Zadnji put smo vas upozorili na veliku sigurnosnu povredu kada je Adobeova lozinka baze podataka ugrožena, stavljajući milijune korisnika (osobito onih s slabim i često ponovno korištene lozinke) u opasnosti. Danas vas upozoravamo na mnogo veći sigurnosni problem, Heartbleed Bug, koji je potencijalno ugrozio nevjerojatne 2 / 3rds sigurnih web stranica na internetu. Morate promijeniti svoje lozinke i sada morate početi raditi.
Važna napomena: Ova pogreška ne utječe na How-To Geek.
U tipičnom kršenju sigurnosti, izloženi su korisnički podaci korisnika / lozinke jedne tvrtke. To je strašno kad se to dogodi, ali to je izolirana stvar. Tvrtka X ima sigurnosno kršenje, upozoravaju korisnike, a ljudi poput nas podsjećaju svima da je vrijeme da počnete prakticirati dobru higijenu sigurnosti i ažurirati njihove lozinke. Oni, nažalost, tipične povrede su dovoljno loše kakvi jesu. Heartbleed Bug je nešto mnogo,mnogo, gore.
Heartbleed Bug potkopava vrlo shemu šifriranja koja nas štiti dok šaljemo e-poštu, banku i na neki drugi način komunicirate s web mjestima za koje vjerujemo da su sigurni. Ovdje je običan engleski opis ranjivosti kod Codenomicona, sigurnosne skupine koja je otkrila i upozorila javnost na bug:
Heartbleed Bug je ozbiljna ranjivost u popularnoj knjižnici kriptografskih softvera OpenSSL. Ova slabost omogućuje uklanjanju zaštićenih podataka, u normalnim uvjetima, SSL / TLS enkripcijom koja se koristi za osiguranje Interneta. SSL / TLS pruža komunikacijsku sigurnost i privatnost putem Interneta za aplikacije kao što su web, e-pošta, instant messaging (IM) i neke virtualne privatne mreže (VPN).
Heartbleed bug omogućava svakome tko na Internetu pročita memoriju sustava zaštićenih ranjivim verzijama OpenSSL softvera. To kompromitira tajne ključeve koji se koriste za identifikaciju pružatelja usluga i za šifriranje prometa, imena i lozinki korisnika i stvarnog sadržaja. To omogućuje napadačima prisluškivanje na komunikacijama, ukrasti podatke izravno iz usluga i korisnika te lažno predstavljanje usluga i korisnika.
Zvuči prilično loše, da? Zvuči još gore ako shvatiš da otprilike dvije trećine svih web stranica koje koriste SSL koriste ovu ranjivu inačicu OpenSSL-a. Ne govorimo o sitnim vremenima kao što su hot-rod forum ili kolekcionarni igrači za razmjenu kartica, govorimo o bankama, tvrtkama s kreditnim karticama, glavnim elektroničkim trgovcima i davateljima e-pošte. Još gore, ova ranjivost je u divljini oko dvije godine. To je dvije godine da je netko s odgovarajućim znanjima i vještinama mogao pristupiti vjerodajnicama za prijavu i privatnim komunikacijama usluge koju upotrebljavate (i, prema testiranju koje provodi Codenomicon, to rade bez traga).
Za još bolju ilustraciju kako funkcionira Heartbleed bug. pročitajte ovaj xkcd strip.
Iako nijedna grupa nije došla napisati sve vjerodajnice i informacije koje su iskoristili s tim eksploatatorom, u ovom trenutku igre morat ćete pretpostaviti da su vjerodajnice za prijavu web stranica koje ste česte ugrožene.
Bilo kakva većinska povreda sigurnosti (i to se svakako kvalificira na velikoj skali) zahtijeva procjenu postupanja s lozinkom. S obzirom na široki doseg Heartbleed Bug ovo je savršena prilika za pregled već glatko pokrenut sustav za upravljanje lozinkama ili, ako ste povlačenjem noge, postaviti jedan gore.
Prije nego što zaronite u promjenu lozinke odmah, obratite pažnju na to da je ranjivost zakrpa samo ako je tvrtka nadogradila na novu verziju OpenSSL-a. Priča je prekinuta u ponedjeljak, a ako ste se odvezli kako biste odmah promijenili zaporke na svakoj web stranici, većina njih i dalje bira ranjivu verziju OpenSSL-a.
