Την τελευταία φορά σας ειδοποιήσαμε για σημαντική παραβίαση της ασφάλειας βρισκόταν σε κίνδυνο η βάση δεδομένων κωδικών πρόσβασης της Adobe, θέτοντας σε κίνδυνο εκατομμύρια χρήστες (ειδικά εκείνους με αδύναμους και συχνά επαναχρησιμοποιούμενους κωδικούς πρόσβασης). Σήμερα σας προειδοποιούμε για ένα πολύ μεγαλύτερο πρόβλημα ασφάλειας, το Heartbleed Bug, το οποίο ενδεχομένως έχει θέσει σε κίνδυνο τα εντυπωσιακά 2 / 3rds των ασφαλών ιστότοπων στο Διαδίκτυο. Πρέπει να αλλάξετε τους κωδικούς πρόσβασής σας και πρέπει να αρχίσετε να το κάνετε τώρα.
Σημαντική σημείωση: Το How-To Geek δεν επηρεάζεται από αυτό το σφάλμα.
Τι είναι το Heartbleed και γιατί είναι τόσο επικίνδυνο;
Στην τυπική παραβίαση ασφαλείας, εμφανίζονται τα αρχεία / κωδικοί πρόσβασης μιας εταιρείας. Αυτό είναι απαίσιο όταν συμβαίνει, αλλά είναι μια μεμονωμένη υπόθεση. Η εταιρεία X έχει παραβιάσει την ασφάλεια, εκδίδει μια προειδοποίηση στους χρήστες της και οι άνθρωποι σαν εμάς υπενθυμίζουν σε όλους ότι ήρθε η ώρα να αρχίσουν να ασκούν καλή υγιεινή ασφάλειας και να ενημερώνουν τους κωδικούς πρόσβασης. Αυτές, δυστυχώς, οι τυπικές παραβιάσεις είναι αρκετά κακές. Το Heartbleed Bug είναι κάτι πολύ, πολύ, χειρότερος.
Το Heartbleed Bug υπονομεύει το πολύ σχήμα κρυπτογράφησης που μας προστατεύει ενώ στέλνουμε email, τράπεζα και αλλιώς αλληλεπιδρούμε με ιστότοπους που πιστεύουμε ότι είναι ασφαλείς. Εδώ είναι ένα απλή-αγγλική περιγραφή της ευπάθειας από την Codenomicon, την ομάδα ασφαλείας που ανακάλυψε και ειδοποίησε το κοινό για το σφάλμα:
Το Heartbleed Bug είναι μια σοβαρή ευπάθεια στη δημοφιλή βιβλιοθήκη λογισμικού OpenSSL. Αυτή η αδυναμία επιτρέπει την κλοπή των πληροφοριών που προστατεύονται, υπό κανονικές συνθήκες, από την κρυπτογράφηση SSL / TLS που χρησιμοποιείται για την ασφάλεια του Διαδικτύου. Το SSL / TLS παρέχει ασφάλεια επικοινωνίας και απόρρητο μέσω Διαδικτύου για εφαρμογές όπως ιστός, email, ανταλλαγή άμεσων μηνυμάτων (IM) και ορισμένα εικονικά ιδιωτικά δίκτυα (VPN).
Το σφάλμα Heartbleed επιτρέπει σε οποιονδήποτε στο Διαδίκτυο να διαβάσει τη μνήμη των συστημάτων που προστατεύονται από τις ευάλωτες εκδόσεις του λογισμικού OpenSSL. Αυτό θέτει σε κίνδυνο τα μυστικά κλειδιά που χρησιμοποιούνται για την αναγνώριση των παρόχων υπηρεσιών και για την κρυπτογράφηση της κυκλοφορίας, των ονομάτων και των κωδικών πρόσβασης των χρηστών και του πραγματικού περιεχομένου. Αυτό επιτρέπει στους εισβολείς να παρακολουθούν τις επικοινωνίες, να κλέβουν δεδομένα απευθείας από τις υπηρεσίες και τους χρήστες και να πλαστοπροσωπούν τις υπηρεσίες και τους χρήστες.
Ακούγεται πολύ κακό, ναι; Ακούγεται ακόμα χειρότερο όταν συνειδητοποιείτε ότι περίπου τα δύο τρίτα όλων των ιστότοπων που χρησιμοποιούν SSL χρησιμοποιούν αυτήν την ευάλωτη έκδοση του OpenSSL. Δεν μιλάμε για ιστότοπους μικρού χρόνου, όπως φόρουμ hot rod ή ιστότοπους ανταλλακτικών παιχνιδιών με κάρτες, μιλάμε για τράπεζες, εταιρείες πιστωτικών καρτών, σημαντικούς λιανοπωλητές και παρόχους e-mail. Ακόμα χειρότερα, αυτή η ευπάθεια βρίσκεται στην άγρια φύση για περίπου δύο χρόνια. Αυτά είναι δύο χρόνια κάποιος με τις κατάλληλες γνώσεις και δεξιότητες θα μπορούσε να έχει αξιοποιήσει τα διαπιστευτήρια σύνδεσης και τις ιδιωτικές επικοινωνίες μιας υπηρεσίας που χρησιμοποιείτε (και, σύμφωνα με τις δοκιμές που πραγματοποίησε η Codenomicon, το έκανε χωρίς ίχνος).
