Ultima dată când v-am alertat la o încălcare majoră a securității a fost compromisă baza de date a parolei Adobe, punând în pericol milioane de utilizatori (în special cei cu parole slabe și frecvent reutilizate). Astăzi vă avertizăm cu privire la o problemă de securitate mult mai mare, Bugul Heartbleed, care a compromis potențial 2/3 răscumpărări ale site-urilor securizate de pe internet. Trebuie să vă schimbați parolele și trebuie să începeți să o faceți acum.
Notă importantă: Cum să-Geek nu este afectată de acest bug.
În cazul încălcării normale a securității, sunt afișate înregistrările utilizatorilor / parolele unei singure companii. Asta e groaznic când se întâmplă, dar eo afacere izolată. Compania X are o încălcare a securității, le emite un avertisment utilizatorilor lor și oamenii ca noi aminteam tuturor că este timpul să începem să practicăm o bună igienă a securității și să le actualizăm parolele. Din păcate, încălcările tipice sunt destul de rău așa cum este. Bug-ul Heartbleed este ceva mult,mult, mai rau.
Bug-ul Heartbleed subminează sistemul de criptare foarte care ne protejează în timp ce trimitem prin e-mail, bancă și interacționăm în alt mod cu site-urile Web pe care le considerăm sigure. Iată o descriere simplă în limba engleză a vulnerabilității de la Codenomicon, grupul de securitate care a descoperit și a alertat publicul asupra bug-ului:
Bug-ul Heartbleed este o vulnerabilitate serioasă în biblioteca populară de software criptografic OpenSSL. Această slăbire permite furtul informațiilor protejate, în condiții normale, de criptarea SSL / TLS utilizată pentru a proteja Internetul. SSL / TLS asigură securitatea comunicării și confidențialitatea pe Internet pentru aplicații cum ar fi web, e-mail, mesagerie instant (IM) și unele rețele virtuale private (VPN).
Bug-ul Heartbleed permite oricui pe Internet să citească memoria sistemelor protejate de versiunile vulnerabile ale software-ului OpenSSL. Acest lucru compromite cheile secrete folosite pentru a identifica furnizorii de servicii și pentru a cripta traficul, numele și parolele utilizatorilor și conținutul real. Acest lucru permite atacatorilor să asculte comunicările, să fure direct datele de la servicii și utilizatori și să se implice în servicii și utilizatori.
Sună destul de rău, da? Suna chiar mai rau cand realizezi ca aproximativ doua treimi din toate site-urile care folosesc SSL folosesc aceasta versiune vulnerabila a OpenSSL. Nu vorbim de site-uri de mici dimensiuni, cum ar fi forumuri de jocuri de tip fierbinte sau site-uri swap de jocuri de colecție, vorbim de bănci, companii de cărți de credit, e-retaileri majori și furnizori de e-mail. Mai rău, această vulnerabilitate a fost în sălbăticie de aproape doi ani. Asta e doi ani când cineva cu cunoștințe și abilități adecvate ar fi putut să ia în considerare datele de conectare și comunicațiile private ale unui serviciu pe care îl folosești (și, conform testelor efectuate de Codenomicon, făcând-o fără urmă).
Pentru o ilustrare mai bună a modului în care funcționează eroarea Heartbleed. citiți acest xkcd comic.
Deși nici un grup nu a apărut să arate toate acreditările și informațiile pe care le-au oferit cu exploatarea, în acest moment al jocului trebuie să presupunem că datele de autentificare pentru site-urile pe care le frecventați au fost compromise.
Orice încălcare a securității majorității (și cu siguranță aceasta se califică la scară largă) vă impune să evaluați practicile de gestionare a parolelor. Având în vedere amploarea largă a bug-ului Heartbleed, aceasta este o oportunitate perfectă de a revizui un sistem de gestionare a parolelor deja executat, sau, dacă ați fost glisați picioarele, să-l setați.
Înainte de a vă scufunda în schimbarea imediată a parolelor, rețineți că vulnerabilitatea este doar patch-uri dacă compania a făcut upgrade la noua versiune OpenSSL. Povestea a izbucnit luni și, dacă v-ați grăbit să vă schimbați imediat parolele pe fiecare site, majoritatea ar fi rulat versiunea vulnerabilă a OpenSSL.
Acum, la jumătatea săptămânii, majoritatea site-urilor au început procesul de actualizare, iar până la sfârșitul săptămânii este rezonabil să presupunem că majoritatea site-urilor web de înaltă profil vor fi trecut.
Puteți folosi verificatorul Heartbleed Bug aici pentru a vedea dacă vulnerabilitatea este încă deschisă sau chiar dacă site-ul nu răspunde la solicitările de la checker-ul menționat mai sus, puteți utiliza verificatorul de date SSL de la LastPass pentru a vedea dacă serverul în cauză și-a actualizat Certificat SSL recent (dacă l-au actualizat după 4/7/2014, este un bun indicator că au patch-uri vulnerabilitatea.)Notă: dacă rulați howtogeek.com prin verificarea erorilor de erori, va apărea o eroare deoarece nu folosim în primul rând criptarea SSL și am verificat, de asemenea, că serverele noastre nu rulează niciun software afectat.
Acestea fiind spuse, se pare că acest weekend se transformă în a fi un weekend bun pentru a obține seriozitate cu privire la actualizarea parolelor. În primul rând, aveți nevoie de un sistem de gestionare a parolelor. Consultați ghidul nostru pentru a începe să începeți cu LastPass pentru a configura una dintre cele mai sigure și mai flexibile opțiuni de gestionare a parolelor din jur. Nu trebuie să utilizați LastPass, dar aveți nevoie de un fel de sistem care să vă permită să urmăriți și să gestionați o parolă unică și puternică pentru fiecare site pe care îl vizitați.
În al doilea rând, trebuie să începeți să vă schimbați parolele. Conceptul de gestionare a crizei din ghidul nostru, Cum de a recupera după parola dvs. de e-mail este compromis, este o modalitate foarte bună de a vă asigura că nu pierdeți niciun parolă; subliniază, de asemenea, elementele de bază ale igienei parolei bune, citată aici:
- Parolele ar trebui să fie întotdeauna mai lungi decât minimul permis de serviciu. Dacă serviciul în cauză permite parole de 6-20 caractere, parcurgeți cea mai lungă parolă pe care o puteți aminti.
- Nu utilizați cuvinte ale dicționarului ca parte a parolei. Parola ar trebui să fienusă fie atât de simplu încât o scanare sumară cu un fișier de dictionar să o dezvăluie. Nu includeți niciodată numele dvs., o parte din datele de conectare sau de e-mail sau alte elemente ușor de identificat, cum ar fi numele companiei sau numele străzii. De asemenea, evitați utilizarea combinațiilor comune de tastatură, cum ar fi "qwerty" sau "asdf", ca parte a parolei.
- Utilizați fraze de acces în locul parolelor. Dacă nu utilizați un manager de parole pentru a vă aminti parolele cu adevărat aleatoare (da, ne dăm seama că suntem într-adevăr harping pe ideea de a utiliza un manager de parola), atunci vă puteți aminti parole mai puternice, transformându-le în parole de acces. Pentru contul tău Amazon, de exemplu, poți crea o expresie de acces ușor "îmi place să citesc cărțile" și apoi să creezi o parolă ca "! Luv2ReadBkz". Este ușor de reținut și este destul de puternic.
În al treilea rând, ori de câte ori este posibil, doriți să activați autentificarea cu doi factori. Puteți citi aici mai multe despre autentificarea cu două factori, dar pe scurt vă permite să adăugați un strat suplimentar de identificare la datele de conectare.
Cu Gmail, de exemplu, autentificarea cu doi factori necesită nu doar autentificarea și parola, ci accesul la telefonul mobil înregistrat în contul dvs. Gmail, astfel încât să puteți accepta un cod de mesaj text care să fie introdus când vă conectați de la un computer nou.
Cu autentificarea cu două factori, este foarte dificil pentru cineva care a obținut accesul la datele de conectare și la parola dvs. (cum ar fi acestea cu Heartbleed Bug) pentru a accesa efectiv contul dvs.
Vulnerabilitățile de securitate, mai ales cele cu implicații atât de importante, nu sunt niciodată distractive, dar oferă o oportunitate pentru noi de a ne întări practicile de parolă și de a ne asigura că parolele unice și puternice păstrează pagubele, atunci când acestea apar.