FAQ: Qual è la vulnerabilità heartbleed e come proteggersi da esso

Una vulnerabilità recentemente scoperta nel protocollo OpenSSL, soprannominato heartbleed, e anche il proprio logo, porta una potenziale minaccia per la password dell'utente su una varietà di siti web. Abbiamo deciso di aspettare per l'hype intorno ad esso e se ne parla, per così dire, nel residuo secco.

Questo ci aiuterà a un'edizione popolare di CNET, che raccolto un elenco di domande frequenti su questo argomento. Ci auguriamo che le seguenti informazioni vi aiuteranno a conoscere meglio heartbleed e proteggersi. Prima di tutto, ricordatevi di data con il problema heartbleed non è stato risolto completamente.

Che cosa è heartbleed?

vulnerabilità di sicurezza in libreria software OpenSSL (aperta implementazione del protocollo di crittografia SSL / TLS) che consente agli hacker - heartbleed per accedere al contenuto di server di memoria, che a questo punto potrebbe contenere dati privati ​​dei diversi utenti servizi web. Secondo la società di ricerche Netcraft, questa vulnerabilità può essere esposto a circa 500 mila siti web.

Ciò significa che su questi siti potenzialmente a rischio sono stati i dati personali di tali utenti, come nomi utente, password, dati di carte di credito, etc.

La vulnerabilità consente inoltre agli aggressori di chiavi digitali, che vengono utilizzati, ad esempio, per corrispondenza e la crittografia dei documenti interni in una varietà di aziende.

Che cosa è OpenSSL?

Cominciamo con il protocollo SSL, che sta per Secure Sockets Layer (Secure Sockets Layer). Egli è anche noto con il nuovo nome di TLS (Transport Layer Security). Oggi è uno dei più comuni metodi di crittografia dei dati nella rete che ti protegge da possibili "spiare" da parte. (Https all'inizio del collegamento indica che la comunicazione tra il browser e aprirlo nel sito utilizza SSL, altrimenti si vedrà nel browser appena http).

OpenSSL - implementazione SSL di software open source. Le vulnerabilità sono stati sottoposti a protocollo versione 1.0.1 per 1.0.1f. OpenSSL è utilizzato anche nel sistema operativo Linux, è parte del due più popolari web server Apache e Nginx, che "corre" una gran parte di Internet. In breve, l'ambito di OpenSSL è enorme.

Chi ha trovato un bug?

Questo merito appartiene ai dipendenti della società Codenomicon, si occupano di sicurezza informatica, e di personale Google ricercatore del Nilo Meta (Neel Mehta), che ha scoperto le vulnerabilità in modo indipendente l'uno dall'altro, letteralmente un giorno.

Meta ha donato ricompensa di 15 mila. dollari. per la rilevazione di un bug sulla campagna per lo sviluppo di strumenti di crittografia per i giornalisti che lavorano con fonti di informazione, che prende una stampa libera Foundation (Libertà della Fondazione Press). Meta continua a rifiutare qualsiasi intervista, ma il suo datore di lavoro, Google, ha dato il seguente commento: "La sicurezza dei nostri utenti è la nostra massima priorità. Siamo costantemente alla ricerca di vulnerabilità e incoraggiamo tutti a segnalare il più presto possibile, in modo che possiamo risolverli prima che diventino noti per gli attaccanti ".

Perché heartbleed?

Il nome è stato coniato da heartbleed Ossie Gerraloy (Ossi Herrala), il Codenomicon amministratore di sistema. È più armonico che il nome tecnico CVE-2014-0160, la vulnerabilità numero contenente la sua linea di codice.

Heartbleed (letteralmente - "cuori sanguinanti") - un gioco di parole che contengono un riferimento all'espansione di OpenSSL chiamato "il battito del cuore" (palpitazioni). Protocollo mantenuto il collegamento aperto, anche se tra i partecipanti non scambiano dati. Gerrala ritenuto che heartbleed descrive perfettamente l'essenza della vulnerabilità che ha permesso la fuoriuscita di dati sensibili dalla memoria.

Il nome sembra essere un buon successo per il bug, e questo non è un caso. squadra Codenomicon deliberatamente utilizzato eufonico (stampa) il nome, che aiuterebbe sia il più possibile il più presto possibile per informare la gente circa la vulnerabilità trovata. Dandogli il nome del bug, Codenomicon presto acquistato un dominio Heartbleed.com, che ha lanciato il sito in una forma accessibile raccontare su heartbleed.

Perché alcuni siti non influenzati da heartbleed?

Nonostante la popolarità di OpenSSL, ci sono altre implementazioni SSL / TLS. Inoltre, alcuni siti utilizzano una versione precedente di OpenSSL, che questo bug è assente. E alcuni non comprendono una funzione battito cardiaco, che è una fonte di vulnerabilità.

In parte per ridurre il danno potenziale si avvale di PFS (Perfect Forward Secrecy - segretezza perfettamente dritto), Proprietà del protocollo SSL, che assicura che se un utente malintenzionato recuperare dalla memoria chiave di sicurezza un server, non sarà in grado di decodificare tutto il traffico e l'accesso al resto della chiavi. Molti (ma non tutte) le aziende già utilizzano PFS - per esempio, Google e Facebook.

Come funziona heartbleed?

