Naposled upozornili jsme vás na závažné narušení bezpečnosti bylo, když byla ohrožena databáze hesel společnosti Adobe, což ohrozilo miliony uživatelů (zejména těch, kteří mají slabá a často opakovaně používaná hesla). Dnes vás varujeme před mnohem větším bezpečnostním problémem, Heartbleed Bug, který potenciálně narušil ohromující 2/3 zabezpečených webů na internetu. Musíte změnit svá hesla a musíte to začít dělat hned teď.
Důležitá poznámka: How-To Geek není touto chybou ovlivněn.
Co je Heartbleed a proč je to tak nebezpečné?
Při typickém narušení zabezpečení jsou vystaveny uživatelské záznamy / hesla jedné společnosti. To je hrozné, když se to stane, ale je to izolovaná záležitost. Společnost X má narušení zabezpečení, vydá varování svým uživatelům a lidé jako my všem připomínají, že je čas začít s bezpečnou hygienou a aktualizovat svá hesla. Tato, bohužel, typická porušení jsou dost špatná. Heartbleed Bug je něco hodně, hodně, horší.
Heartbleed Bug podkopává samotné šifrovací schéma, které nás chrání, když posíláme e-maily, banky a jiné interakce s weby, které považujeme za bezpečné. Tady je prostý anglický popis zranitelnosti od Codenomicon, bezpečnostní skupiny, která objevila a upozornila veřejnost na chybu:
Heartbleed Bug je vážná chyba zabezpečení v populární kryptografické softwarové knihovně OpenSSL. Tato slabina umožňuje krást informace chráněné za normálních podmínek šifrováním SSL / TLS používaným k zabezpečení Internetu. SSL / TLS poskytuje zabezpečení komunikace a soukromí přes internet pro aplikace, jako je web, e-mail, rychlé zasílání zpráv (IM) a některé virtuální privátní sítě (VPN).
Chyba Heartbleed umožňuje komukoli na internetu číst paměť systémů chráněných zranitelnými verzemi softwaru OpenSSL. To ohrožuje tajné klíče používané k identifikaci poskytovatelů služeb a šifrování provozu, jmen a hesel uživatelů a skutečného obsahu. To umožňuje útočníkům odposlouchávat komunikaci, krást data přímo ze služeb a uživatelů a vydávat se za služby a uživatele.
To zní celkem špatně, že? Zní to ještě hůř, když si uvědomíte, že zhruba dvě třetiny všech webů využívajících SSL používá tuto zranitelnou verzi OpenSSL. Nemluvíme o časově omezených webech, jako jsou fóra hot rodů nebo sběratelské výměnné weby o karetních hrách, mluvíme o bankách, společnostech vydávajících kreditní karty, hlavních maloobchodnících a poskytovatelích e-mailů. Ještě horší je, že tato zranitelnost je ve volné přírodě přibližně dva roky. To jsou dva roky, kdy někdo s patřičnými znalostmi a dovednostmi mohl využívat přihlašovací údaje a soukromou komunikaci služby, kterou používáte (a podle testování provedeného Codenomiconem to udělat beze stopy).
Pro ještě lepší ilustraci toho, jak chyba Heartbleed funguje. přečti si tohle xkcd komik.
Přestože se žádná skupina nepřihlásila, aby se chlubila všemi přihlašovacími údaji a informacemi, které sifonovala pomocí zneužití, v tomto okamžiku hry musíte předpokládat, že přihlašovací údaje pro webové stránky, které často navštěvujete, byly kompromitovány.
Co dělat Po odeslání Heartbleed Bug
Jakékoli většinové narušení zabezpečení (a to se určitě kvalifikuje ve velkém měřítku) vyžaduje, abyste posoudili své postupy správy hesel. Vzhledem k širokému dosahu Heartbleed Bug je to skvělá příležitost zkontrolovat již fungující systém pro správu hesel nebo jej nastavit, pokud jste táhli nohama.
Než se ponoříte do okamžité změny hesel, uvědomte si, že chyba zabezpečení je opravena pouze v případě, že společnost upgradovala na novou verzi OpenSSL. Příběh se zlomil v pondělí, a pokud jste vyrazili okamžitě změnit hesla na každém webu, většina z nich by stále používala zranitelnou verzi OpenSSL.