Για μια ακόμη καλύτερη εικόνα του τρόπου λειτουργίας του Heartbleed bug. διάβασε αυτό xkcd κόμικς.
Παρόλο που καμία ομάδα δεν έχει προχωρήσει για να επιδείξει όλα τα διαπιστευτήρια και τις πληροφορίες που αποκάλυψαν με την εκμετάλλευση, σε αυτό το σημείο του παιχνιδιού πρέπει να υποθέσετε ότι τα διαπιστευτήρια σύνδεσης για τους ιστότοπους που συχνά επισκέπτεστε έχουν παραβιαστεί.
Τι να κάνετε μετά το Heartbleed Bug
Οποιαδήποτε παραβίαση ασφάλειας πλειοψηφίας (και αυτό σίγουρα πληροί τις προϋποθέσεις σε μεγάλο βαθμό) απαιτεί από εσάς να αξιολογήσετε τις πρακτικές διαχείρισης κωδικού πρόσβασης. Δεδομένης της ευρείας εμβέλειας του Heartbleed Bug, αυτή είναι η τέλεια ευκαιρία για να ελέγξετε ένα ήδη ομαλό σύστημα διαχείρισης κωδικών πρόσβασης ή, αν έχετε σύρει τα πόδια σας, για να το ρυθμίσετε.
Πριν ξεκινήσετε να αλλάζετε αμέσως τους κωδικούς πρόσβασής σας, λάβετε υπόψη ότι η ευπάθεια επιδιορθώνεται μόνο εάν η εταιρεία έχει αναβαθμίσει τη νέα έκδοση του OpenSSL. Η ιστορία έσπασε τη Δευτέρα και αν βγήκατε αμέσως να αλλάξετε τους κωδικούς πρόσβασής σας σε κάθε ιστότοπο, οι περισσότεροι από αυτούς θα εξακολουθούσαν να χρησιμοποιούν την ευάλωτη έκδοση του OpenSSL.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να εκτελέσετε έναν έλεγχο ασφαλείας Last Pass (και γιατί δεν μπορεί να περιμένει)
Τώρα, στα μέσα της εβδομάδας, οι περισσότεροι ιστότοποι έχουν ξεκινήσει τη διαδικασία ενημέρωσης και μέχρι το σαββατοκύριακο είναι λογικό να υποθέσουμε ότι η πλειονότητα των ιστότοπων υψηλού προφίλ θα έχουν αλλάξει.
Μπορείτε να χρησιμοποιήσετε το Έλεγχος σφαλμάτων Heartbleed εδώ για να δείτε αν η ευπάθεια είναι ανοιχτή ακόμα, ή ακόμα και αν ο ιστότοπος δεν ανταποκρίνεται σε αιτήματα από το προαναφερθέν πούλι, μπορείτε να χρησιμοποιήσετε Έλεγχος ημερομηνίας SSL του LastPass για να δείτε αν ο εν λόγω διακομιστής ενημέρωσε πρόσφατα το πιστοποιητικό SSL του (αν το ενημέρωσε μετά τις 4/7/2014, είναι μια καλή ένδειξη ότι έχουν επιδιορθώσει την ευπάθεια.) Σημείωση: εάν εκτελέσετε το howtogeek.com μέσω του προγράμματος ελέγχου σφαλμάτων, θα επιστρέψει ένα σφάλμα επειδή δεν χρησιμοποιούμε πρώτα την κρυπτογράφηση SSL και έχουμε επίσης επαληθεύσει ότι οι διακομιστές μας δεν εκτελούν κανένα επηρεαζόμενο λογισμικό.
Τούτου λεχθέντος, φαίνεται ότι αυτό το σαββατοκύριακο διαμορφώνεται για να είναι ένα καλό σαββατοκύριακο για να πάρει σοβαρά την ενημέρωση των κωδικών πρόσβασής σας. Πρώτον, χρειάζεστε ένα σύστημα διαχείρισης κωδικού πρόσβασης. Ολοκλήρωση αγοράς ο οδηγός μας για να ξεκινήσετε με το LastPass για να δημιουργήσετε μια από τις πιο ασφαλείς και ευέλικτες επιλογές διαχείρισης κωδικού πρόσβασης. Δεν χρειάζεται να χρησιμοποιήσετε το LastPass, αλλά χρειάζεστε κάποιο είδος συστήματος που θα σας επιτρέπει να παρακολουθείτε και να διαχειρίζεστε έναν μοναδικό και ισχυρό κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεστε.
