Heartbleed: что это и что с этим делать?

Если вы видите красный, полый, капающий символ сердца в своей ленте новостей, то да, вы, вероятно, слышали о последнем нарушении безопасности, попавшем в Интернет: Heartbleed. Ошибка безопасности, которая скомпрометировала безопасность учетных записей на таких сайтах, как Yahoo, Facebook и даже в канадском налоговом агентстве, заставила весь Интернет взяться за дело. Возможно, вас попросили изменить ваши пароли для электронной почты, учетных записей в Интернете и т. Д., Но задержитесь.

В разгар всей этой информации, однако, может быть трудно понять, что именно происходит. Что такое Heartbleed? Это действительно так опасно, как говорят все? Как вы можете узнать, затронуты ли вы? Вот краткий обзор некоторых основных проблем, связанных с Heartbleed, и того, что вы можете с этим сделать.

Рекомендуемое чтение: состояние информационной безопасности [Infographic]

Что такое Heartbleed?
Heartbleed – это ошибка, которая затрагивает службу OpenSSL, которая представляет собой криптографическую библиотеку, которая используется для шифрования данных на более чем двух третях всех веб-сайтов в Интернете. Если вы когда-либо видели логотип заблокированного замка в своем браузере или посещали сайт по протоколу https: вы знакомы с OpenSSL.
Ошибка Heartbleed раскрывает данные, хранящиеся в оперативной памяти сервера, что означает, что почти каждый имеет доступ к интернет-трафику и может его отслеживать, даже если он предположительно зашифрован.

Злоумышленники, если таковые имеются, могут использовать Heartbleed для получения ключей и данных, которые им необходимы для расшифровки и чтения всех зашифрованных данных, недавно прошедших через сервер.
Это проблема?
Учитывая тот факт, что более двух третей веб-сайтов и сервисов в Интернете используют OpenSSL, да, Heartbleed является довольно серьезной проблемой. Однако важно помнить, что Heartbleed не является вредоносной программой или вирусом, и, следовательно, сайт, затронутый Heartbleed, не обязательно может похитить какие-либо данные. И это было незаметно с 2012 года.

Практически все формы личной, зашифрованной информации уязвимы для Heartbleed. Пока он проходит через протокол OpenSSL, кто-то мог получить к нему незаконный доступ. Пароли, электронные письма, имена пользователей, сообщения – вы называете это, возможно, он доступен в той или иной форме из-за Heartbleed.

Так что да, это проблема.
Как сказать, если вы затронуты
Хотя верно, что не все службы пострадали от Heartbleed, все же лучше быть в безопасности, чем сожалеть. Хотя вы не можете точно знать, были ли скомпрометированы ваши собственные данные, существует пара сервисов, которые могут помочь вам проверить, не затронут ли вас Heartbleed.
Филиппо тест на сердцебиение
Этот тест Heartbleed отправляет искаженные сердцебиения на веб-сайт по вашему выбору, извлекая около 80 байтов памяти в качестве доказательства. Другими словами, тест атакует сайт так же, как и хакер, чтобы проверить, уязвим ли сайт к Heartbleed.
LastPass Heartbleed Checker
Команда LastPass также разработала инструмент для проверки уязвимых сайтов. Все, что вам нужно сделать, это ввести домен веб-сайта, который вы хотите проверить, и затем нажать «Проверить, уязвим ли сайт для Heartbleed».
Что делать, если вы затронуты
Если в результате проверок вы обнаружили, что у вас есть учетная запись на сайте, который может быть скомпрометирован Heartbleed, вы должны принять решение о дальнейших действиях. Общая мудрость заключается в немедленном изменении вашего пароля, но этот совет игнорирует один важный факт: нет смысла менять пароли, если сайт не был исправлен.

Heartbleed, как обсуждалось ранее, не является простой утечкой базы данных, поэтому простое изменение ваших паролей не поможет, если сайт не устранил проблему. Некоторые веб-сайты и службы, такие как Google, прояснили это, но наверняка найдутся веб-сайты, в которых прямо не указано, исправили ли они проблему с их стороны.
Теперь вы можете использовать любой из двух инструментов, перечисленных выше, или перейти на сайт по адресу Mashable списки, чтобы увидеть, если сервис все еще уязвим.

Обратите внимание, что два инструмента и список GitHub не различают службы, которые никогда не были уязвимы, и службы, которые были исправлены. Возможно, безопаснее менять свои пароли, если сайт сообщает, что он не уязвим.

Также может помочь простой перерыв в работе уязвимых служб, поскольку Heartbleed предоставляет только те данные, которые находятся в оперативной памяти сервера.
Безопасность пароля
В то время как Heartbleed выходит за рамки просто проблемы с безопасностью паролей, все еще хорошее время, чтобы напомнить себе о некоторых из лучших способов обеспечения безопасности учетных записей в Интернете. Да, безопасность пароля – это не просто изменение пароля каждые несколько месяцев.

Читайте также: Золотое правило интернет-безопасности: смените пароли

Хотя двухфакторная аутентификация не обязательно защитит вас от Heartbleed, это все же является отличной мерой безопасности, которую вы обязательно должны использовать в любых сервисах, которые ее поддерживают.
Если вы незнакомы, двухфакторная аутентификация – это способ проверки личности пользователя на основе двух шагов вместо одного. Другими словами, вместо того, чтобы просто запрашивать имя пользователя и пароль, двухфакторная аутентификация также требует от вас ввести код подтверждения или использовать приложение для смартфона для дальнейшей проверки вашей личности.

Другая мера безопасности, которую вы, вероятно, должны предпринять, – это использовать инструменты для генерации и управления паролями. Основным преимуществом этих инструментов является тот факт, что они будут создавать случайные пароли и управлять ими для вас; больше не нужно запоминать кучу разных паролей или, что еще хуже, использовать один и тот же пароль на нескольких сайтах.

Читайте также: 20 инструментов рабочего стола для создания и управления паролями

Вывод
Heartbleed – серьезная проблема безопасности, которая затрагивает почти всех в Интернете, и мало кто из нас может с этим поделать. Помимо проверки сервисов, которые мы используем, и изменения наших паролей, если они исправили ошибку, или перерыва и сохранения бдительности, если они этого не сделали, это действительно все в руках администраторов сервера. Во всяком случае, Heartbleed служит напоминанием о том, что мы никогда не можем принимать безопасность наших личных данных как должное.