Sada, sredinom tjedna, većina web mjesta započela je proces ažuriranja i do vikenda je razumno preuzeti većinu web stranica s visokim profilom.
Ovdje možete upotrijebiti provjeru programa Heartbleed Bug da biste vidjeli je li još uvijek otvorena ranjivost ili, čak i ako web mjesto ne reagira na zahtjeve navedenog provjera, možete upotrijebiti LastPassov SSL datumski kontroler da biste vidjeli je li poslužitelj u pitanju ažurirao svoje SSL certifikata nedavno (ako su ažurirali nakon 4. 7. 2014. to je dobar pokazatelj da su zakrpili tu ranjivost.)Bilješka: ako pokrenete howtogeek.com putem bug provjeritelja, vratit će se pogreška jer ne upotrebljavamo SSL enkripciju na prvom mjestu, a potvrdili smo i da naši poslužitelji ne pokreću bilo kakav utjecaj na softver.
To je rekao, izgleda da se ovaj vikend oblikuje do dobrog vikenda kako bi ozbiljno o ažuriranju vaših zaporki. Prvo, potreban vam je sustav za upravljanje zaporkom. Pogledajte naš vodič za početak korištenja programa LastPass kako biste postavili jednu od najsigurnijih i fleksibilnijih opcija za upravljanje zaporkom. Ne morate koristiti LastPass, ali vam je potrebna neka vrsta sustava koji će vam omogućiti praćenje i upravljanje jedinstvenom i snažnom lozinkom za svaku web stranicu koju posjetite.
Drugo, morate početi mijenjati zaporke. Pregled upravljanja kriznim situacijama u našem vodiču, Kako se oporaviti nakon što je zaporka vaše e-pošte kompromitirana, odličan je način da ne propustite nikakve zaporke; ona također ističe osnove dobre higijene lozinke, citirane ovdje:
- Zaporke uvijek trebaju biti duže od onog što je usluga dopuštena, Ako dotična usluga omogućuje 6-20 znakovnih lozinki, idite na najdužu lozinku koju možete zapamtiti.
- Nemojte koristiti riječi rječnika kao dio vaše lozinke, Vaša zaporka bi trebalanikadabiti tako jednostavna da će to otkriti prolazno skeniranje sa rječnikom. Nikad nemojte navesti svoje ime, dio prijave ili e-pošte ili druge lako prepoznatljive stavke, kao što je naziv vaše tvrtke ili naziv ulice. Također izbjegavajte korištenje zajedničkih kombinacija tipkovnica poput "qwerty" ili "asdf" kao dio vaše lozinke.
- Koristite zaporke umjesto lozinki. Ako ne upotrebljavate upravitelja zaporki da biste zapamtili stvarno slučajne zaporke (da, shvaćamo da zaista zvučamo ideja o upotrebi upravitelja lozinki), onda se možete sjetiti jačih lozinki tako da ih pretvorite u zaporke. Na primjer, za vaš Amazon račun možete izraditi lako zapamtiti zaporku "Volim čitati knjige", a potom to pretvoriti u lozinku poput "! Luv2ReadBkz". Lako je zapamtiti i prilično je snažna.
Treće, kad god je to moguće, želite omogućiti autentifikaciju s dva faktora. Ovdje možete pročitati više o autentifikaciji s dva faktora, ali ukratko omogućuje dodavanje dodatnog sloja identifikacije na vašu prijavu.
S Gmailom, na primjer, autentifikacija s dva faktora zahtijeva da nemate samo vašu prijavu i zaporku, već pristup mobilnom telefonu registriranom na vašem Gmail računu tako da možete prihvatiti kôd tekstne poruke za unos kada se prijavite s novog računala.
S omogućivanjem autentičnosti s dva čimbenika to vam čini vrlo teškim za pristup korisnicima koji su stekli pristup vašoj prijavi i lozinkama (kao što su mogli s Heartbleed Bugom) za pristup vašem računu.
Sigurnosne ranjivosti, pogotovo one s takvim dalekosežnim implikacijama, nikad nisu zabavno, ali nude priliku za stezanje naše prakse lozinki i osigurati da jedinstvene i jake lozinke zadrže štetu, kada se dogodi, sadržane.
