Ultima oara v-am alertat cu privire la o încălcare majoră a securității a fost atunci când baza de date a parolelor Adobe a fost compromisă, punând în pericol milioane de utilizatori (în special cei cu parole slabe și frecvent refolosite). Astăzi vă avertizăm cu privire la o problemă de securitate mult mai mare, Heartbleed Bug, care a compromis potențial 2 / treimi uimitoare din site-urile web securizate de pe internet. Trebuie să vă schimbați parolele și trebuie să începeți să o faceți acum.
Notă importantă: How-To Geek nu este afectat de această eroare.
Ce este Heartbleed și de ce este atât de periculos?
În cazul încălcării tipice de securitate, sunt expuse înregistrările / parolele utilizatorilor unei singure companii. Este îngrozitor când se întâmplă, dar este o aventură izolată. Compania X are o încălcare a securității, emite un avertisment utilizatorilor lor, iar oamenii ca noi reamintesc tuturor că este timpul să înceapă o bună igienă de securitate și să își actualizeze parolele. Din păcate, încălcările tipice sunt destul de rele așa cum este. Bugul Heartbleed este ceva mult, mult, mai rau.
Bugul Heartbleed subminează schema de criptare care ne protejează în timp ce trimitem prin e-mail, bancăm și interacționăm cu alte site-uri web pe care credem că sunt sigure. Aici este descriere simplă-engleză a vulnerabilității de la Codenomicon, grupul de securitate care a descoperit și a alertat publicul cu privire la eroare:
Heartbleed Bug este o vulnerabilitate gravă în popularul bibliotecă de software criptografic OpenSSL. Această slăbiciune permite furtul informațiilor protejate, în condiții normale, de criptarea SSL / TLS utilizată pentru securizarea internetului. SSL / TLS oferă securitate și confidențialitate a comunicațiilor prin Internet pentru aplicații precum web, e-mail, mesagerie instant (IM) și unele rețele private virtuale (VPN).
Bugul Heartbleed permite oricui de pe Internet să citească memoria sistemelor protejate de versiunile vulnerabile ale software-ului OpenSSL. Acest lucru compromite cheile secrete utilizate pentru a identifica furnizorii de servicii și pentru a cripta traficul, numele și parolele utilizatorilor și conținutul real. Acest lucru permite atacatorilor să ascultă comunicații, să fure date direct de la servicii și utilizatori și să suplinească serviciile și utilizatorii.
Sună destul de rău, da? Sună și mai rău când vă dați seama că aproximativ două treimi din toate site-urile care utilizează SSL utilizează această versiune vulnerabilă a OpenSSL. Nu vorbim despre site-uri de scurtă durată, cum ar fi forumuri de tip hot rod sau site-uri de colecționare de jocuri de cărți de colecție, vorbim despre bănci, companii de carduri de credit, mari distribuitori de e-mail și furnizori de e-mail. Mai rău încă, această vulnerabilitate a fost în sălbăticie de aproximativ doi ani. Peste doi ani, cineva cu cunoștințele și abilitățile adecvate ar fi putut să acceseze acreditările de conectare și comunicările private ale unui serviciu pe care îl utilizați (și, conform testelor efectuate de Codenomicon, să o facă fără urmă).
Pentru o ilustrare și mai bună a modului în care funcționează eroarea Heartbleed. Citeste acest xkcd comic.
Deși niciun grup nu a venit să prezinte toate acreditările și informațiile pe care le-au sifonat cu exploit-ul, în acest moment al jocului trebuie să presupui că datele de autentificare pentru site-urile web pe care le frecventezi au fost compromise.
Ce trebuie să faceți după un bug Heartbleed
Orice încălcare majoritară a securității (și acest lucru se califică cu siguranță la scară largă) necesită evaluarea practicilor de gestionare a parolelor. Având în vedere acoperirea largă a erorilor Heartbleed, aceasta este o ocazie perfectă pentru a revizui un sistem de gestionare a parolelor care funcționează deja fără probleme sau, dacă ați târât picioarele, pentru a configura unul.
Înainte de a vă scufunda în schimbarea imediată a parolelor, rețineți că vulnerabilitatea este reparată numai dacă compania a trecut la noua versiune de OpenSSL. Povestea s-a dezlănțuit luni și, dacă v-ați grăbi să vă schimbați imediat parolele pe fiecare site, majoritatea dintre ele ar fi rulat în continuare versiunea vulnerabilă a OpenSSL.
