Что такое Heartbleed Bug и как защитить себя и оставаться в безопасности?

Оглавление:

Что такое Heartbleed Bug и как защитить себя и оставаться в безопасности?
Что такое Heartbleed Bug и как защитить себя и оставаться в безопасности?

Видео: Что такое Heartbleed Bug и как защитить себя и оставаться в безопасности?

Видео: Что такое Heartbleed Bug и как защитить себя и оставаться в безопасности?
Видео: Surface RT. 10 летний планшет в 2022 году. Стоит ли? - YouTube 2024, Ноябрь
Anonim

Почти 70 процентов трафика в Интернете работают OpenSSL для обеспечения передачи данных. Это означает, что почти все основные серверы (чтение: веб-сайты) используют OpenSSL для защиты ваших данных, таких как учетные данные для входа. Тем не менее, кто-то из Google обнаружил ошибку в OpenSSL - небольшую ошибку программирования, но достаточно большую, чтобы отдать ваши данные хакерам - людям, желающим использовать ваши данные для своих целей. Эта ошибка OpenSSL называется Heartbleed так как он тесно связан с некоторым слоем HeartBeat OpenSLL.

Что такое Heartbleed Bug

Большинство серверов принимают зашифрованные данные, декодируют их с помощью ключей шифрования и пересылают их для обработки. Поскольку большинство серверов используют метод FIFO (First in First Out) для обслуживания конечных пользователей, часто данные (после дешифрования) находятся в памяти сервера некоторое время, прежде чем сервер заберет его для дальнейшей обработки.
Большинство серверов принимают зашифрованные данные, декодируют их с помощью ключей шифрования и пересылают их для обработки. Поскольку большинство серверов используют метод FIFO (First in First Out) для обслуживания конечных пользователей, часто данные (после дешифрования) находятся в памяти сервера некоторое время, прежде чем сервер заберет его для дальнейшей обработки.

The Heartbleed Bug - это случай беспокойства почти для всех интернет-коммерческих коммерческих сайтов и некоторых других типов. Эта ошибка программирования позволяет хакерам проверять любой сервер, использующий OpenSSL, и читать / сохранять / использовать незашифрованные данные (дешифрованные данные). Теперь у хакеров есть не только доступ к вашим данным, они могут воспроизвести сертификат веб-сайта, делающий Интернет, даже более опасное место. С копией сертификата веб-сайта хакеры могут создавать мимические сайты: сайты, похожие на оригинальные сайты. При этом они могут получить доступ к вашим данным, таким как данные кредитной карты, личную информацию и т. Д.

Звучит страшно, не так ли? Это - действительно - поскольку он может получить доступ к вашей информации и эта информация может быть использована в любом направлении.

Заметка: Heartbleed также имеет кодовое имя CVE-2014-0160. CVE обозначает общие уязвимости и риски. Эти коды, относящиеся к уязвимостям и т. Д., Предоставляются MITER, независимым органом, который отслеживает ошибки и аналогичные проблемы.

Должен ли я обновлять свой Антивирус или что-то

Ошибка Heartbleed в OpenSSL не имеет никакого отношения к вашему антивирусу или брандмауэру. Это не проблема с клиентской стороной, поэтому вы можете немного об этом. С другой стороны, серверы должны применять патч к системе OpenSSL, которую они используют. Это сделано, веб-сайт можно сказать, что он безопаснее для взаимодействия.

То, что вы можете сделать в качестве пользователя, - это сократить количество посещений коммерции и аналогичных сайтов. Дело не в том, что ошибка затрагивает только сайты торговли. Он равен всем типам сайтов, использующих OpenSSL. Я говорю, что избегайте сайтов коммерции некоторое время, так как они станут основной целью для хакеров, которые хотели бы получить ваши данные о карте и т. Д. Это означает, что основной целью хакеров были бы сайты электронной коммерции с использованием OpenSSL.

Как только вы получите сообщение / отчет о том, что ошибка исправлена, вы можете идти вперед, как и раньше, до того, как обнаружена ошибка. OpenSSL создал патч и выпустил его для владельцев веб-сайтов для защиты данных своих пользователей. До тех пор старайтесь избегать сайтов, где вы должны указывать свои данные в любой форме - даже учетные данные для входа. Я уверен, что почти все веб-мастера должны заниматься патчем, но проблема все еще остается. Как только вы уверены, что нет уязвимостей или такие уязвимости были исправлены, может быть хорошим идеей изменить ваши пароли.

Между тем, используйте эти расширения браузера, чтобы предупредить вас о затронутых сайтом Heartbleed.

Должны быть адресованы сертификаты сайта, скопированные с помощью Heartbleed

Есть большие шансы, что сертификаты безопасности веб-сайта могли быть скопированы для создания вредоносных веб-сайтов. Поскольку сертификаты безопасности в качестве общих копий, ваши браузеры могут не сказать разницы. Это вы должны оставаться осторожными. Избегайте ссылок на ссылки и вместо этого введите URL-адрес веб-сайта в адресной строке, чтобы вы не перенаправлялись на какой-то поддельный сайт.

Эта проблема может быть решена двумя способами:

  1. Доступные на рынке браузеры должны быть достаточно умны, чтобы идентифицировать скопированные сертификаты и предупреждать вас.
  2. После применения патча веб-мастера меняют сертификаты.

Другими словами, это займет некоторое время, чтобы реализовать выше, хотя веб-мастера применяют патч. Я хотел бы повторить, что не нажимайте ссылки на электронные письма или сайты, не имеющие репутации. Просто введите URL-адрес в адресную строку или, если у вас есть оригинальный сайт, используйте закладку.

В разделе «Ссылки» в конце этой статьи содержится неполный список затронутых веб-сайтов. Неполное, потому что может быть больше затронутых веб-сайтов, чем те, которые перечислены там.

Рекомендации:

  • Heart Bleed: Веб-сайт
  • OpenSSL: рекомендации по безопасности для сердечного кровотечения
  • Git Hub: список затронутых веб-сайтов.

Рекомендуемые: