Без категория

Какво трябва да знаете за Heartbleed и промяната на паролите си

Какво трябва да знаете за Heartbleed и промяната на паролите си


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Източник на изображението:Сърдечно кървене]

Така че може би сте чували за Heartbleed напоследък и всички ваши приятели може да ви казват да промените всичките си пароли. Преди да смените паролите си обаче, трябва да знаете, че въпросният уебсайт е взел всичко необходимите стъпки, за да се предпазите от Heartbleed, в противен случай новата ви парола ще остане също толкова уязвима. Някои списъци, плаващи наоколо, ви казват, че сайтовете са готови за промяна на паролата, но не са проверили всички необходими стъпки за сигурност. Прочетете, за да разберете повече:

P.S. Ще (се опитаме) да обясним какво точно представлява нарушението на сигурността на Heartbleed по такъв начин всеки може да разбере а също така да ви уведомим за важните моменти къде и кога трябва да промените паролата си.

Какво представлява бъгът Heartbleed?

Уеб комиксът xkcd очерта малък анимационен филм, който обяснява Heartbleed по най-простия начин, който сме виждали:

Първо, трябва да знаете, че сигурността в мрежата се осигурява от софтуер, известен като OpenSSL (слой със защитени сокети), който криптира (кодира) данните, изпратени към и от компютъра на потребителя и сървъра на уебсайтовете (където уебсайтът се хоства / съхранява). Толкова важно, помислете за неща като потребителски имена, пароли и дори данни за кредитна карта и адрес че бихте подали към онлайн формуляри, които щяха да пътуват от вашия компютър до сървъра на уебсайтовете.

Heartbleed се възползва от нещо, известно като "сърдечен пулс" между компютъра на потребителя и сървъра на уебсайтовете - основно, когато влезете в уебсайт, уебсайтът ще отговори, за да уведоми компютъра ви, че е активен и очаква вашите заявки с пулс Предполага се, че сърдечният ритъм е отговор, равен на количеството данни, изпратени от компютъра ви при отправяне на заявката. Грешка в софтуера обаче позволява на хакерите да изискват повече данни от паметта на сървърите над общите данни на първоначалната заявка до 65 536 байта. Тази допълнителна информация, получена в искането, може да съдържа всичко - от пароли до данни за кредитна карта, изпратени от други хора (вижте карикатурата по-горе).

Смята се, че бъгът Heartbleed е честна грешка, направена от програмиста Робин Сегелман, който добави към софтуера с отворен код OpenSSL в навечерието на Нова година 2011 г. Това означава, че дупката в сигурността съществува вече повече от 2 години и е най-лошата част е, че няма начин да се разбере дали хакер е направил искане за допълнителна информация от сърдечния ритъм. С други думи, няма начин да разберете дали някой някога е откраднал пароли или друга чувствителна информация от уебсайт.

Кога трябва да сменя паролата си?

Много уебсайтове предлагат списъци, които предлагат съвети кои уебсайтове трябва да промените и дали все още трябва да промените паролата си. Въпреки това много експерти по сигурността (като Брус Шнайер, Трой Хънт и хората от AgileBits) казват, че трябва да проверите три неща:

  1. Сайтът (или хардуерът / приложението, тъй като Heartbleed засяга повече от уебсайтовете) използва версия на OpenSSL, която всъщност е уязвима за Heartbleed (версии от 1.0.1 март 2012 г. до 1.0.1f). Версията, съдържаща корекцията, е 1.0.1g, която беше пусната на 7 април 2014 г.
  2. Сайтът закърпи грешката на OpenSSL.
  3. Сайтът поднови ключовете за сигурност и след това издаде нов сертификат за сигурност (SSL).

Ако всичко това е малко прекалено дръзко за вас, се съобщава, че проверката Heartbleed на LastPass в момента е най-надеждният метод за проверка, ако не можете да се проверите ръчно. За по-задълбочен поглед към това дали даден сайт е готов за промяна на паролата, преминете към ITWorld.

Някои списъци в интернет на сайтове, за които трябва да промените паролата си, са проверили само дали уебсайтовете са закърпили грешката на OpenSSL например и не са проверили дали са издадени нови сертификати за сигурност (SSL). Тъй като е невъзможно да се разбере дали сървър е станал жертва на Heartbleed атака, не е ясно дали хакер може да е изтеглил ключове за сигурност, които все още биха оставили уебсайта уязвим, ако трите стъпки по-горе не са изпълнени.

Просто пробих предизвикателството на @CloudFlare: https://t.co/8ZPSxyKF4D. Чудя се кога ще актуализират страницата.

- Федор Индутни (@indutny) 11 нисан 2014 г.

Наскоро мрежата за разпространение на съдържание Cloudflare разгледа сериозността на грешката, като накара изследователите си да опитат и използват Heartbleed за получаване на SSL ключове за сигурност и се провалиха. Когато обаче поставят предизвикателството пред обществеността, хакер от екипа на Node.js, известен като Fedor, успя да извлече успешно частните SSL ключове.

Надяваме се, че това ще ви помогне да разберете Heartbleed и че ще направите необходимите и навременни промени в паролата, за да осигурите сигурността си онлайн. В заключение бихме искали да ви напомним не да използвате една и съща парола за всички уебсайтове, тъй като това може да бъде катастрофално. Ако не можете да проследите толкова много различни пароли, препоръчваме да използвате програма като LastPass.

Също така вижте кампанията Logme Once Kickstarter, която предлага мениджър на пароли, цифрова защита, както и сигурно USB устройство за съхранение и зарядно устройство за мобилни батерии в един пакет:

LogmeOnce отговаря на ежедневните нужди. Кой не се притеснява в наши дни от това да бъде хакнат, да забрави паролите си или просто да е уязвим, защото има слаби пароли? LogmeOnce предлага сигурна, лесна за използване алтернатива на тези опасения и набързо написани пароли върху парчета хартия


Гледай видеото: Introduction to Network Traffic Analysis (Юли 2022).


Коментари:

  1. Whitmoor

    Според мен вие правите грешка. Нека обсъдим. Изпратете ми имейл в PM.

  2. Tyrel

    Сигурен съм, съжалявам, но не бихте могли да дадете малко повече информация.

  3. Ker

    Мисля, че ще стигнете до правилното решение.

  4. Ritter

    Тази фраза е безсъзнание)))

  5. Erikas

    Още не излизаше.

  6. Wurt

    Тук съм небрежен, но бях специално регистриран, за да участвам в дискусия.

  7. Whitmore

    Това си наука.



Напишете съобщение