Ligikaudu 70 protsenti Interneti-liiklustest töötab OpenSSL andmeedastuste turvalisuse tagamiseks. See tähendab, et peaaegu kõik peamised serverid (loe: veebisaidid) kasutavad OpenSSL-i teie andmete (nt sisselogimisandmete) turvalisuse tagamiseks. Kuid keegi Google'ist leidis OpenSSL-is viga - väike programmeerimisviga, kuid küllalt suur, et oma andmed häkkeritele ära anda - inimesed, kes soovivad teie andmeid oma eesmärkidel kasutada. See OpenSSL-i viga on nime saanud Südamevalu kuna see on tihedalt seotud mõne OpenSLL-i HeartBeat kihiga.
Mis on Heartbleed Bug
Heartbleed Bug on peaaegu kõigi Interneti-põhiste äriliste veebisaitide ja mõne muu liigi jaoks murelikuks. See programmiprobleem võimaldab häkkeritel kontrollida mis tahes serverit, mis kasutab OpenSSLi, ning lugeda / salvestada / kasutada krüptimata andmeid (dekrüptitud andmeid). Häkkeritel pole nüüd juurdepääsu teie andmetele, nad võivad paljundada veebisaidi sertifikaati, muutes Internetist veelgi ohtlikuma koha. Veebisaidi sertifikaadi koopiaga võivad häkkerid luua mimika saite: saite, mis sarnanevad algsetele saitidele. Sellega saavad nad oma andmetele juurde pääseda, näiteks krediitkaardid, isiklikud andmed jne.
Kõlab hirmutav, kas pole? See on - tõepoolest - kuna see võib teie teabele juurde pääseda ja seda teavet saab kasutada mis tahes eesmärgil.
Märge: Heartbleedil on ka koodnimetus CVE-2014-0160. CVE tähistab ühiseid haavatavusi ja ekspositsioone. Need nõrkade kohtadega seotud koodid on antud MITER, sõltumatu organ, mis hoiab vigu ja sarnaseid probleeme.
Kas ma pean oma viirusetõrje või midagi uuendama?
OpenSSL-i Heartbleedi viga ei oma midagi viivitatud või tulemüüriga. See ei ole kliendipoolne probleem, mistõttu võite selle kohta midagi ette võtta. Teisest küljest peavad serverid rakendatavale OpenSSL-ile kasutama plaastrit. Sellest järeldub, et veebisaiti võib pidada suhtlemiseks turvalisemaks.
Kasutaja saab teha nii, et see vähendaks külastuste arvu kaubanduses ja sarnastes saitidel. See ei tähenda, et viga mõjutab ainult kaubanduse saite. See on võrdsed kõikide OpenSSL-i kasutavate veebisaitide puhul. Ma ütlen, et mõnda aega vältida kaubanduse saite, sest need oleksid häkkerite peamine eesmärk, kes sooviksid teie kaardiandmeid jne. See tähendab, et häkkerite peamine eesmärk oleks e-kaubanduse saitidel OpenSSL-i kasutamine.
Kui veateade on fikseeritud sõnumi / aruande saatmisel, saate seda teha enne, kui vea avastamisel seda tehti. OpenSSL on loonud plaadi ja avaldanud selle veebisaitide omanikele oma kasutajate andmete turvalisuse tagamiseks. Seni proovige vältida saite, kus peate andmema oma andmed mis tahes kujul - isegi sisselogimismandaadid. Olen kindel, et peaaegu kõik veebimeistrid peavad plaastri juurde minema, kuid ikkagi on probleem. Kui oled kindel, et puuduvad haavatavused või sellised haavatavused on parandatud, võib see olla hea mõte paroolide muutmiseks.
Vahepeal kasutage neid brauseri laiendeid, et hoiatada teid Heartbleedi mõjutatud veebisaitidelt.
Heartbleediga kopeeritud saidi sertifikaadid tuleb lahendada
On tõenäoline, et veebisaitide turvalisuse sertifikaate võidakse pahatahtlike veebisaitide loomiseks kopeerida. Kuna turvasertifikaadid on üldiselt koopiatena, ei pruugi teie brauserid vahet teha. See on teie, kes peab olema ettevaatlik. Vältige linkide klõpsamist ja selle asemel sisestage aadressiribale veebisaidi URL, nii et teid ei viida ümber mõne võltsitud saidile.
Seda probleemi saab lahendada kahel viisil:
- Turul kättesaadavad brauserid peaksid olema piisavalt nutikad, et identifitseerida kopeeritud sertifikaadid ja hoiatada teid.
- Veebihaldajad muudavad sertifikaate pärast plaastri rakendamist.
Teisisõnu, eespool nimetatud rakendamine võtab aega, kuigi veebihaldurid kasutavad plaastrit. Tahaksin korrata, et ärge klõpsake linke e-kirjades või mittetuntud veebisaitidel. Lihtsalt sisestage URL-i aadressiribale või kui järjehoidja on järjestatud, kasutage järjehoidjat.
Selle artikli lõpus olev viidete osakond sisaldab mõjutatavate veebisaitide mittetäielikku nimekirja.Puudulik, sest seal võib olla rohkem veebisaite kui need, mis on seal loetletud.
Viited:
- Heart Bleed: Veebileht
- OpenSSL: turvalisuse nõustamine südametööde jaoks
- Git Hub: mõjutatud veebisaitide loend.
