Nekategorizirano

Kaj morate vedeti o Heartbleedu in spreminjanju gesel

Kaj morate vedeti o Heartbleedu in spreminjanju gesel



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Vir slike:Srčna krvavitev]

Torej ste v zadnjem času že slišali za Heartbleed in vsi prijatelji vam morda govorijo, naj spremenite vsa gesla. Preden spremenite gesla, pa morate vedeti, da je zadevno spletno mesto zasedlo vse potrebne ukrepe za zaščito pred Heartbleedom, sicer bo vaše novo geslo ostalo enako ranljivo. Nekateri seznami, ki plujejo okoli vas, vam sporočajo, da so spletna mesta pripravljena na spremembe gesla, vendar niso preverili vseh potrebnih varnostnih korakov. Preberite, če želite izvedeti več:

P.S. Natančno bomo (poskušali) razložiti, kaj je kršitev varnosti Heartbleed na tak način vsi lahko razumejo in vam sporočil tudi pomembne točke, kje in kdaj morate spremeniti geslo.

Kaj je napaka Heartbleed?

Spletni strip xkcd je narisal majhno risanko, ki Heartbleed razloži na najpreprostejši način, kar smo jih videli:

Najprej morate vedeti, da spletno varnost zagotavlja programska oprema, znana kot OpenSSL (plast varnih vtičnic), ki šifrira (premeša) podatke, poslane v in iz uporabnikovega računalnika in strežnika spletnih mest (kjer spletno mesto gostuje / shranjuje). Tako pomembno je, da pomislite na stvari, kot so uporabniška imena, gesla in celo podatke o kreditni kartici in naslovu ki bi jih oddali na spletnih obrazcih, ki bi potovali iz vašega računalnika na strežnik spletnih mest.

Heartbleed izkoristi nekaj, kar je znano kot "srčni utrip" med uporabniškim računalnikom in strežnikom spletnih mest - v bistvu, ko dostopate do spletnega mesta, se bo spletno mesto odzvalo, da bo vaš računalnik obvestilo, da je aktiven in s srčnim utripom pričakuje vaše zahteve. Srčni utrip naj bi bil odziv, enak količini podatkov, ki jih je računalnik poslal ob oddaji zahteve. Vendar napaka v programski opremi omogoča hekerjem, da zahtevajo več podatkov iz pomnilnika strežnikov, ki presegajo skupne podatke začetne zahteve do 65 536 bajtov. Te dodatne informacije, prejete v zahtevi, lahko vsebujejo karkoli, od gesel do podrobnosti o kreditni kartici, ki so jih poslali drugi (glejte risbo zgoraj).

Napaka Heartbleed naj bi bila poštena napaka programerja Robina Seggelmanna, ki je odprtokodno programsko opremo OpenSSL dodal na Silvestrovo 2011. To pomeni, da varnostna luknja obstaja že več kot dve leti in je najhujša del je, da nikakor ne moremo ugotoviti, ali je heker zaprosil za dodatne informacije od srčnega utripa. Z drugimi besedami, ni mogoče ugotoviti, ali je kdo kdaj ukradel gesla ali druge občutljive podatke s spletnega mesta.

Kdaj naj spremenim geslo?

Številna spletna mesta ponujajo sezname, ki ponujajo nasvete o tem, katera spletna mesta morate spremeniti in ali bi morali še spremeniti geslo. Vendar mnogi strokovnjaki za varnost (kot so Bruce Schneier, Troy Hunt in ljudje iz AgileBits) pravijo, da morate preveriti tri stvari:

  1. Spletno mesto (ali strojna oprema / aplikacija, ker Heartbleed vpliva bolj kot spletna mesta) je uporabljalo različico OpenSSL, ki je bila dejansko ranljiva za Heartbleed (različice od 1.0.1. Marca 2012 do 1.0.1f). Različica, ki vsebuje popravek, je 1.0.1g, ki je bila izdana 7. aprila 2014.
  2. Spletno mesto je popravilo napako OpenSSL.
  3. Spletno mesto je obnovilo varnostne ključe in nato izdalo novo varnostno potrdilo (SSL).

Če je za vas vse to preveč mamljivo, poročajo, da je LastPassov preglednik Heartbleed trenutno najbolj zanesljiv način preverjanja, če se ne morete ročno preveriti. Za podrobnejši pregled, ali je spletno mesto pripravljeno na spremembe gesla, pojdite na ITWorld.

Nekateri internetni seznami spletnih mest, za katera morate spremeniti geslo, so samo preverili, ali so spletna mesta na primer popravila napako OpenSSL, in niso preverili, ali so bila izdana nova varnostna potrdila (SSL). Ker je nemogoče ugotoviti, ali je bil strežnik žrtev napada Heartbleed, ni jasno, ali je heker morda prenesel varnostne ključe, zaradi česar bi bilo spletno mesto še vedno ranljivo, če zgornji trije koraki ne bi bili dokončani.

Pravkar zlomljen izziv @CloudFlare: https://t.co/8ZPSxyKF4D. Zanima me, kdaj bodo posodobili stran.

- Fedor Indutny (@indutny) 11. junija 2014

Pred kratkim je omrežje za distribucijo vsebine Cloudflare preučilo resnost napake, tako da je raziskovalec poskusilo uporabiti Heartbleed za pridobivanje varnostnih ključev SSL in ni uspelo. Ko pa so izziv postavili javnosti, je heker iz ekipe Node.js, znan kot Fedor, lahko uspešno pridobil zasebne ključe SSL.

Upamo, da vam to pomaga razumeti Heartbleed in da boste za zagotovitev svoje varnosti v spletu izvedli potrebne in časovne spremembe gesla. Kot zadnjo točko vas želimo opozoriti ne uporabiti isto geslo za vsa spletna mesta, saj bi bilo to lahko katastrofalno. Če ne morete zaslediti toliko različnih gesel, priporočamo uporabo programa, kot je LastPass.

Oglejte si tudi akcijo Logme Once Kickstarter, ki v enem paketu ponuja upravitelja gesel, digitalno varnost, pa tudi varno pomnilniško napravo USB in mobilni polnilnik baterij:

LogmeOnce izpolnjuje vsakodnevne potrebe. Koga v današnjem času ne skrbi, da bi ga vdrli, pozabili gesla ali bili preprosto ranljivi, ker imajo šibka gesla? LogmeOnce ponuja varno, enostavno za uporabo alternativo tem težavam in na hitro napisana gesla na ostankih papirja


Poglej si posnetek: OpenSSL Heartbeat Heartbleed Explained BEST ON YouTube! Steals Credit Card INFO (Avgust 2022).