Phenquestions
Skoraj 70 odstotkov prometa na internetu zaposluje OpenSSL za zagotovitev prenosa podatkov. To pomeni, da skoraj vsi večji strežniki (beri: spletna mesta) uporabljajo OpenSSL za zaščito vaših podatkov, kot so poverilnice za prijavo. Vendar je nekdo iz Googla našel napako v OpenSSL - manjšo programsko napako, vendar dovolj veliko, da lahko vaše podatke odda hekerjem - ljudem, ki so pripravljeni vaše podatke uporabiti za svoje namene. Ta napaka OpenSSL je poimenovana Srčna krvavitev saj je tesno povezan z neko plastjo HeartBeat OpenSLL.
Kaj je Heartbleed Bug
Večina strežnikov sprejme šifrirane podatke, jih dešifrira s šifrirnimi ključi in posreduje v obdelavo. Ker večina strežnikov uporablja metodo FIFO (First in First Out), ki služi končnim uporabnikom, podatki pogosto (po dešifriranju) nekaj časa ostanejo v pomnilniku strežnika, preden jih strežnik vzame v nadaljnjo obdelavo.
Heartbleed Bug je zaskrbljujoč za skoraj vsa spletna komercialna spletna mesta in nekatere druge vrste. Ta programska napaka hekerjem omogoča, da se prijavijo na kateri koli strežnik, ki uporablja OpenSSL, in berejo / shranjujejo / uporabljajo nešifrirane podatke (dešifrirani podatki). Hekerji zdaj nimajo samo dostopa do vaših podatkov, lahko reproducirajo potrdilo spletnega mesta, zaradi česar je internet še bolj nevaren kraj. S kopijo potrdila o spletnem mestu lahko hekerji ustvarijo posnemajoča spletna mesta: spletna mesta, ki so podobna originalnim. S tem lahko še naprej dostopajo do vaših podatkov, kot so podatki o kreditni kartici, osebni podatki itd.
Sliši se strašljivo, kajne? Je - res - saj lahko dostopa do vaših podatkov in jih je mogoče uporabiti za kateri koli namen.
Opomba: Heartbleed ima tudi kodno ime CVE-2014-0160. CVE pomeni skupne ranljivosti in izpostavljenosti. Te kode so se nanašale na ranljivosti itd. jih daje MITER, neodvisno telo, ki spremlja napake in podobne težave.
Naj nadgradim svoj protivirusni program ali kaj podobnega
Napaka Heartbleed v OpenSSL nima nič skupnega z vašim protivirusnim programom ali požarnim zidom. To ni vprašanje na strani odjemalca, zato lahko z njo malo storite. Po drugi strani pa morajo strežniki sistem OpenSSL, ki ga uporabljajo, uporabiti popravek. Potem lahko rečemo, da je spletno mesto varnejše za interakcijo.
Kot uporabnik lahko storite, da zmanjšate število obiskov trgovine in podobnih spletnih mest. Ne gre za to, da napaka prizadene samo trgovska mesta. Enako je za vse vrste spletnih mest, ki uporabljajo OpenSSL. Pravim, da se za nekaj časa izogibajte trgovskim mestom, saj bi bila glavna tarča hekerjev, ki bi želeli podatke o vaši kartici itd. To pomeni, da bi bili glavni cilj hekerjev spletna mesta za e-poslovanje, ki uporabljajo OpenSSL.
Ko prejmete sporočilo / poročilo, da je napaka odpravljena, lahko nadaljujete, kot prej, preden je bila napaka odkrita. OpenSSL je ustvaril popravek in ga izdal za lastnike spletnih mest, da zaščitijo podatke svojih uporabnikov. Do takrat se poskušajte izogibati spletnim mestom, kjer morate svoje podatke vnašati v kakršni koli obliki - tudi poverilnice za prijavo. Prepričan sem, da skoraj vsi spletni skrbniki potrebujejo popravek, vendar težava še vedno obstaja. Ko se prepričate, da ni ranljivosti ali so bile takšne ranljivosti popravljene, je morda dobro spremeniti gesla.
S temi razširitvami brskalnika vas medtem opozori na spletna mesta, ki jih prizadene Heartbleed.
Treba je nasloviti potrdila spletnega mesta, kopirana prek Heartbleeda
Obstaja velika verjetnost, da so bila varnostna potrdila spletnih mest kopirana zaradi ustvarjanja zlonamernih spletnih mest. Ker so varnostna potrdila splošne kopije, brskalniki morda ne bodo opazili razlike. Vi ste tisti, ki morate ostati previdni. Izogibajte se kliku povezav in namesto tega v naslovno vrstico vnesite URL spletnega mesta, da ne boste preusmerjeni na neko ponarejeno spletno mesto.
To težavo je mogoče rešiti na dva načina:
- Brskalniki, ki so na voljo na trgu, morajo biti dovolj pametni, da prepoznajo kopirane certifikate in vas opozorijo.
- Spletni skrbniki po uporabi popravka spremenijo potrdila.
Z drugimi besedami, trajalo bo nekaj časa za izvajanje zgoraj, čeprav spletni skrbniki uporabljajo popravek. Ponovno želim poudariti, da ne kliknete povezav v e-poštnih sporočilih ali na spletnih mestih, ki niso cenjena. Preprosto vnesite URL v naslovno vrstico ali, če je izvirno spletno mesto zaznamovano, uporabite zaznamek.
Odsek Reference na koncu tega članka vsebuje neizčrpen seznam prizadetih spletnih mest. Nepopolno, ker je morda prizadetih več spletnih mest kot tam naštetih.
Reference:
- Heart Bleed: Spletno mesto
- OpenSSL: Varnostno svetovanje za krvavitev srca
- Git Hub: Seznam prizadetih spletnih mest.