PŘÍBUZNÝ: Jak spustit bezpečnostní audit posledního průchodu (a proč to nemůže čekat)
Nyní, v polovině týdne, většina webů zahájila proces aktualizace a do víkendu je rozumné předpokládat, že většina vysoce postavených webů přešla.
Můžete použít Heartbleed Bug checker zde zjistíte, zda je zranitelnost stále otevřená, nebo i když web nereaguje na požadavky výše uvedeného kontrolního nástroje, můžete použít LastPass's SSL date checker zjistit, zda dotyčný server nedávno aktualizoval svůj certifikát SSL (pokud jej aktualizovali po 4. 7. 2014, je to dobrý indikátor toho, že chybu zabezpečení opravili.) Poznámka: pokud spustíte howtogeek.com prostřednictvím kontroly chyb, vrátí chybu, protože nepoužíváme šifrování SSL, a také jsme ověřili, že na našich serverech není spuštěn žádný ovlivněný software.
To znamená, že to vypadá, že se tento víkend utváří jako dobrý víkend, abyste se vážně zabývali aktualizací hesel. Nejprve potřebujete systém pro správu hesel. Překontrolovat náš průvodce, jak začít s LastPass nastavit jednu z nejbezpečnějších a nejflexibilnějších možností správy hesel. Nemusíte používat LastPass, ale potřebujete nějaký systém, který vám umožní sledovat a spravovat jedinečné a silné heslo pro každý web, který navštívíte.
Zadruhé, musíte začít měnit hesla. Nástin krizového řízení v našem průvodci, Jak se zotavit po narušení hesla vašeho e-mailu , je skvělý způsob, jak zajistit, aby vám žádná hesla neunikla; zdůrazňuje také základy správné hygieny hesel, zde citované:
- Hesla by měla být vždy delší než minimum, které služba umožňuje . Pokud daná služba umožňuje hesla o délce 6–20 znaků, použijte nejdelší heslo, jaké si pamatujete.
- Nepoužívejte slovníky jako součást hesla . Vaše heslo by mělo být nikdy být tak jednoduché, že by to letmý sken se souborem slovníku odhalil. Nikdy neuvádějte své jméno, část přihlašovacího jména nebo e-mailu nebo jiné snadno identifikovatelné položky, jako je název vaší společnosti nebo název ulice. Jako součást hesla také nepoužívejte běžné kombinace kláves, jako je „qwerty“ nebo „asdf“.
- Místo hesel používejte hesla . Pokud nepoužíváte správce hesel k zapamatování si opravdu náhodných hesel (ano, uvědomujeme si, že se opravdu snažíme o myšlenku použití správce hesel), pak si můžete zapamatovat silnější hesla tak, že je změníte na přístupová hesla. Například pro svůj účet Amazon můžete vytvořit snadno zapamatovatelnou přístupovou frázi „Rád čtu knihy“ a poté ji zkrátit na heslo jako „! Luv2ReadBkz“. Je snadné si to zapamatovat a je to docela silné.
Za třetí, kdykoli je to možné, chcete povolit dvoufaktorové ověřování. Můžeš Přečtěte si více o dvoufaktorové autentizaci zde Stručně řečeno, umožňuje vám přidat k přihlašovacím údajům další vrstvu identifikace.
PŘÍBUZNÝ: Co je dvoufaktorové ověřování a proč ho potřebuji?
Například v Gmailu vyžaduje dvoufaktorové ověřování, abyste měli nejen své přihlašovací jméno a heslo, ale také přístup k mobilnímu telefonu registrovanému ve vašem účtu Gmail, abyste mohli přijmout kód textové zprávy, který chcete zadat, když se přihlásíte z nového počítače.
Pokud je povoleno dvoufaktorové ověřování, je velmi obtížné, aby někdo, kdo získal přístup k vašemu přihlašovacímu jménu a heslu (podobně jako u Heartbleed Bug), měl skutečný přístup k vašemu účtu.
Zranitelnosti zabezpečení, zejména ty, které mají tak dalekosáhlé důsledky, nejsou nikdy zábavné, ale nabízejí nám příležitost zpřísnit naše postupy týkající se hesel a zajistit, aby jedinečná a silná hesla udržovala poškození, pokud k němu dojde, v bezpečí.
