Windows

Co je Heartbleed Bug a jak se chránit a zůstat v bezpečí?

CS50 Live, Episode 006

CS50 Live, Episode 006

Obsah:

Anonim

Téměř 70 procent provozu na Internetu používá OpenSSL pro zabezpečení datových přenosů. To znamená, že téměř všechny hlavní servery (čtěte: webové stránky) používají OpenSSL k zajištění vašich dat, jako jsou přihlašovací údaje. Někdo z Googlu však nalezl chybu v OpenSSL - drobnou chybu programování, ale dost velká na to, aby vám dávala data hackerům - lidem ochotným používat vaše data pro jejich účely. Tato chyba OpenSSL je nazvána Heartbleed , protože je úzce spjata s nějakou vrstvou HeartBeat OpenSLL.

Co je to Heartbleed Bug

Většina serverů přijímá šifrované data, dekóduje je pomocí šifrovacích klíčů pro zpracování. Vzhledem k tomu, že většina serverů využívá metodu FIFO (First in First Out) sloužící k obsluze koncových uživatelů, data (po dešifrování) se často nacházejí v paměti serveru předtím, než se server načte pro další zpracování.

Heartbleed Bug případ obav pro téměř všechny komerční internetové stránky založené na internetu a některé další typy. Tato chyba programování umožňuje hackerům zkontrolovat libovolný server, který používá OpenSSL a čtení / ukládání / použití nešifrovaných dat (dešifrované údaje). Hackeři mají nyní nejen přístup k vašim datům, ale mohou také rozmnožovat certifikát webových stránek, který dělá internet, ještě nebezpečnější místo. S kopií certifikátu webových stránek mohou hackeři vytvářet mimické weby: weby, které vypadají podobně jako původní stránky. S tím mohou dále přistupovat k vašim datům, jako jsou údaje o kreditní kartě, osobní údaje atd.

Zní to děsivě, že? Je to - skutečně - protože má přístup k vašim informacím a informace lze použít k libovolnému konci.

Poznámka : Heartbleed má také kódové jméno CVE-2014-0160. CVE znamená společné chyby zabezpečení a expozice. Tyto kódy týkající se zranitelných míst apod. Jsou dány MITER, nezávislým orgánem, který udržuje stopy chyb a podobných problémů.

Měl bych aktualizovat svůj Anti-Virus nebo něco

Chyba srdce v OpenSSL nemá nic společného s vaším antivirovým nebo firewallem. To není problém klienta, takže o tom nemusíte dělat nic. Na druhé straně servery musí použít systém OpenSSL, který používají. To může znamenat, že webová stránka může být bezpečnější pro interakci.

Co můžete udělat jako uživatel, je snížit počet návštěv v obchodních a podobných stránkách. Nejedná se o to, že se chyba týká pouze obchodních stránek. Je to stejné pro všechny typy webových stránek, které používají OpenSSL. Řekl jsem, že se časem vyhýbám obchodním místům, protože by byly hlavním cílem pro hackery, kteří by chtěli, aby vaše údaje o kartě apod. To znamená, že primárním cílem hackerů by byly weby s elektronickým obchodem používající OpenSSL.

Jakmile dostanete zprávu / ujistěte se, že chyba je opravena, můžete pokračovat stejně jako dříve, než byla chyba objevena. OpenSSL vytvořila opravu a uvolnila ji pro vlastníky webových stránek, aby zajistila data svých uživatelů. Do té doby se snažte vyhnout místům, kde musíte dát ve svých datech jakoukoli formu - dokonce i přihlašovací údaje. Jsem si jistý, že téměř všichni správci webu musí jít do záplaty, ale stále existuje problém. Poté, co jste si jisti, že nejsou žádné chyby zabezpečení nebo jsou tyto chyby zabezpečení zpopaleny, může být vhodné změnit heslo.

Zatím používejte tato rozšíření prohlížeče, abyste vás varovali před napadenými webovými stránkami Heartbleed. přes rozhraní Heartbleed musí být adresováno

Existují velké šance, že certifikáty zabezpečení webu mohly být zkopírovány pro vytváření škodlivých webových stránek. Vzhledem k tomu, že bezpečnostní certifikáty jsou jako obecné kopie, vaše prohlížeče nemusí rozlišovat. Vy jste to, kdo musí zůstat opatrný. Vyhněte se klepnutím na odkazy a místo toho zadejte adresu URL webové stránky do adresního řádku, abyste nebyli přesměrováni na některé falešné stránky.

Tento problém lze vyřešit dvěma způsoby:

Prohlížeče, které jsou k dispozici na trhu, by měly být natolik chytré, aby identifikovaly kopírované certifikáty a upozorňovaly vás.

  1. Webmasteři změní certifikáty po aplikaci opravy.
  2. Jinými slovy, implementace bude trvat nějaký čas, přestože webmasteři použijí opravu. Chtěl bych zopakovat, že nekliknete na odkazy v e-mailech nebo na jiných webových stránkách. Jednoduše zadejte adresu URL do adresního řádku nebo pokud máte původní záložku, použijte záložku.

Část Odkazy na konci tohoto článku obsahuje neúplný seznam dotčených webových stránek.

Odkazy:

Heart Bleed: Webová stránka

  • OpenSSL: Bezpečnostní poradenství pro srdeční potíže
  • Git Hub: Seznam dotčených webových stránek