Important note: How-To Geek is not affected by this bug.
Какво е сърцето и защо е толкова опасно?
При типичния ви пробив в сигурността са записани потребителски записи / пароли за една компания. Това е ужасно, когато се случи, но това е изолирана връзка. Компанията X има нарушение на сигурността, предупреждава своите потребители и хората като нас напомнят на всички, че е време да започнат да практикуват добра хигиена на сигурността и да актуализират своите пароли. Тези, за съжаление, типичните нарушения са толкова лоши, колкото са. В сърцевината бъг е нещо много,много, по-лошо.
Heartbleed Bug подкопава схемата за кодиране, която ни защитава, докато изпращаме имейли, банки и взаимодействаме по друг начин с уебсайтове, за които смятаме, че са защитени. Ето ясно описание на уязвимостта от Codenomicon, групата за сигурност, която откри и предупреди публиката за грешката:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Това звучи доста зле, нали? Звучи още по-зле, когато разбереш, че приблизително две-трети от всички уебсайтове, използващи SSL, използват тази уязвима версия на OpenSSL. Не говорим за малки сайтове, като горещи форуми или за размяна на карти с карти за събиране на карти, ние говорим банки, компании за кредитни карти, големи е-търговци на дребно и доставчици на електронна поща. Още по-лошо, тази уязвимост е била в дивата природа около две години. Това е две години, когато някой с подходящите знания и умения би могъл да се впише в идентификационните данни за вход и частните съобщения на услугата, която използвате (и според тестовете, извършени от Codenomicon, да го направи без следа).
За още по-добра илюстрация на това, как функционира сърцето. прочетете този xkcd комикс.
Какво да правите след сърдечен бъг
Всяко нарушение на сигурността на мнозинството (и това със сигурност се оценява в голям мащаб) изисква от вас да оцените практиките си за управление на паролата. Предвид широкия обхват на "Heartbleed Bug" това е добра възможност да прегледате вече плавно управлявана система за управление на паролата или, ако сте плъзгали краката си, да я настроите.
Преди да се потопите в незабавното променяне на паролите си, имайте предвид, че уязвимостта се коригира само ако компанията е надстроила до новата версия на OpenSSL. Историята се разпадна в понеделник и ако се втурнахте да промените паролите си незабавно на всеки сайт, повечето от тях все още биха работили с уязвимата версия на OpenSSL.
Сега, в средата на седмицата, повечето сайтове са започнали процеса на актуализиране и през уикенда е разумно да приемем, че по-голямата част от високопрофилните уеб сайтове ще са преминали.
Можете да използвате контрола на Heartbleed Bug тук, за да проверите дали уязвимостта все още не е отворена или дори сайтът да не отговаря на заявките от гореспоменатия контролер, можете да използвате проверката за дата на SSL на LastPass, за да видите дали въпросният сървър е актуализирал SSL сертификат наскоро (ако го актуализираха след 4/7/2014, това е добър индикатор, че са подготвили уязвимостта.) Забележка: ако пуснете howtogeek.com чрез проверката на програмни грешки, това ще върне грешка, защото на първо място не използваме SSL криптиране и ние също така потвърдихме, че сървърите ни не използват никакъв засегнат софтуер.
Това каза, изглежда, този уикенд се оформя, за да бъде добър уикенд, за да стане сериозен за актуализирането на вашите пароли. Първо, имате нужда от система за управление на паролата. Проверете нашето ръководство за започване на работа с LastPass, за да настроите една от най-сигурните и гъвкави опции за управление на пароли. Не е нужно да използвате LastPass, но имате нужда от някаква система, която ще ви позволи да проследявате и управлявате уникална и силна парола за всеки уебсайт, който посещавате.
Второ, трябва да започнете да променяте паролите си. Наръчникът за управление на кризи в нашето ръководство, Как да възстановите след вашата имейл парола е компрометиран, е чудесен начин да се уверите, че не пропускате никакви пароли; тя също така подчертава основите на добрата хигиена на паролата, цитиран тук:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Трето, когато е възможно, искате да активирате двуфакторна удостоверяване. Можете да прочетете повече за двуфакторното удостоверяване тук, но накратко ви позволява да добавите допълнителен идентификационен слой към данните си за вход.
С Gmail например удостоверяването с две фактори изисква не само вашето потребителско име и парола, но и достъпът до мобилния телефон, регистриран в профила ви в Gmail, така че да можете да приемете код за текстово съобщение, който да въведете, когато влезете от нов компютър.
С двуфакторното удостоверяване е много трудно за някой, който е получил достъп до вашите данни за вход и парола (както биха могли с Heartbleed Bug), да имат достъп до профила ви.
Уязвимостите в сигурността, особено тези, които имат толкова голямо въздействие, никога не са забавни, но те ни предлагат възможност да затегнем практиките си за парола и да гарантираме, че уникалните и силни пароли ще запазят вредите, когато това се случи.