Δεύτερον, πρέπει να αρχίσετε να αλλάζετε τους κωδικούς πρόσβασής σας. Το περίγραμμα διαχείρισης κρίσεων στον οδηγό μας, Τρόπος ανάκτησης μετά από συμβιβασμό του κωδικού πρόσβασης ηλεκτρονικού ταχυδρομείου , είναι ένας πολύ καλός τρόπος για να διασφαλίσετε ότι δεν θα χάσετε κωδικούς πρόσβασης. υπογραμμίζει επίσης τα βασικά στοιχεία της καλής υγιεινής κωδικού πρόσβασης, που αναφέρονται εδώ:
- Οι κωδικοί πρόσβασης πρέπει να είναι πάντα μεγαλύτεροι από το ελάχιστο που επιτρέπει η υπηρεσία . Εάν η εν λόγω υπηρεσία επιτρέπει κωδικούς πρόσβασης 6-20 χαρακτήρων, αναζητήστε τον μεγαλύτερο κωδικό πρόσβασης που μπορείτε να θυμηθείτε.
- Μην χρησιμοποιείτε λέξεις λεξικού ως μέρος του κωδικού πρόσβασής σας . Ο κωδικός πρόσβασής σας πρέπει ποτέ να είσαι τόσο απλός ώστε να το αποκαλύπτει μια σάρωση με ένα λεξικό. Ποτέ μην συμπεριλαμβάνετε το όνομά σας, μέρος της σύνδεσης ή email, ή άλλα εύκολα αναγνωρίσιμα στοιχεία όπως το όνομα της εταιρείας σας ή το όνομα της οδού σας. Επίσης, αποφύγετε τη χρήση κοινών συνδυασμών πληκτρολογίου όπως «qwerty» ή «asdf» ως μέρος του κωδικού πρόσβασής σας.
- Χρησιμοποιήστε φράσεις πρόσβασης αντί για κωδικούς πρόσβασης . Εάν δεν χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης για να θυμάστε πραγματικά τυχαίους κωδικούς πρόσβασης (ναι, συνειδητοποιούμε ότι βασίζουμε πραγματικά την ιδέα της χρήσης ενός διαχειριστή κωδικών πρόσβασης) τότε μπορείτε να θυμηθείτε ισχυρότερους κωδικούς πρόσβασης μετατρέποντάς τους σε φράσεις πρόσβασης. Για τον λογαριασμό σας στο Amazon, για παράδειγμα, θα μπορούσατε να δημιουργήσετε τη φράση πρόσβασης που θυμάται εύκολα "Μου αρέσει να διαβάζω βιβλία" και, στη συνέχεια, να την προσθέσετε σε έναν κωδικό πρόσβασης όπως "! Luv2ReadBkz". Είναι εύκολο να το θυμάστε και είναι αρκετά δυνατό.
Τρίτον, όποτε είναι δυνατόν, θέλετε να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων. Μπορείς διαβάστε περισσότερα για τον έλεγχο ταυτότητας δύο παραγόντων εδώ , εν ολίγοις, σας επιτρέπει να προσθέσετε ένα επιπλέον επίπεδο αναγνώρισης στα στοιχεία σύνδεσής σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί το χρειάζομαι;
Με το Gmail, για παράδειγμα, ο έλεγχος ταυτότητας δύο παραγόντων απαιτεί από εσάς να μην έχετε μόνο την είσοδο και τον κωδικό πρόσβασής σας, αλλά να έχετε πρόσβαση στο κινητό τηλέφωνο που είναι εγγεγραμμένος στον λογαριασμό σας στο Gmail, ώστε να μπορείτε να αποδεχτείτε έναν κωδικό μηνύματος κειμένου για εισαγωγή όταν συνδέεστε από έναν νέο υπολογιστή.
Με ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων, καθιστά πολύ δύσκολο για κάποιον που έχει αποκτήσει πρόσβαση στα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας (όπως θα μπορούσε να κάνει με το Heartbleed Bug) να έχει πρόσβαση στον λογαριασμό σας.
Οι ευπάθειες ασφαλείας, ειδικά εκείνες με τόσο εκτεταμένες επιπτώσεις, δεν είναι ποτέ διασκεδαστικές, αλλά προσφέρουν την ευκαιρία για εμάς να σφίξουμε τις πρακτικές κωδικού πρόσβασης και να διασφαλίσουμε ότι οι μοναδικοί και ισχυροί κωδικοί πρόσβασης διατηρούν τη ζημιά, όταν συμβεί, συγκρατούνται.
