FAQ: Qual é a vulnerabilidade heartbleed e como proteger-se a partir dele
De Tecnologia / / December 19, 2019
A vulnerabilidade descoberta recentemente no protocolo OpenSSL, apelidado heartbleed, e até mesmo seu próprio logotipo, carrega uma ameaça potencial para a senha do usuário em uma variedade de sites. Decidimos esperar para o hype em torno dele e falar sobre isso, por assim dizer, no resíduo seco.
Isto irá ajudar-nos a uma edição popular de CNET, que colhido uma lista de perguntas frequentes sobre este assunto. Esperamos que as informações a seguir irá ajudá-lo a aprender mais sobre heartbleed e proteger-se. Primeiro de tudo, lembre-se atualizado com o problema heartbleed não foi completamente resolvido.
O que é heartbleed?
vulnerabilidade de segurança no software biblioteca OpenSSL (implementação aberta do protocolo de criptografia SSL / TLS) que permite que hackers - heartbleed para acessar o conteúdo de servidores de memória, que neste momento poderiam conter dados privados de usuários diferentes Web Services. Segundo a empresa de pesquisa Netcraft, esta vulnerabilidade pode ser exposto a cerca de 500 mil websites.
Isto significa que nesses sites potencialmente em risco foram dados pessoais desses usuários, como nomes de usuário, senhas, dados de cartão de crédito, etc.
A vulnerabilidade também permite aos crackers chaves digitais, que são usados, por exemplo, para a correspondência criptografia e documentos internos em uma variedade de empresas.
O que é OpenSSL?
Vamos começar com o protocolo SSL, que significa Secure Sockets Layer (Secure Sockets Layer). Ele também é conhecido sob o seu novo nome de TLS (Transport Layer Security). Hoje é um dos métodos mais comuns de criptografia de dados na rede que o protege de possíveis "espionagem" na peça. (HTTPS no início da ligação indica que a comunicação entre o navegador e abra-o no site está usando SSL, caso contrário, você vai ver no navegador apenas http).
OpenSSL - implementação SSL de software de fonte aberta. Vulnerabilidades foram submetidos ao protocolo versão 1.0.1 para 1.0.1f. OpenSSL também é usado no sistema operacional Linux, que faz parte dos dois mais popular servidor Web Apache e Nginx, que "corre" uma grande parte da Internet. Em suma, o âmbito do OpenSSL é enorme.
Que encontrou um bug?
Este mérito pertence aos funcionários da empresa Codenomicon, lidar com a segurança do computador, e de pessoal Google pesquisador Nilo Meta (Neel Mehta), que descobriu vulnerabilidades independentemente um do outro, literalmente um dia.
Meta doou recompensa de 15 mil. dólares. para a detecção de um erro na campanha para o desenvolvimento de ferramentas de criptografia para os jornalistas que trabalham com fontes de informação, que leva uma imprensa livre Foundation (Freedom of the Foundation Press). Meta continua a recusar qualquer entrevista, mas seu empregador, Google, deu o seguinte comentário: "A segurança de nossos usuários é a nossa maior prioridade. Estamos constantemente à procura de vulnerabilidades e encorajar todos a relatá-los o mais rápido possível para que possamos corrigi-los antes que se tornem conhecidos por atacantes ".
Por heartbleed?
O nome foi cunhado por heartbleed Ossie Gerraloy (Ossi Herrala), o Codenomicon administrador do sistema. É mais harmonioso do que o nome técnico CVE-2014-0160, esta vulnerabilidade número contendo sua linha de código.
Heartbleed (literalmente - "corações de sangramento") - um jogo de palavras que contêm uma referência para a expansão do OpenSSL chamado de "o coração" (palpitações). Protocolo manteve a abrir conexão, mesmo que entre os participantes não trocam dados. Gerrala considerou que heartbleed descreve perfeitamente a essência da vulnerabilidade que permitiu o vazamento de dados confidenciais da memória.
O nome parece ser muito bem sucedido para o bug, e isso não é acidente. equipe Codenomicon usou deliberadamente euphonic (imprensa) o nome, o que ajudaria tanto, tanto quanto possível, logo que possível notificar as pessoas sobre a vulnerabilidade encontrada. Dando-lhe o nome do bug, Codenomicon logo comprou um domínio Heartbleed.com, que lançou o site de uma forma narrativa acessível sobre heartbleed.
Por que alguns sites não afetados por heartbleed?
Apesar da popularidade do OpenSSL, há outra implementação SSL / TLS. Além disso, alguns sites usam uma versão anterior do OpenSSL, que este erro está ausente. E alguns não incluem uma função batimento cardíaco, que é uma fonte de vulnerabilidade.
Em parte para reduzir o dano potencial faz uso de PFS (frente sigilo perfeito - sigilo perfeitamente em linha reta), Propriedade do protocolo SSL, que garante que se um atacante recuperar a partir da memória chave de segurança um servidor, ele não será capaz de decodificar todo o tráfego e acesso ao resto da chaves. Muitas empresas (mas não todos) já usam PFS - por exemplo, Google e Facebook.
