FAQ: Was ist Heartbleed Verletzlichkeit und wie Sie sich vor, sie zu schützen
Technologie / / December 19, 2019
Eine kürzlich entdeckte Schwachstelle im OpenSSL-Protokoll, genannt Heartbleed und sogar Ihr eigenes Logo, tragen eine potentielle Gefahr für das Kennwort des Benutzers auf einer Vielzahl von Websites. Wir entschieden uns für den Hype zu warten, um ihn herum und darüber reden, sozusagen in dem Trockenrückstand.
Dies wird uns in eine Volksausgabe von CNET helfen, die gesammelt eine Liste von häufig gestellten Fragen zu diesem Thema. Wir hoffen, dass die folgenden Informationen helfen Ihnen mehr über Heartbleed zu lernen und sich selbst zu schützen. Zunächst einmal daran erinnern, auf dem Laufenden mit Heartbleed Problem wurde komplett nicht gelöst.
Was ist Heartbleed?
Heartbleed - Sicherheitslücke in OpenSSL-Software-Bibliothek (offene Implementierung von SSL / TLS-Verschlüsselungsprotokoll), den Hacker erlaubt den Inhalt des Speicherservers zuzugreifen, die privaten Daten verschiedenen Benutzer an diesem Punkt enthalten könnte Web-Services. Laut Marktforschungsunternehmen Netcraft, kann diese Sicherheitslücke auf etwa 500 Tausend Websites ausgesetzt werden.
Dies bedeutet, dass auf diesen Seiten potenziell gefährdet waren diese personenbezogenen Daten der Nutzer, wie Benutzernamen, Passwörter, Kreditkartendaten, etc.
Die Sicherheitslücke ermöglicht es auch Angreifer digitale Schlüssel, die verwendet werden, zum Beispiel für die Verschlüsselung Korrespondenz und interne Dokumente in einer Vielzahl von Unternehmen.
Was ist OpenSSL?
Beginnen wir mit dem SSL-Protokoll zu starten, die für Secure Sockets Layer steht (Secure Sockets Layer). Er ist auch unter dem neuen Namen von TLS (Transport Layer Security) bekannt. Heute ist es eines der am häufigsten verwendeten Methoden der Datenverschlüsselung im Netzwerk, die Sie vor möglichem schützt „Spionage“ auf dem Teil. (Https am Anfang der Verbindung anzeigt, dass die Kommunikation zwischen Ihrem Browser und öffnen Sie sie in der Website wird SSL verwenden, sonst werden Sie im Browser sehen nur http).
OpenSSL - SSL-Implementierung von Open-Source-Software. Schwachstellen wurden zu Protokoll Version 1.0.1 zu 1.0.1f unterzogen. OpenSSL ist auch im Linux-Betriebssystem verwendet wird, ist es ein Teil der beiden beliebtesten Web-Server Apache und Nginx, die „läuft“ ein großer Teil des Internets. Kurz gesagt, ist der Umfang der OpenSSL riesig.
Wer hätte einen Fehler gefunden?
Dieses Verdienst gehört zu den Mitarbeitern des Unternehmens Codenomicon, mit Computer-Sicherheit zu tun, und Personal Google-Forscher Nil Meta (Neel Mehta), die Schwachstellen unabhängig voneinander entdeckt, buchstäblich ein Tag.
Meta gespendet Belohnung von 15 Tausend. Dollar. für einen Fehler auf der Kampagne für die Entwicklung von Verschlüsselungs-Tool für Journalisten Erkennung mit Quellen von Informationen arbeiten, die eine freie Presse Foundation (Pressefreiheit Foundation) führt. Meta weiterhin jedes Interview zu verweigern, aber sein Arbeitgeber, Google, gab den folgenden Kommentar: „Die Sicherheit unserer Nutzer ist unsere höchste Priorität. Wir suchen ständig nach Schwachstellen und ermutigen alle, sie so bald wie möglich, so zu berichten, dass wir sie beheben können, bevor sie zu Angreifern bekannt geworden. "
Warum Heartbleed?
Der Name wurde von Heartbleed Ossie Gerraloy (Ossi Herrala), der Systemadministrator Codenomicon geprägt. Es ist harmonischer als der technische Name CVE-2014-0160, der diese Sicherheitsanfälligkeit durch Anzahl seiner Codezeile enthält.
