Phenquestions
Gotovo 70 posto prometa na Internetu zapošljava OpenSSL za osiguranje prijenosa podataka. To se prevodi na gotovo sve glavne poslužitelje (čitaj: web stranice) koji koriste OpenSSL za zaštitu vaših podataka, poput vjerodajnica za prijavu. Međutim, netko iz Googlea pronašao je grešku u OpenSSL-u - manju programsku pogrešku, ali dovoljno veliku da vaše podatke daje hakerima - ljudima koji su voljni koristiti vaše podatke u svoje svrhe. Nazvana je ova pogreška OpenSSL-a Krvarenje iz srca budući da je usko povezan s nekim HeartBeat slojem OpenSLL-a.
Što je Heartbleed Bug
Većina poslužitelja prihvaća šifrirane podatke, dekodira ih pomoću ključeva za šifriranje i prosljeđuje na obradu. Budući da većina poslužitelja koristi FIFO (First in First Out) metodu za opsluživanje krajnjih korisnika, podaci često (nakon dešifriranja) neko vrijeme sjedaju u memoriju poslužitelja prije nego što ih poslužitelj preuzme na daljnju obradu.
Heartbleed Bug zabrinjava gotovo sve internetske komercijalne web stranice i neke druge vrste. Ova programska pogreška omogućuje hakerima da se prijave na bilo koji poslužitelj koji koristi OpenSSL i čitaju / spremaju / koriste nekodirane podatke (dešifrirani podaci). Hakeri sada nemaju samo pristup vašim podacima, već mogu reproducirati certifikat web mjesta što Internet čini još opasnijim mjestom. S kopijom certifikata web mjesta, hakeri mogu stvoriti oponašajuća web mjesta: web mjesta koja izgledaju slično originalnim web mjestima. Time mogu dalje pristupati vašim podacima poput podataka o kreditnoj kartici, osobnim podacima itd.
Zvuči zastrašujuće, zar ne? To je - uistinu - jer može pristupiti vašim podacima i te se informacije mogu koristiti u bilo koji kraj.
Bilješka: Heartbleed također ima kodno ime CVE-2014-0160. CVE označava uobičajene ranjivosti i izloženosti. Ovi se kodovi odnose na ranjivosti itd. daje MITER, neovisno tijelo koje vodi evidenciju o bugovima i sličnim problemima.
Trebam li nadograditi svoj antivirus ili nešto slično
Greška Heartbleeda u OpenSSL-u nema nikakve veze s vašim antivirusnim programom ili vatrozidom. Ovo nije pitanje na strani klijenta, tako da možete malo učiniti po tom pitanju. S druge strane, poslužitelji moraju primijeniti zakrpu na OpenSSL sustav koji koriste. Nakon toga, za web mjesto se može reći da je sigurnije za interakciju.
Kao korisnik možete učiniti smanjenje broja posjeta trgovini i sličnim web mjestima. Nije da greška utječe samo na trgovačka mjesta. Jednako je za sve vrste web stranica koje koriste OpenSSL. Kažem da neko vrijeme izbjegavate trgovačke stranice jer bi one bile glavna meta hakera koji bi željeli podatke o vašoj kartici itd. To znači da bi primarna meta hakera bila web mjesta e-trgovine koja koriste OpenSSL.
Jednom kada dobijete poruku / izvještaj da je programska pogreška ispravljena, možete nastaviti kao prije nego što je greška otkrivena. OpenSSL je stvorio zakrpu i objavio je za vlasnike web stranica kako bi osigurali podatke svojih korisnika. Do tada pokušajte izbjegavati web lokacije na kojima morate unositi svoje podatke u bilo kojem obliku - čak i vjerodajnice za prijavu. Siguran sam da gotovo svi webmasteri moraju izaći na zakrpu, ali još uvijek postoji problem. Jednom kada se uvjerite da nema ranjivosti ili su takve ranjivosti zakrpane, možda bi bilo dobro promijeniti lozinke.
U međuvremenu, upotrijebite ova proširenja preglednika kako biste vas upozorili na web mjesta na koja utječe Heartbleed.
Treba adresirati certifikate web mjesta kopirane putem Heartbleeda
Postoje velike šanse da su sigurnosni certifikati web mjesta možda kopirani zbog stvaranja zlonamjernih web stranica. Budući da su sigurnosni certifikati kao općenite kopije, vaši preglednici možda neće razlikovati razliku. Vi ste ti koji morate ostati oprezni. Izbjegavajte klikove na veze i umjesto toga upišite URL web mjesta u adresnu traku kako vas ne bi preusmjerio na neku lažnu web stranicu.
Ovaj se problem može riješiti na dva načina:
- Preglednici dostupni na tržištu trebaju biti dovoljno pametni da prepoznaju kopirane certifikate i upozore vas.
- Webmasteri mijenjaju certifikate nakon primjene zakrpe.
Drugim riječima, trebat će neko vrijeme za provedbu gore navedenog iako webmasteri primjenjuju zakrpu. Želio bih ponoviti da ne klikaju veze u e-porukama ili web lokacijama bez reputacije. Jednostavno upišite URL u adresnu traku ili ako je označena originalna web stranica, upotrijebite je.
Odjeljak Reference na kraju ovog članka sadrži nepregledan popis pogođenih web stranica. Nepotpuno jer može biti pogođeno više web stranica od tamo navedenih.
Reference:
- Krvarenje iz srca: Web stranica
- OpenSSL: Sigurnosno upozorenje za krvarenje
- Git Hub: Popis pogođenih web stranica.