Como é que heartbleed?
Vulnerabilidades atacante obter acesso ao servidor de 64 kilobytes de memória e executar o ataque novamente e novamente até que a perda de dados completo. Isto significa que não só propensas a vazamento nomes de usuários e senhas, mas os dados do cookie que os servidores e sites usam para rastrear a atividade do usuário e autorização simplificar. A organização Electronic Frontier Foundation afirma que ataques periódicos pode dar acesso a ambos mais informação séria, como o site chaves de criptografia privadas utilizadas para criptografia tráfego. Usando esta chave, um invasor pode falsificar o site original e roubar os mais diferentes tipos de dados pessoais, como números de cartão de crédito ou correspondência privada.
Devo mudar minha senha?
Para uma variedade de sites de responder "sim". MAS - é melhor esperar para a mensagem do site de administração, que esta vulnerabilidade foi eliminada. Naturalmente, sua primeira reação - Alterar todas as senhas imediatamente, mas se vulnerabilidade em alguns dos sites não são limpos, a mudança inútil senha - num momento em que a vulnerabilidade é amplamente conhecido, que você só aumentar as chances de um atacante para conhecer o seu novo password.
Como faço para saber qual dos sites contêm vulnerabilidades e é fixo?
Existem vários recursos que verificam a Internet para a vulnerabilidade e relataram a sua presença / ausência. recomendamos recurso Empresa LastPass, um desenvolvedor de gerenciamento de senhas software. Embora ele dá uma resposta bastante clara à pergunta se ele é vulnerável ou que o site, pense nos resultados da auditoria com cautela. Se a vulnerabilidade do site encontrado com precisão - não tentar visitá-lo.
Lista das vulnerabilidades maioria dos sites populares expostos, você também pode explorar a link.
A coisa mais importante antes de alterar a senha - para obter uma confirmação oficial do local de administração, que foi descoberto heartbleed, que ela já tinha sido eliminado.
Um monte de empresas já publicaram as entradas relevantes em seus blogs. Se não há - não hesite em submeter a questão ao suporte.
Quem é responsável pelo aparecimento de vulnerabilidade?
De acordo com o jornal The Guardian, o nome é escrito código "bugs" programador de - Zeggelman Robin (Robin Seggelmann). Ele trabalhou na OpenSSL projeto no processo de obtenção de um grau de doutoramento 2008-2012. dramática situação contribui para o fato de que o código foi enviado para o repositório, 31 de dezembro de 2011 às 23:59, embora o Zeggelman Ele argumenta que não importa, "Eu sou responsável pelo erro, como eu escrevi o código e fez todo o necessário cheques. "
Ao mesmo tempo, desde OpenSSL - um projeto open source, é difícil culpar o erro de alguém um. código do projeto é complexo e contém um grande número de funções complexas e, especificamente, o Heartbeat - não o mais importante deles.
É verdade que maldito Departamento de Estado O governo dos EUA usou heartbleed para espionar dois anos antes da publicidade?
Não está claro. A agência de notícias conhecido Bloomberg informou que este é o caso, mas vai toda a NSA nega. Independentemente disso, o fato permanece - heartbleed ainda é uma ameaça.
Devo me preocupar com a minha conta bancária?
A maioria dos bancos não usam OpenSSL, preferindo solução de criptografia proprietária. Mas se você é atormentado por dúvidas - basta contactar o seu banco e pedir-lhes a questão relevante. Em qualquer caso, é melhor seguir a evolução da situação, e relatórios oficiais dos bancos. E não se esqueça de manter um olho sobre as transações em sua conta - no caso de transações desconhecidas para você, tomar as medidas adequadas.
Como faço para saber se deve usar hackers já heartbleed para roubar meus dados pessoais?
Infelizmente, não - usar esta vulnerabilidade não deixar qualquer vestígio do servidor registra a atividade intruso.
Se usar o programa para armazenar suas senhas, e o quê?
Por um lado, heartbleed mais uma vez levanta a questão sobre o valor de uma senha forte. Como consequência das senhas de mudança em massa, você pode se perguntar como você pode até mesmo melhorar sua segurança. Claro, gerenciadores de senha são confiáveis assistentes neste caso - eles podem automaticamente gerar e armazenar senhas fortes para cada site individualmente, mas você tem que lembrar apenas um senha mestra. Online gerenciador de senhas LastPass, por exemplo, insiste que não está sujeito a vulnerabilidade heartbleed, e os usuários não podem alterar sua senha mestre. Além LastPass, recomendamos prestar atenção a tais soluções comprovadas como RoboForm, Dashlane e 1Password.
Além disso, recomendamos o uso de uma autenticação de dois passos, sempre que possível (Gmail, Dropbox e Evernote já apoiá-lo) - então, quando autorização, além da senha, o serviço irá pedir um código de um tempo que é dado a você em uma aplicação móvel especial ou enviados através SMS. Neste caso, mesmo se a sua senha for roubada, o invasor não pode simplesmente usá-lo para fazer login.