Important note: How-To Geek is not affected by this bug.
Što je srčano i zašto je tako opasno?
U tipičnom kršenju sigurnosti, izloženi su korisnički podaci korisnika / lozinke jedne tvrtke. To je strašno kad se to dogodi, ali to je izolirana stvar. Tvrtka X ima sigurnosno kršenje, upozoravaju korisnike, a ljudi poput nas podsjećaju svima da je vrijeme da počnete prakticirati dobru higijenu sigurnosti i ažurirati njihove lozinke. Oni, nažalost, tipične povrede su dovoljno loše kakvi jesu. Heartbleed Bug je nešto mnogo,mnogo, gore.
Heartbleed Bug potkopava vrlo shemu šifriranja koja nas štiti dok šaljemo e-poštu, banku i na neki drugi način komunicirate s web mjestima za koje vjerujemo da su sigurni. Ovdje je običan engleski opis ranjivosti kod Codenomicona, sigurnosne skupine koja je otkrila i upozorila javnost na bug:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Zvuči prilično loše, da? Zvuči još gore ako shvatiš da otprilike dvije trećine svih web stranica koje koriste SSL koriste ovu ranjivu inačicu OpenSSL-a. Ne govorimo o sitnim vremenima kao što su hot-rod forum ili kolekcionarni igrači za razmjenu kartica, govorimo o bankama, tvrtkama s kreditnim karticama, glavnim elektroničkim trgovcima i davateljima e-pošte. Još gore, ova ranjivost je u divljini oko dvije godine. To je dvije godine da je netko s odgovarajućim znanjima i vještinama mogao pristupiti vjerodajnicama za prijavu i privatnim komunikacijama usluge koju upotrebljavate (i, prema testiranju koje provodi Codenomicon, to rade bez traga).
Za još bolju ilustraciju kako funkcionira Heartbleed bug. pročitajte ovaj xkcd strip.
Što učiniti Post Heartbleed Bug
Bilo kakva većinska povreda sigurnosti (i to se svakako kvalificira na velikoj skali) zahtijeva procjenu postupanja s lozinkom. S obzirom na široki doseg Heartbleed Bug ovo je savršena prilika za pregled već glatko pokrenut sustav za upravljanje lozinkama ili, ako ste povlačenjem noge, postaviti jedan gore.
Prije nego što zaronite u promjenu lozinke odmah, obratite pažnju na to da je ranjivost zakrpa samo ako je tvrtka nadogradila na novu verziju OpenSSL-a. Priča je prekinuta u ponedjeljak, a ako ste se odvezli kako biste odmah promijenili zaporke na svakoj web stranici, većina njih i dalje bira ranjivu verziju OpenSSL-a.
Sada, sredinom tjedna, većina web mjesta započela je proces ažuriranja i do vikenda je razumno preuzeti većinu web stranica s visokim profilom.
Ovdje možete upotrijebiti provjeru programa Heartbleed Bug da biste vidjeli je li još uvijek otvorena ranjivost ili, čak i ako web mjesto ne reagira na zahtjeve navedenog provjera, možete upotrijebiti LastPassov SSL datumski kontroler da biste vidjeli je li poslužitelj u pitanju ažurirao svoje SSL certifikata nedavno (ako su ažurirali nakon 4. 7. 2014. to je dobar pokazatelj da su zakrpili tu ranjivost.) Bilješka: ako pokrenete howtogeek.com putem bug provjeritelja, vratit će se pogreška jer ne upotrebljavamo SSL enkripciju na prvom mjestu, a potvrdili smo i da naši poslužitelji ne pokreću bilo kakav utjecaj na softver.
To je rekao, izgleda da se ovaj vikend oblikuje do dobrog vikenda kako bi ozbiljno o ažuriranju vaših zaporki. Prvo, potreban vam je sustav za upravljanje zaporkom. Pogledajte naš vodič za početak korištenja programa LastPass kako biste postavili jednu od najsigurnijih i fleksibilnijih opcija za upravljanje zaporkom. Ne morate koristiti LastPass, ali vam je potrebna neka vrsta sustava koji će vam omogućiti praćenje i upravljanje jedinstvenom i snažnom lozinkom za svaku web stranicu koju posjetite.
Drugo, morate početi mijenjati zaporke. Pregled upravljanja kriznim situacijama u našem vodiču, Kako se oporaviti nakon što je zaporka vaše e-pošte kompromitirana, odličan je način da ne propustite nikakve zaporke; ona također ističe osnove dobre higijene lozinke, citirane ovdje:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
Treće, kad god je to moguće, želite omogućiti autentifikaciju s dva faktora. Ovdje možete pročitati više o autentifikaciji s dva faktora, ali ukratko omogućuje dodavanje dodatnog sloja identifikacije na vašu prijavu.
S Gmailom, na primjer, autentifikacija s dva faktora zahtijeva da nemate samo vašu prijavu i zaporku, već pristup mobilnom telefonu registriranom na vašem Gmail računu tako da možete prihvatiti kôd tekstne poruke za unos kada se prijavite s novog računala.
S omogućivanjem autentičnosti s dva čimbenika to vam čini vrlo teškim za pristup korisnicima koji su stekli pristup vašoj prijavi i lozinkama (kao što su mogli s Heartbleed Bugom) za pristup vašem računu.
Sigurnosne ranjivosti, pogotovo one s takvim dalekosežnim implikacijama, nikad nisu zabavno, ali nude priliku za stezanje naše prakse lozinki i osigurati da jedinstvene i jake lozinke zadrže štetu, kada se dogodi, sadržane.
