שאלות נפוצות: מהו פגיעות Heartbleed ואיך להגן על עצמך מפני זה

בעיה שהתגלה לאחרונה בפרוטוקול OpenSSL, המכונה Heartbleed, ואפילו הלוגו שלך, נושאת איום פוטנציאלי על הסיסמה של המשתמש על מגוון אתרים. החלטנו לחכות ההייפ סביבו ולדבר על זה, אם אפשר לומר כך, את השאריות היבשות.

זה יעזור לנו מהדורה עממית של CNET, אשר אסף רשימת שאלות נפוצות בנושא זה. אנו מקווים שהמידע הבא יעזור לך ללמוד עוד על Heartbleed ולהגן על עצמך. קודם כל, זוכר עד היום עם בעית Heartbleed לא נפתר לחלוטין.

מהו Heartbleed?

פגיעות אבטחה בספריית תוכנת OpenSSL (יישום פתוח של פרוטוקול הצפנת SSL / TLS) המאפשרות להאקרים - Heartbleed כדי לגשת לתוכן של שרתי זיכרון, אשר בשלב זה יכול לכלול נתונים פרטיים של משתמשים שונים שירותי אינטרנט. על פי חברת המחקר Netcraft, פגיעות זו יכולה להיחשף כ -500 אלף אתרי אינטרנט.

אמצעי זה כי באתרים אלה פוטנציאל בסיכון היו נתונים אישיים אלה משתמשים, כמו שמות משתמש, סיסמאות, נתוני כרטיס האשראי, וכו '

הפגיעות גם מאפשרות לתוקפי מפתחות דיגיטליים, אשר משמשים, למשל, להתכתבות הצפנה ומסמכים פנימיים במגוון חברות.

מהו OpenSSL?

בואו נתחיל עם פרוטוקול SSL, אשר מייצג Secure Sockets Layer (Secure Sockets Layer). הוא גם ידוע תחת השם החדש שלה של TLS (Transport Layer Security). כיום זוהי אחת השיטות הנפוצות ביותר של הצפנת נתונים ברשת שמגנה עליך מפני אפשרי "ריגול" מצד. (Https בתחילת הקישור מציינת כי התקשורת בין הדפדפן ולפתוח אותו האתר באמצעות SSL, אחרת תראה בדפדפן פשוט http).

OpenSSL - יישום SSL של תוכנות קוד פתוח. פגיעויות נחשפו גרסה 1.0.1 פרוטוקול כדי 1.0.1f. OpenSSL משמש גם במערכת ההפעלה לינוקס, זה חלק שני Apache שרת האינטרנט הפופולרי ביותר ואת Nginx, אשר "רץ" חלק גדול של האינטרנט. בקיצור, בהיקף של OpenSSL הוא עצום.

מי נמצא באג?

הכשרון הזה שייך לעובדי Codenomicon החברה, התמודדות עם אבטחת מחשבים וכוח אדם הנילוס Google חוקר Meta (ניל מהטה), שגילה פגיעויות באופן עצמאי זה מזה, פשוטו כמשמעו יום אחד.

Meta תרם פרס של 15 אלף. דולרים. לאיתור באג על הקמפיין לפיתוח כלי הצפנה עבור עיתונאים בעבודה עם מקורות מידע, אשר לוקח עיתונות חופשית קרן (חופש קרן העיתונות). Meta ממשיכה לסרב לכל ראיון, אבל המעסיק שלו, גוגל, נתנה את התגובה הבאה: "בטיחותם של המשתמשים שלנו היא בראש סדר העדיפויות שלנו. אנחנו כל הזמן מחפשים נקודות תורפה ולעודד כל לדווח להם בהקדם האפשרי כך שנוכל לתקן אותם לפני שהם הופכים ידוע התוקפים. "

למה Heartbleed?

השם נטבע על ידי Heartbleed אוסי Gerraloy (אוסי Herrala), את Codenomicon מנהל המערכת. זה יותר הרמוני מאשר השם הטכני CVE-2014-0160, פגיעות זו על ידי מספר המכיל שורת הקוד שלה.

