Phenquestions
Ligi 70 protsenti Interneti-liiklusest töötab OpenSSL andmeedastuse kindlustamiseks. See tähendab, et peaaegu kõik suuremad serverid (loe: veebisaidid) kasutavad OpenSSL-i teie andmete, näiteks sisselogimismandaatide, turvamiseks. Keegi Google'ist leidis aga OpenSSL-ist vea - väikse programmeerimisvea, kuid piisavalt suure, et teie andmed häkkeritele ära anda - inimesed, kes soovivad teie andmeid oma eesmärkidel kasutada. Selle OpenSSL-i vea nimi on Südamlik kuna see on tihedalt seotud OpenSLL-i mõne HeartBeat-kihiga.
Mis on Heartbleed Bug
Enamik servereid aktsepteerib krüpteeritud andmeid, dekodeerib need krüptovõtmete abil ja edastab need töötlemiseks. Kuna enamik servereid kasutab lõppkasutajate teenindamiseks FIFO (First in First Out) meetodit, istuvad andmed (pärast dekrüpteerimist) serveri mälus mõnda aega, enne kui server need edasiseks töötlemiseks võtab.
Heartbleed Bug on murettekitav peaaegu kõigi Interneti-põhiste kommertsveebide ja mõnede muude tüüpide jaoks. See programmeerimisviga võimaldab häkkeritel sisse logida mis tahes serverisse, mis kasutab OpenSSL-i, ja lugeda / salvestada / kasutada krüptimata andmeid (dekrüpteeritud andmeid). Häkkeritel pole nüüd ainult juurdepääsu teie andmetele, vaid nad saavad paljundada veebisaidi sertifikaati, mis muudab Interneti veelgi ohtlikumaks kohaks. Veebisaidi sertifikaadi koopia abil saavad häkkerid luua jäljendavaid saite: saite, mis näevad välja sarnased algsetele saitidele. Sellega saavad nad juurdepääsu teie andmetele, näiteks krediitkaardi andmetele, isiklikele andmetele jne.
Kõlab hirmutavalt, kas pole? See on - tõepoolest - kuna see pääseb teie teabele juurde ja seda teavet saab kasutada mis tahes eesmärgi saavutamiseks.
Märge: Heartbleedil on ka koodnimi CVE-2014-0160. CVE tähistab ühiseid haavatavusi ja kokkupuuteid. Need koodid on seotud haavatavustega jne. annab MITER, sõltumatu asutus, mis jälgib vigu ja muid sarnaseid probleeme.
Kas peaksin viirusetõrjet uuendama või midagi muud
OpenSSL-i Heartbleedi viga ei ole teie viirusetõrje ega tulemüüriga midagi pistmist. See pole kliendipoolne probleem, nii et saate sellega vähe hakkama saada. Teiselt poolt peavad serverid kasutatavale OpenSSL-süsteemile plaastri rakendama. See on tehtud, võib öelda, et veebisait on suhtlemiseks turvalisem.
Kasutajana saate vähendada kaubanduse ja sarnaste saitide külastuste arvu. Asi pole selles, et viga mõjutab ainult kaubanduse saite. See on võrdne igat tüüpi veebisaitide puhul, mis kasutavad OpenSSL-i. Ma ütlen, et väldi mõnda aega kaubanduslikke saite, kuna need oleksid häkkerite peamine sihtmärk, kes sooviksid sinu kaardi üksikasju jne. See tähendab, et häkkerite peamine sihtmärk oleks e-kaubanduse saidid, mis kasutavad OpenSSL-i.
Kui olete saanud teate / teate, et viga on parandatud, võite jätkata nii, nagu enne vea avastamist tehti. OpenSSL on loonud plaastri ja on selle veebisaitide omanikele välja andnud, et kaitsta nende kasutajate andmeid. Seni proovige vältida saite, kuhu peate oma andmed mis tahes kujul sisestama - isegi sisselogimistunnuseid. Olen kindel, et peaaegu kõik veebimeistrid peavad plaastrit otsima, kuid probleem on endiselt olemas. Kui olete kindel, et pole ühtegi haavatavust või kui sellised haavatavused on plaasterdatud, võib olla hea oma paroole muuta.
Samal ajal kasutage neid brauserilaiendeid, et hoiatada teid Heartbleedi mõjutatud veebisaitide eest.
Heartbleedi kaudu kopeeritud saidisertifikaadid tuleb lahendada
Suure tõenäosusega võib veebisaitide turvasertifikaate pahatahtlike veebisaitide loomiseks kopeerida. Kuna turvasertifikaadid on üldised koopiad, ei pruugi teie brauserid vahet teha. Teie peate olema ettevaatlik. Vältige linkide klõpsamist ja tippige selle asemel aadressiribale veebisaidi URL, et teid ei suunataks mõnele võltssaidile.
Selle probleemi saab lahendada kahel viisil:
- Turul saadaolevad brauserid peaksid olema piisavalt nutikad, et kopeeritud sertifikaadid tuvastada ja teid hoiatada.
- Veebimeistrid muudavad pärast plaastri rakendamist sertifikaate.
Teisisõnu, ülaltoodud rakendamine võtab mõnda aega, kuigi veebimeistrid kasutavad plaastrit. Tahaksin veel kord korrata, et ärge klõpsake linke meilides ega maineteta veebisaitidel. Sisestage lihtsalt URL aadressiribale või kui teil on algne sait järjehoidjatesse lisatud, kasutage järjehoidjat.
Selle artikli lõpus olev viide sisaldab üksikasjalikku loendit mõjutatud veebisaitidest. Mittetäielik, kuna mõjutatud veebisaite võib olla rohkem kui seal loetletud veebisaite.
Viited:
- Südame veritsus: veebisait
- OpenSSL: südameverejooksu turvalisuse nõuanne
- Git Hub: mõjutatud veebisaitide loend.
