Important note: How-To Geek is not affected by this bug.
Mis on südamepuudulikkus ja miks see nii ohtlik?
Teie tavapärasel turvarikkumisel ilmnevad ühe ettevõtte kasutaja andmed / paroolid. See on kohutav, kui see juhtub, aga see on isoleeritud asi. Ettevõttel X on turvarikkumine, nad annavad oma kasutajatele hoiatuse, ja inimesed, kes meid nagu meid, tuletavad kõigile meelde, et on aeg alustada hea julgestuse hügieeni ja uuendada oma paroolid. Kahjuks on tüüpilisi rikkumisi piisavalt paha, nagu see on. Heartbleed Bug on midagi palju,palju halvem.
Heartbleed Bug õõnestab väga krüpteerimissüsteemi, mis kaitseb meid, kui me e-posti teel, pangas ja muul viisil suhtleme veebisaitidega, mida usume turvalisena. Siin on lihtne ja ingliskeelne kirjeldus haavatavusest Codenomiconist, turvalisuse grupist, kes avastas ja teavitas avalikkust veast:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
See kõlab päris halb, jah? See kõlab veelgi hullem, kui mõelda umbes kaks kolmandikku kõigist veebisaitidest, kes kasutavad SSL-i, kasutavad seda haavatavat OpenSSL-i versiooni. Me ei räägi väikese ajaga veebisaite, nagu kuumast vardadest foorumitest või kollektsionäärsete kaardimängude vahetuskohtadest, räägime pankadest, krediitkaardiettevõtetest, suurtest e-jaemüüjatest ja e-posti pakkujatest. Veelgi hullem on see haavatavus olnud looduses umbes kaks aastat. See on kaks aastat kedagi, kellel on asjakohased teadmised ja oskused, oleks võinud kasutada kasutatava teenuse sisselogimisandmeid ja privaatset suhtlemist (ja vastavalt Codenomiconi läbiviidud testimisele seda teha ilma jälgi jätmata).
Paremini illustreerides seda, kuidas Heartbleed bug toimib. loe see xkcd koomiline.
Mida teha Post Heartbleed Bug
Enamik turvarikkumisi (ja see kindlasti kvalifitseerub suurel määral) nõuab, et peaksite hindama oma parooli haldamise tavasid. Arvestades Heartbleed Bugi laialdast ulatust, on see suurepärane võimalus vaadata juba sujuvalt töötavat paroolijuhtimissüsteemi või kui olete oma jalgu lohistanud, seadke see üles.
Enne paroolide viivitamatut muutmist sukelduda, pidage meeles, et haavatavust parandatakse ainult siis, kui ettevõte on täiendanud OpenSSLi uue versiooni. Lugu murdis esmaspäeval ja kui te kiirustasid viivitamatult oma paroolid igal saidil muutma, oleksid enamus neist ikkagi käivitanud OpenSSLi haavatavaks versiooniks.
Nüüd, nädalavahetusel, on enamik saite hakanud uuendama ja nädalavahetusel on mõistlik eeldada, et enamik kõrgprofiilseid veebisaite on ümber lülitatud.
Siin saate kasutada Heartbleed Bug Checkerit, et näha, kas haavatavus on veel avatud, või isegi kui sait ei reageeri eelnimetatud kontrollija päringutele, võite kasutada LastPassi SSL-i kuupäeva kontrollijat, et näha, kas kõnealune server on oma värskendanud Hiljuti SSL-i sertifikaat (kui see ajakohastatakse pärast 2014. aasta 4. päeva, on see hea näitaja, et nad on haavatavust parandanud). Märge: kui käivitate howtogeek.com veamiskontrolli abil, siis tagastatakse see viga, sest me ei kasuta esmalt SSL-i krüptimist ja me oleme ka kinnitanud, et meie serverid ei käivita mingit kahjustatud tarkvara.
See tähendab, et tundub, et sel nädalavahetusel kujuneb hea nädalavahetus, et tõsiselt oma paroolide värskendamine saada. Esiteks on vaja paroolihaldussüsteemi. Tutvuge meie juhistega, kuidas LastPassiga alustama, et seadistada üks turvalisematest ja paindlikumatest paroolivalikuvõimalustest. Te ei pea LastPassit kasutama, kuid teil on vaja mingisugust süsteemi, mis võimaldab teil jälgida ja hallata igale külastatud veebisaidile unikaalset ja tugevat parooli.
Teiseks peate oma paroolid muutma. Meie juhises kriisijuhtimise ülevaade "Kuidas taastada pärast teie e-posti parooli ohtu seadmist" on suurepärane võimalus tagada, et te ei jätaks mingeid paroole; see toob esile ka parema hügieeni põhitõed, mis on siin toodud:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Kolmandaks, kui soovite, peate lubama kahekordse autentimise. Siin saate lugeda rohkem kahesuunalist autentimist, kuid lühendades saate seda lisada oma sisselogimisele täiendava identifitseerimisliini.
Näiteks Gmaili jaoks peab kaheteguriline autentimine tähendama, et teil pole mitte ainult oma sisselogimist ja salasõna, vaid juurdepääs oma Gmaili kontole registreeritud mobiiltelefonile, et saaksite vastu võtta tekstisõnumi koodi sisestamiseks uue arvuti sisselogimisel.
Kui kaheteguriline autentimine on lubatud, muudab selle väga raskeks keegi, kellel on juurdepääs oma kontole juurdepääsuks oma sisselogimisandmetele ja paroolile (nagu nad võivad Heartbleed Bugiga).
Turvalisus haavatavusi, eriti neid, millel on niivõrd kaugeleulatuvad tagajärjed, ei ole kunagi lõbus, kuid need pakuvad meile võimalust tugevdada oma parooli tavasid ja tagada, et unikaalsed ja tugevad paroolid hoiaksid kahjustusi, kui see esineb.