Lähes 70 prosenttia Internetin liikenteestä työllistää OpenSSL tietojen siirron turvaamiseksi. Tämä tarkoittaa lähes kaikkia tärkeimpiä palvelimia (lue: verkkosivustoja), jotka käyttävät OpenSSL: ää tietojen suojaamiseen, kuten kirjautumistodennuksiin. Joku Googlelta löysi kuitenkin virheen OpenSSL: ssä - pieni ohjelmointivirhe, mutta tarpeeksi suuri tietojen luovuttamiseen hakkereille - henkilöt, jotka ovat halukkaita käyttämään tietojasi heidän tarkoituksiinsa. Tämä OpenSSL-vika on nimetty heartbleed-haavoittuvuus koska se on läheisessä yhteydessä johonkin OpenSLL: n HeartBeat-kerrokseen.
Mikä on Heartbleed-bugi
Heartbleed-bugi on huolenaihe lähes kaikille Internet-pohjaisille kaupallisille verkkosivustoille ja muille. Tämä ohjelmointivirhe mahdollistaa hakkereiden tarkistamisen palvelimelle, joka käyttää OpenSSL: ää ja lukee / tallentaa / käyttää salaamattomia tietoja (salauksen purku). Hakkereilla ei ole vain pääsyäsi tietoihin, he voivat toistaa verkkosivuston todistuksen, joka tekee Internetistä entistäkin vaarallisemman paikan. Verkkosivustodistuksen kopiolla hakkerit voivat luoda jäljittelevä sivustoja: sivustoja, jotka muistuttavat alkuperäisiä sivustoja. Tämän ansiosta he voivat edelleen käyttää tietoja, kuten luottokorttitietoja, henkilökohtaisia tietoja jne.
Ääniä pelottava, eikö olekin? Se on - todellakin - koska se voi käyttää tietojaan ja että tietoja voidaan käyttää mihin tahansa loppuun.
Huomautus: Heartbleedilla on myös koodinimi CVE-2014-0160. CVE tarkoittaa yhteisiä haavoittuvuuksia ja altistuksia. Nämä haavoittuvuuteen liittyvät koodit ovat MITER, riippumaton elin, joka pitää kirjaa vikoista ja vastaavista ongelmista.
Pitäisikö minun päivittää Anti-Virus tai jotain
Heartlessed-bugilla OpenSSL: llä ei ole mitään tekemistä virustentorjuntasi tai palomuurisi kanssa. Tämä ei ole asiakaspuolen ongelma, joten voit tehdä sen vähän. Toisaalta palvelinten on asennettava korjaustiedosto OpenSSL-järjestelmään, jota he käyttävät. Näin tehty sivusto voidaan sanoa olevan turvallisempaa vuorovaikutuksessa.
Käyttäjä voi vähentää kaupallisten käyntien määrää ja vastaavia sivustoja. Ei ole, että vika vaikuttaa vain kauppapaikkoihin. Se on sama kaikille OpenSSL-versioita käyttäville sivustoille. Sanon, että vältät kauppapaikkoja jonkin aikaa, koska ne olisivat tärkein tavoite hakkereille, jotka haluaisivat korttisi tiedot jne. Se tarkoittaa, että hakkereiden ensisijainen tavoite olisi sähköisen kaupankäynnin kohteet OpenSSL: n avulla.
Kun saat viestin / raportin, että vika on korjattu, voit mennä eteenpäin kuten aiemmin ennen vian havaitsemista. OpenSSL on luonut korjaustiedoston, joka on julkaissut sen sivuston omistajille varmistaakseen käyttäjien tietojen. Siihen asti yrittää välttää sivustoja, joissa sinun on annettava tietojasi missä tahansa muodossa - jopa kirjautumistunnuksia. Olen varma, että lähes kaikkien verkkovastaavien on mentävä laastariin, mutta ongelma on edelleen. Kun olet varma, ettei ole haavoittuvuuksia tai tällaisia haavoittuvuuksia on korjattu, saattaa olla hyvä idea vaihtaa salasanoja.
Käytä näitä selainlaajennuksia varoittamaan sinut Heartbleed-sivustoista.
Site-todistukset, jotka on kopioitu Heartbleedin kautta, on käsiteltävä
On olemassa suuria mahdollisuuksia, että verkkosivustojen turvallisuustodistuksia on ehkä kopioitu haitallisten verkkosivustojen luomiseen. Koska suojaustodistukset ovat yleisiä kopioita, selaimet eivät ehkä kerro eroa. Sinun on pysyttävä varovaisena. Vältä linkkien napsauttamista ja kirjoita osoitepalkin URL-osoite URL-osoitteeseen siten, että sinua ei ohjata johonkin väärennettyyn sivustoon.
Tämä ongelma voidaan ratkaista kahdella tavalla:
- Markkinoilla saatavilla olevat selaimet olisi tehtävä tarpeeksi älykkääksi tunnistamaan kopioidut varmenteet ja ilmoittamaan sinut.
- Verkkovastaavat muuttavat todistukset laastarin levittämisen jälkeen.
Toisin sanoen, se vie aikaa jonkin aikaa, vaikka ylläpitäjät soveltavat laastaria. Haluaisin toistaa, että älä napsauta linkkejä sähköposteihin tai maineikkain verkkosivustoihin. Kirjoita URL-osoite osoitekenttään tai jos alkuperäisellä sivustolla on kirjanmerkki, käytä kirjanmerkkiä.
Tämän artikkelin lopussa oleva Viitteet-osio sisältää epätietoisen luettelon vaikuttavista verkkosivustoista. Epätäydellinen, koska siellä voi olla useampia verkkosivustoja kuin niitä.
Viitteet:
- Heart Bleed: Verkkosivusto
- OpenSSL: Turvallisuusneuvonta Heart Bleedille
- Git Hub: Luettelo Internet-sivustoista.