LEGATE DE: Cum să efectuați un audit de securitate Last Pass (și de ce nu poate aștepta)
Acum, la jumătatea săptămânii, majoritatea site-urilor au început procesul de actualizare și până la sfârșit de săptămână este rezonabil să presupunem că majoritatea site-urilor web de profil înalt vor fi trecute.
Puteți utiliza Heartbleed Bug checker aici pentru a vedea dacă vulnerabilitatea este încă deschisă sau, chiar dacă site-ul nu răspunde la solicitările din partea verificatorului menționat anterior, puteți utiliza Verificatorul de date SSL al LastPass pentru a vedea dacă serverul în cauză și-a actualizat certificatul SSL recent (dacă l-a actualizat după 4/4/2014 este un bun indicator că au reparat vulnerabilitatea.) Notă: dacă rulați howtogeek.com prin intermediul programului de verificare a erorilor, va apărea o eroare, deoarece nu folosim criptarea SSL în primul rând și am verificat, de asemenea, că serverele noastre nu rulează niciun software afectat.
Acestea fiind spuse, se pare că acest sfârșit de săptămână se transformă într-un sfârșit de săptămână bun pentru a lua serios actualizarea parolelor. În primul rând, aveți nevoie de un sistem de gestionare a parolelor. Verifică ghidul nostru pentru a începe cu LastPass pentru a configura una dintre cele mai sigure și flexibile opțiuni de gestionare a parolelor din jur. Nu trebuie să utilizați LastPass, dar aveți nevoie de un fel de sistem care vă va permite să urmăriți și să gestionați o parolă unică și puternică pentru fiecare site pe care îl vizitați.
În al doilea rând, trebuie să începeți să vă schimbați parolele. Schița de gestionare a crizelor din ghidul nostru, Cum să vă recuperați după ce parola de e-mail este compromisă , este o modalitate excelentă de a vă asigura că nu ratați parolele; de asemenea, evidențiază elementele de bază ale unei bune igiene a parolelor, citate aici:
- Parolele trebuie să fie întotdeauna mai lungi decât minimul pe care îl permite serviciul . Dacă serviciul în cauză permite parole cu 6-20 de caractere, alegeți cea mai lungă parolă pe care o puteți aminti.
- Nu utilizați cuvinte din dicționar ca parte a parolei . Parola dvs. ar trebui nu să fie atât de simplu încât o scanare rapidă cu un fișier de dicționar ar putea să o dezvăluie. Nu includeți niciodată numele dvs., o parte din datele de conectare sau e-mail sau alte elemente ușor de identificat, cum ar fi numele companiei sau numele străzii. De asemenea, evitați să utilizați combinații obișnuite de tastatură precum „qwerty” sau „asdf” ca parte a parolei.
- Folosiți expresii de acces în loc de parole . Dacă nu utilizați un manager de parole pentru a vă aminti parolele cu adevărat aleatorii (da, ne dăm seama că adoptăm cu adevărat ideea de a folosi un manager de parole), vă puteți aminti parole mai puternice transformându-le în expresii de acces. De exemplu, pentru contul dvs. Amazon, ați putea crea fraza de trecere „Îmi place să citesc cărți” și apoi să o transformați într-o parolă precum „! Luv2ReadBkz”. Este ușor de reținut și este destul de puternic.
În al treilea rând, ori de câte ori este posibil, doriți să activați autentificarea cu doi factori. Poti citiți mai multe despre autentificarea cu doi factori aici , dar pe scurt, vă permite să adăugați un strat suplimentar de identificare la datele de conectare.
LEGATE DE: Ce este autentificarea cu doi factori și de ce am nevoie de ea?
Cu Gmail, de exemplu, autentificarea în doi factori necesită să aveți nu doar datele de conectare și parola, ci accesul la telefonul mobil înregistrat în contul dvs. Gmail, astfel încât să puteți accepta un cod de mesaj text pe care să îl introduceți atunci când vă conectați de pe un computer nou.
Cu autentificarea cu doi factori activată, este foarte dificil pentru cineva care a câștigat acces la datele dvs. de conectare și parola (cum ar putea cu Heartbleed Bug) să vă acceseze efectiv contul.
Vulnerabilitățile de securitate, în special cele cu implicații atât de importante, nu sunt niciodată distractive, dar ne oferă o oportunitate de a ne strânge practicile de parolă și de a ne asigura că parolele unice și puternice păstrează daunele, atunci când apar, cuprinse.