Vulnerabilità malintenzionato di ottenere l'accesso al server di 64 kilobyte di memoria ed eseguire più e più volte l'attacco fino alla completa perdita di dati. Ciò significa che non solo a rischio di nomi utente e password che perdono, ma i dati del cookie che i server Web e siti utilizzano per monitorare l'attività degli utenti e l'autorizzazione semplificare. L'organizzazione Electronic Frontier Foundation afferma che gli attacchi periodici possono dare accesso ad entrambi maggiori informazioni serie, come ad esempio il sito chiavi di crittografia private utilizzate per la cifratura traffico. Utilizzando questa chiave, un utente malintenzionato potrebbe falsificare il sito originale e rubare il maggior numero di tipi diversi di dati personali come numeri di carta di credito o corrispondenza privata.

Devo cambiare la mia password?

Per una serie di siti di rispondere "sì". MA - è meglio attendere il messaggio dal sito di somministrazione, che questa vulnerabilità è stato eliminato. Naturalmente, la tua prima reazione - cambiare tutte le password immediatamente, ma se la vulnerabilità ad alcuni dei siti non vengono puliti, il cambiamento Password inutile - in un momento in cui la vulnerabilità è ampiamente noto, che si aumenta solo le probabilità di un utente malintenzionato di conoscere il nuovo password.

Come faccio a sapere quale dei siti contengono vulnerabilità ed è fissato?

Ci sono diverse risorse che controllano Internet per la vulnerabilità e riportate la sua presenza / assenza. si consiglia risorsa Società di LastPass, uno sviluppatore di software di gestione delle password. Anche se si dà una risposta abbastanza chiara alla domanda se egli è vulnerabile o quel sito, pensare ai risultati della verifica con cautela. Se la vulnerabilità del sito ha trovato con precisione - cercare di non visitarla.

Lista delle vulnerabilità maggior parte dei siti popolari a vista, si può anche esplorare la collegamento.

La cosa più importante prima di cambiare la password - per ottenere una conferma ufficiale da parte del sito di somministrazione, che è stato scoperto heartbleed, che era già stato eliminato.

Molte aziende hanno già pubblicato i dati pertinenti sui loro blog. Se non ci sono - non esitate a sottoporre la questione al supporto.

Chi è responsabile per la comparsa di vulnerabilità?

Secondo il quotidiano The Guardian, il nome è scritto in codice "buggy" del programmatore - Zeggelman Robin (Robin Seggelmann). Ha lavorato al OpenSSL progetto nel processo di ottenimento di un diploma di dottorato 2008-2012. Situazione drammatica aggiunge al fatto che il codice è stato inviato al repository, 31 dicembre 2011 alle 23:59, anche se lo Zeggelman Egli sostiene che non importa, "Io sono responsabile per l'errore, come ho scritto il codice e ha fatto tutto il necessario controlli ".

Allo stesso tempo, dal momento che OpenSSL - un progetto open source, è difficile dare la colpa l'errore di qualcuno uno. codice di progetto è complesso e contiene un gran numero di funzioni complesse, e in particolare Heartbeat - non il più importante di loro.

E 'vero che accidenti Dipartimento di Stato Il governo degli Stati Uniti utilizzato per spiare heartbleed due anni prima che la pubblicità?

Non è chiaro. Noto agenzia di stampa Bloomberg ha riferito che questo è il caso, ma va tutto il NSA nega. Indipendentemente da ciò, resta il fatto - heartbleed è ancora una minaccia.

Dovrei preoccuparmi del mio conto in banca?

La maggior parte delle banche non usano OpenSSL, preferendo la soluzione di crittografia proprietario. Ma se siete afflitti da dubbi - basta contattare la tua banca e chiedere loro la questione rilevante. In ogni caso, è meglio seguire lo sviluppo della situazione, e le relazioni ufficiali da parte delle banche. E non dimenticate di tenere d'occhio le transazioni nel tuo account - nel caso di operazioni non familiari a te, intraprendere l'azione appropriata.

Come faccio a sapere se utilizzare gli hacker già heartbleed per rubare i miei dati personali?

Purtroppo, nessuna - utilizzare questa vulnerabilità non lascia alcuna traccia del server registra l'attività intruso.

Se utilizzare il programma per memorizzare le password, e che cosa?

Da un lato, heartbleed solleva ancora una volta la domanda circa il valore di una password complessa. Come conseguenza delle password variazione di massa, ci si chiede come si può anche migliorare la vostra sicurezza. Naturalmente, gestori di password sono fidati assistenti in questo caso - possono automaticamente generare e memorizzare password complesse per ogni sito singolarmente, ma si deve ricordare una sola master password. In linea gestore di password LastPass, per esempio, insiste che non è sottoposto ad heartbleed vulnerabilità e gli utenti non possono modificare la password principale. Oltre a LastPass, si consiglia di prestare attenzione a tali soluzioni collaudate come RoboForm, Dashlane e 1Password.

Inoltre, si consiglia di utilizzare un'autenticazione in due fasi, ove possibile (Gmail, Dropbox e Evernote già supportano) - poi quando autorizzazione, oltre alla password, il servizio vi chiederà un codice di una volta che viene dato a voi in una speciale applicazione mobile o inviato tramite SMS. In questo caso, anche se la password viene rubata, un attaccante non può semplicemente usare per effettuare il login.