Heartbleed (wörtlich - „blutenden Herzen“) - ein Wortspiel, einen Verweis auf die Expansion von OpenSSL enthält, genannt „der Herzschlag“ (Palpitationen). Protokoll hielt die Verbindung offen, auch wenn zwischen den Teilnehmern keine Daten austauschen. Gerrala Auffassung vertreten, dass Heartbleed beschreibt perfekt das Wesen der Verwundbarkeit, die das Austreten von sensiblen Daten aus dem Speicher erlaubt.
Der Name scheint für die Fehler recht erfolgreich zu sein, und das ist kein Zufall. Codenomicon Team bewusst euphonic (Presse) den Namen verwendet, die beide so viel wie möglich so schnell wie möglich helfen würde, die Menschen zu informieren über Verwundbarkeit gefunden. Geben Sie den Namen des Fehlers, kaufte Codenomicon bald eine Domain Heartbleed.com, die die Website in einer zugänglichen Form erzählen über Heartbleed ins Leben gerufen.
Warum betroffen einige Websites nicht durch Heartbleed?
Trotz der Popularität von OpenSSL, gibt es andere SSL / TLS-Implementierung. Darüber hinaus verwenden einige Websites eine frühere Version von OpenSSL, die dieser Fehler nicht vorhanden ist. Und einige sind hat keinen Herzschlag-Funktion, die eine Quelle der Verwundbarkeit ist.
Teilweise den möglichen Schaden macht von PFS (Perfect Forward Secrecy zu reduzieren - vollkommen gerade Geheimhaltung), Eigentum des SSL-Protokolls, das dafür sorgt, dass, wenn ein Angreifer aus dem Speicher abrufen Server einen Sicherheitsschlüssel, wird er nicht in der Lage sein, den gesamten Datenverkehr und Zugriff auf den Rest dekodieren von Tasten. Viele (aber nicht alle) Unternehmen nutzen bereits PFS - zum Beispiel Google und Facebook.
Wie funktioniert Heartbleed?
Anfälligkeiten Angreifer Zugriff auf den Server 64 Kilobyte Speicher zu gewinnen und den Angriff wieder und wieder bis zum vollständigen Datenverlust auszuführen. Dies bedeutet, dass nicht nur anfällig für undichte Benutzernamen und Passwörter, aber die Cookie-Daten, dass Web-Server und Websites verwenden Benutzeraktivität und simplify Genehmigung zu verfolgen. Die Organisation Electronic Frontier Foundation stellt fest, dass regelmäßige Angriffe Zugang zu den beiden geben kann ernstere Informationen, wie private Seite Verschlüsselungsschlüssel für die Verschlüsselung Verkehr. Mit dieser Taste kann ein Angreifer die Original-Website fälschen und stehlen die verschiedensten Arten von persönlichen Daten wie Kreditkartennummern oder private Korrespondenz.
Soll ich mein Passwort ändern?
Für eine Vielzahl von Websites, zu beantworten: „Ja.“ ABER - es ist besser für die Nachricht zu warten, von der Applikationsstelle, dass diese Sicherheitsanfälligkeit beseitigt wurde. Natürlich Ihre erste Reaktion - Ändern Sie alle Passwörter sofort, aber wenn Verwundbarkeit bei einigen der Standorte nicht gereinigt werden, ändern Passwort sinnlos - zu einem Zeitpunkt, wenn die Verwundbarkeit allgemein bekannt ist, dass Sie nur die Chancen auf einen Angreifer erhöhen Ihre neue kennen Passwort.
Wie weiß ich, die Websites, die Schwachstellen enthält, und es ist festgelegt?
Es gibt mehrere Ressourcen, die das Internet für die Verwundbarkeit überprüfen und berichtet seine Anwesenheit / Abwesenheit. wir empfehlen Ressource Unternehmen Lastpass, ein Software-Entwickler von Passwort-Management. Obwohl es eine ziemlich klare Antwort auf die Frage gibt, ob er verwundbar oder dass vor Ort ist, denken Sie an die Ergebnisse der Prüfung mit Vorsicht zu genießen. Wenn die Anfälligkeit der Website genau gefunden - versuchen Sie nicht, es zu besuchen.
