Az internet forgalmának közel 70 százaléka foglalkoztat OpenSSL az adatátvitel biztosítása érdekében. Ez azt jelenti, hogy szinte az összes fő szerver (olvassa el: webhelyek) az OpenSSL-t használja az adatok, például a bejelentkezési adatok biztonságossá tételéhez. Valaki azonban a Google-tól talált egy hibát az OpenSSL-ben - egy kisebb programozási hiba, de elég nagy ahhoz, hogy adatait eladja hackereknek - olyan emberek, akik hajlandóak felhasználni az adataikat a céljaikhoz. Ennek az OpenSSL hibának a neve Szívből mivel szorosan kapcsolódik az OpenSLL néhány HeartBeat rétegéhez.
Mi a Heartbleed Bug
A legtöbb szerver elfogadja a titkosított adatokat, a titkosító kulcsok segítségével dekódolja és továbbítja feldolgozásra. Mivel a legtöbb szerver FIFO (First in First Out) módszert alkalmaz a végfelhasználók kiszolgálására, az adatok (a visszafejtés után) egy ideig a szerver memóriájában vannak, mielőtt a szerver további feldolgozásra veszi.
A Heartbleed Bug szinte minden internetes kereskedelmi webhely és néhány más típusú probléma aggodalmát okozza. Ez a programozási hiba lehetővé teszi a hackerek számára, hogy bejelentkezzenek minden olyan kiszolgálóra, amely OpenSSL-t használ, és olvassa / mentse / használja a titkosítatlan adatokat (visszafejtett adatokat). A hackerek most már nem csak hozzáférnek az adatokhoz, hanem képesek reprodukálni a webhely tanúsítványát, így az internet még veszélyesebb helyre kerül. A webhelytanúsítvány másolatával a hackerek utánzó webhelyeket hozhatnak létre: olyan webhelyeket, amelyek hasonlóak az eredeti webhelyekhez. Ezzel tovább hozzáférhetnek az Ön adataihoz, például hitelkártya-adatokhoz, személyes adatokhoz stb.
Ijesztően hangzik, nem igaz? Ez - valóban - mivel hozzáférhet az Ön adataihoz, és ezeket az információkat bármilyen cél érdekében felhasználhatja.
jegyzet: A Heartbleed rendelkezik CVE-2014-0160 kódnévvel is. A CVE a Gyakori biztonsági réseket és az expozíciókat jelenti. Ezek a kódok a sebezhetőségekhez stb. a MITER, egy független testület adja meg, amely nyomon követi a hibákat és hasonló problémákat.
Frissítsem-e az Antivírusomat, vagy valami hasonlót
Az OpenSSL Heartbleed hibájának nincs köze az antivírushoz vagy a tűzfalhoz. Ez nem ügyféloldali kérdés, így keveset tehet róla. A másik oldalon a szervereknek javítást kell alkalmazniuk az általuk használt OpenSSL rendszeren. Ez megtörtént, a weboldal biztonságosabbnak mondható az interakció szempontjából.
Felhasználóként csökkentheti a kereskedelem és hasonló webhelyek látogatásainak számát. Nem arról van szó, hogy a hiba csak a kereskedelmi webhelyeket érinti. Ez egyenlő minden olyan webhelytípus esetében, amely OpenSSL-t használ. Azt mondom, egy ideig kerülje a kereskedelmi oldalakat, mivel azok jelentik a fő célpontot azoknak a hackereknek, akik szeretnék a kártya adatait stb. Ez azt jelenti, hogy a hackerek elsődleges célpontjai az OpenSSL-t használó e-kereskedelmi webhelyek lennének.
Miután megkapta az üzenetet / jelentést arról, hogy a hiba elhárult, folytathatja, mint korábban, mielőtt a hibát felfedezték. Az OpenSSL létrehozott egy javítást, és kiadta azt a webhelytulajdonosok számára, hogy biztosítsák felhasználói adataikat. Addig próbálja elkerülni azokat a webhelyeket, ahol bármilyen formában meg kell adnia adatait - még a bejelentkezési adatokat is. Biztos vagyok benne, hogy szinte minden webmesternek be kell mennie a javításért, de még mindig van probléma. Ha megbizonyosodott arról, hogy nincs sérülékenység, vagy ilyen biztonsági réseket foltoztunk, jó ötlet lehet megváltoztatni a jelszavakat.
Eközben használja ezeket a böngészőbővítményeket, hogy figyelmeztesse Önt a Heartbleed által érintett webhelyekre.
A Heartbleeden keresztül másolt webhelytanúsítványokkal foglalkozni kell
Nagy esély van arra, hogy rosszindulatú webhelyek létrehozása céljából másolták a webhely biztonsági tanúsítványait. Mivel a biztonsági tanúsítványok általános másolatok, a böngészők nem biztos, hogy különbséget tesznek. Önnek kell óvatosnak maradnia. Kerülje a linkekre kattintást, és ehelyett írja be a webhely URL-jét a címsorba, hogy ne irányítson át hamis webhelyre.
Ezt a problémát kétféleképpen lehet megoldani:
- A piacon elérhető böngészőket kellően okossá kell tenni a másolt tanúsítványok azonosításához és figyelmeztetésére.
- A webmesterek a javítás alkalmazása után megváltoztatják a tanúsítványokat.
Más szavakkal, egy időbe telik, míg a webmesterek alkalmazzák a javítást. Szeretném megismételni, hogy ne kattintson az e-mailekben vagy nem jó hírű webhelyeken található linkekre. Egyszerűen írja be az URL-t a címsávba, vagy ha az eredeti webhelyet könyvjelzővel látja el, használja a könyvjelzőt.
A cikk végén található hivatkozások szakasz az érintett webhelyek átfogó listáját tartalmazza. Hiányos, mert több érintett webhelyet érinthet, mint az ott felsoroltak.
Referenciák:
- Szívvérzés: Weboldal
- OpenSSL: Biztonsági tanácsadás a szívvérzéshez
- Git Hub: Az érintett webhelyek listája.