Heartbleed (פשוטו כמשמעו - "יפי נפש") - משחק מילים המכילים התייחסות להרחבת OpenSSL בשם "פעימות הלב" (דפיקות לב). פרוטוקול שמר פתוח החיבור, גם אם בין המשתתפים לא להחליף נתונים. Gerrala נחשב כי Heartbleed מושלם מתאר את מהות הפגיעות שאפשרו את זליגת נתונים רגישים מהזיכרון.

נדמה שהשם שלך להצליח די לבאג, וזה לא במקרה. צוות Codenomicon השתמש במתכוון euphonic (העיתונות) השם, אשר יסייע הוא ככל האפשר בהקדם האפשרי כדי להודיע ​​לאנשים על פגיעות שנמצאו. נותן לו את השם של באג, Codenomicon קונה בקרוב לתחום Heartbleed.com, אשר השיק את האתר בצורה מספרת בצורה נגישה על Heartbleed.

למה לא כמה אתרים עושים מושפע Heartbleed?

למרות הפופולריות של OpenSSL, יש יישום SSL / TLS אחר. בנוסף, חלק מהאתרים משתמשים בגרסה קודמת של OpenSSL, אשר הבאג הזה הוא נעדר. וחלק לא כולל פונקציה דופקת, המהווה מקור הפגיעות.

חלקית כדי לצמצם את הנזק הפוטנציאלי עושה שימוש PFS (סודיות קדימה מושלם - סודיות ישר לגמרי), נכס של פרוטוקול SSL, אשר מבטיח כי אם תוקף לאחזר מזיכרון שרת מפתח ביטחון אחד, הוא לא יהיה מסוגל לפענח כל תנועה וגישה לשאר מפתחות. רבות (אך לא כולם) חברות כבר להשתמש PFS - לדוגמה, גוגל ופייסבוק.

איך Heartbleed?

פגיעויות לתוקף לקבל גישה לשרת 64 קילובייט של זיכרון ולבצע את הפיגוע שוב ושוב עד אובדן נתונים המלא. אמצעי זה כי לא נוטה רק שמות משתמש וסיסמות דולפים, אך נתוני העוגייה כי שרתי אתרי אינטרנט כדי לעקוב אחר פעילות משתמש ואישור לפשט. ארגון ה- Electronic Frontier Foundation קובע כי התקפות תקופתיות יכול לתת גישה לשני מידע רציני יותר, כגון מפתחות הצפנת אתר פרטיים המשמשים להצפנה תנועה. באמצעות מפתח זה, תוקף יכול לזייף את האתר המקורי ולגנוב את הסוגים השונים ביותר של נתונים אישיים כגון מספרי כרטיסי אשראי או התכתבות פרטית.

האם עלי לשנות את הסיסמה שלי?

עבור מגוון רחב של אתרים לענות "כן." אבל - עדיף לחכות להודעה מאתר הממשל, כי הפגיעות מוגרות. מטבע הדברים, התגובה הראשונה שלך - שנה את כל הסיסמאות באופן מיידי, אבל אם פגיעות בחלק מן האתרים אינם מנוקים, שינוי טעם סיסמא - בכל פעם כאשר הפגיעות ידועות, כי אתה רק להגדיל את הסיכוי של תוקף לדעת החדש שלך סיסמא.

איך אני יודע איזה מבין האתרים מכילים פגיעויות והאם הוא קבוע?

ישנם מספר משאבים לבדוק באינטרנט עבור פגיעות ודיווח נוכחות / היעדרות שלה. אנו ממליצים משאב חברת LastPass, מפתח תוכנה של ניהול סיסמא. למרות שזה נותן תשובה ברורה למדי לשאלה האם הוא פגיע או אתר, לחשוב על תוצאות הביקורת בזהירות. אם את הפגיעות של האתר נמצא במדויק - לנסות לא לבקר אותו.

רשימת הפגיעויות נחשפות רוב האתרים הפופולריים, אתה יכול גם לחקור את קישור.