Liste der beliebtesten Websites ausgesetzt Schwachstellen können Sie auch erkunden die Link.
Das Wichtigste vor dem Ändern des Kennworts - eine offizielle Bestätigung von der Verabreichungsstelle zu erhalten, die Heartbleed entdeckt wurde, dass sie beseitigt bereits hatte.
Viele Unternehmen haben bereits die entsprechenden Einträge auf ihren Blogs veröffentlicht. Wenn es nicht - zögern Sie nicht, um die Angelegenheit zu unterstützen zu verweisen.
Wer ist verantwortlich für das Auftreten von Sicherheitsanfälligkeit?
Nach Angaben der Zeitung Guardian, ist der Name "Buggy" Programmierer Code geschrieben - Zeggelman Robin (Robin Seggelmann). Er arbeitete an dem Projekt OpenSSL im Prozess von 2008 bis 2012 einen Doktorgrad zu erhalten. Dramatische Situation fügt der Tatsache, dass der Code in das Repository, 31. Dezember 2011 um 23:59 Uhr gesendet wurde, obwohl die Zeggelman Er argumentiert, dass es egal ist, „ich für den Fehler verantwortlich bin, wie ich den Code geschrieben und hat alle notwendigen Kontrollen. "
Zur gleichen Zeit, da OpenSSL - Open-Source-Projekt, ist es schwierig, den Fehler von jemandem der Schuld. Projektcode ist komplex und enthält eine große Anzahl von komplexen Funktionen und insbesondere Herzschlag - nicht das wichtigste von ihnen.
Stimmt es, dass verdammen State Department Die US-Regierung verwendet Heartbleed auszuspionieren zwei Jahre vor der Öffentlichkeit?
Es ist nicht klar. Bekannte Nachrichtenagentur Bloomberg berichtet, dass dies der Fall ist, aber es geht den ganzen NSA bestreitet. Egal, bleibt die Tatsache - Heartbleed ist immer noch eine Bedrohung.
Muß ich mir Sorgen über mein Bankkonto?
Die meisten Banken OpenSSL nicht verwenden, bevorzugen proprietäre Verschlüsselungslösung. Aber wenn Sie von Zweifeln geplagt werden - nur Ihre Bank wenden und sie bitten, die entsprechende Frage. In jedem Fall ist es besser, die Entwicklung der Situation und offiziellen Berichten von Banken zu folgen. Und vergessen Sie nicht, ein Auge auf Transaktionen in Ihrem Konto zu halten - im Fall von Transaktionen fremd Sie, nehmen Sie die entsprechende Aktion aus.
Wie kann ich wissen, ob bereits Heartbleed Hacker nutzen, um meine persönlichen Daten zu stehlen?
Leider nein - diese Sicherheitsanfälligkeit ausnutzen, keine Spur von dem Server verlassen protokolliert den Eindringling Aktivität.
Ob das Programm zu benutzen, um Ihre Passwörter zu speichern und was?
Auf der einen Seite werfen Heartbleed erneut die Frage nach dem Wert eines starken Passworts. Als Folge der Massenänderung Passwörter, können Sie fragen, wie Sie auch Ihre Sicherheit erhöhen können. Natürlich sind Passwort-Manager Assistenten in diesem Fall vertraut - sie können automatisch erzeugen und speichern starke Passwörter für jeden Standort einzeln, aber Sie dürfen nicht vergessen, nur eine Master-Passwort. Online Lastpass, zum Beispiel, besteht darauf, dass er nicht zu Heartbleed Verwundbarkeit ausgesetzt ist, und Benutzer können nicht Ihr Master-Passwort ändern. Neben Lastpass, empfehlen wir die Aufmerksamkeit auf solche bewährten Lösungen wie RoboForm, Dashlane und 1Password zu bezahlen.
Darüber hinaus empfehlen wir eine zweistufigen Authentifizierung, wo immer möglich mit (Google Mail, Dropbox und Evernote bereits unterstützen) - dann, wenn Genehmigung, neben dem Passwort, wird der Dienst fragen Sie nach einer einmaligen Code, der in einer speziellen mobilen Anwendung oder gesendet durch euch gegeben wird SMS. In diesem Fall, auch wenn Sie Ihr Passwort gestohlen wird, kann ein Angreifer nicht einfach benutzen um sich einzuloggen.