи. Избягвайте да кликвате върху връзки и вместо това въведете URL адреса на уебсайта в адресната лента, така че да не сте пренасочени към някой фалшив сайт.
Този проблем може да бъде разрешен по два начина:
- Браузърите, достъпни на пазара, трябва да бъдат достатъчно интелигентни, за да идентифицират копираните сертификати и да ви предупредят.
- Уеб администраторите променят сертификатите след прилагането на пластира.
С други думи, това ще отнеме известно време, за да се приложи по-горе, въпреки че уеб администраторите прилагат кръпката. Бих искал да повторя, че не кликвайте върху връзки в имейли или не-реномирани уеб сайтове. Просто въведете URL адреса в адресната лента или ако има оригинален маркер на сайта, използвайте маркера.
Разделът "Референции" в края на тази статия съдържа непълен списък от засегнати уебсайтове. Непълна, тъй като може да има повече засегнати сайтове от изброените там.
Препратки:
- Сърцето Bleed: Уебсайт
- OpenSSL: Съвет по сигурността за сърдечно изкълчване
- Git Hub: Списък на засегнатите сайтове.