הדבר החשוב ביותר לפני שינוי הסיסמה - כדי לקבל אישור רשמי באתר המנהל, אשר התגלה heartbleed, כי היא כבר בוטלה.

הרבה חברות כבר פרסמו את הערכים הרלוונטיים בבלוגים שלהם. אם אין - אל תהססו להפנות את העניין תמיכה.

מי אחראי על המראה של פגיעות?

על פי העיתון גרדיאן, שם כתוב "מרכבה" קוד של מתכנת - Zeggelman רובין (Robin Seggelmann). הוא עבד על OpenSSL הפרויקט בתהליך קבלת תואר דוקטור מן 2008 עד 2012. המצב דרמטי מוסיף את העובדה שהקוד נשלח למאגר, 31 בדצמבר, 2011 בשעה 23:59, למרות Zeggelman הוא טוען שזה לא משנה, "אני אחראי על הטעות, כפי שכתבתי את הקוד ועשיתי את כל הדרוש צ'קים. "

במקביל, מאז OpenSSL - פרויקט קוד פתוח, קשה להאשים את השגיאה של מישהו אחד. פרויקט קוד מורכב ומכיל מספר רב של פונקציות מורכבות, ובאופן ספציפי Heartbeat - לא הכי חשוב מהם.

האם זה נכון לעזאזל מחלקת המדינה ממשלת ארה"ב השתמשה Heartbleed לרגל שנתיים לפני הפרסום?

לא ברור. סוכנות הידיעות בלומברג דיווחה כי ידועה זה המקרה, אבל זה הולך כל NSA מכחיש. לא משנה, העובדה נותרת בעינה - Heartbleed הוא עדיין איום.

האם עליי לדאוג לחשבון הבנק שלי?

רוב הבנקים לא להשתמש ב- OpenSSL, והעדיף פתרון הצפנה קניינית. אבל אם אתה מוטרד ספקות - פשוט לפנות לבנק שלך ולבקש מהם את השאלה הרלוונטית. בכל מקרה, עדיף לבצע את הפיתוח של המצב, ואת הדיווחים הרשמיים מבנקים. ואל תשכחו לפקוח עין על עסקות בחשבונך - במקרה של עסקות מוכרות לך, לנקוט בפעולה המתאימה.

איך אני יודע אם להשתמש האקר Heartbleed כבר לגנוב נתונים האישיים שלי?

למרבה הצער, לא - להשתמש פגיעות זו אינה משאיר שום עקבות של שרת יומני הפעילות הפורצת.

האם להשתמש בתוכנית כדי לאחסן את הסיסמאות, ומה?

מצד אחד, Heartbleed שוב מעלה את השאלה לגבי הערך של סיסמה חזקה. כתוצאה מכך של סיסמות שינוי המסה, אתה עשוי לתהות כיצד אתה יכול אפילו לשפר את האבטחה שלך. כמובן, מנהלי סיסמא מהימנים עוזרים במקרה זה - הם יכולים באופן אוטומטי ליצור ולאחסן סיסמאות חזקות עבור כל אתר בנפרד, אבל אתה צריך לזכור רק אחד סיסמת מאסטר. מנהל סיסמה LastPass באינטרנט, למשל, עומד על כך שהוא אינו נתון פגיעות Heartbleed, והמשתמשים אינם יכולים לשנות את סיסמת המאסטר. בנוסף LastPass, אנו ממליצים לשים לב פתרונות מוכחים כגון כמו RoboForm, Dashlane ו 1Password.

בנוסף, אנו ממליצים להשתמש באימות בן שני שלבים בכל מקום אפשרי (Gmail, Dropbox ו- Evernote כבר תומכים בו) - אז מתי אישור, בנוסף הסיסמה, השירות יבקש קוד חד פעמי שניתן לך יישום נייד מיוחד או נשלחו באמצעות SMS. במקרה זה, גם אם הסיסמה נגנבה, תוקף לא יכול פשוט להשתמש בו כדי להתחבר.