Χωρίς κατηγορία

Τι πρέπει να γνωρίζετε για το Heartbleed και την αλλαγή των κωδικών πρόσβασης

Τι πρέπει να γνωρίζετε για το Heartbleed και την αλλαγή των κωδικών πρόσβασης


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Πηγή εικόνας:Καρδιάς]

Ίσως έχετε ακούσει πρόσφατα για το Heartbleed και όλοι οι φίλοι σας μπορεί να σας λένε να αλλάξετε όλους τους κωδικούς πρόσβασής σας. Ωστόσο, πριν αλλάξετε τους κωδικούς πρόσβασής σας, πρέπει να γνωρίζετε ότι ο εν λόγω ιστότοπος έχει λάβει όλα τα απαραίτητα βήματα για να προστατευθεί από το Heartbleed, διαφορετικά ο νέος σας κωδικός πρόσβασης θα παραμείνει εξίσου ευάλωτος. Ορισμένες λίστες που κυκλοφορούν λένε ότι οι ιστότοποι είναι έτοιμοι για αλλαγές κωδικού πρόσβασης, ωστόσο δεν έχουν ελέγξει όλα τα απαραίτητα βήματα ασφαλείας. Διαβάστε παρακάτω για να μάθετε περισσότερα:

ΥΣΤΕΡΟΓΡΑΦΟ. Θα (προσπαθήσουμε) να εξηγήσουμε ακριβώς ποια είναι η παραβίαση ασφάλειας του Heartbleed με τέτοιο τρόπο ο καθένας μπορεί να καταλάβει και επίσης να σας ενημερώσουμε για τα σημαντικά σημεία του πού και πότε πρέπει να αλλάξετε τον κωδικό πρόσβασής σας

Τι είναι το σφάλμα Heartbleed;

Το web comic xkcd σχεδίασε ένα μικρό καρτούν που εξηγεί το Heartbleed με τον απλούστερο τρόπο που έχουμε δει:

Πρώτον, πρέπει να γνωρίζετε ότι η ασφάλεια στον ιστό παρέχεται από λογισμικό γνωστό ως OpenSSL (επίπεδο ασφαλών υποδοχών), το οποίο κρυπτογραφεί (ανακατεύει) τα δεδομένα που αποστέλλονται προς και από τον υπολογιστή ενός χρήστη και τον διακομιστή ιστότοπων (όπου φιλοξενείται / αποθηκεύεται ο ιστότοπος). Τόσο σημαντικό, σκεφτείτε πράγματα όπως ονόματα χρηστών, κωδικοί πρόσβασης, ακόμη και στοιχεία πιστωτικής κάρτας και διεύθυνσης που θα υποβάλατε σε διαδικτυακές φόρμες, οι οποίες θα ταξιδεύουν από τον υπολογιστή σας στον διακομιστή ιστότοπων.

Το Heartbleed εκμεταλλεύεται κάτι γνωστό ως το "ΧΤΥΠΟΣ καρδιας" μεταξύ του υπολογιστή του χρήστη και του διακομιστή ιστότοπων - βασικά, όταν αποκτάτε πρόσβαση σε έναν ιστότοπο, ο ιστότοπος θα ανταποκριθεί για να ενημερώσει τον υπολογιστή σας ότι είναι ενεργός και αναμένει τα αιτήματά σας με καρδιακό παλμό. Ο καρδιακός παλμός υποτίθεται ότι είναι μια απόκριση ίση με την ποσότητα δεδομένων που έστειλε ο υπολογιστής σας κατά την υποβολή του αιτήματος. Ωστόσο, ένα σφάλμα στο λογισμικό επιτρέπει στους χάκερ να ζητήσουν περισσότερα δεδομένα από τη μνήμη των διακομιστών πέρα ​​από τα συνολικά δεδομένα του αρχικού αιτήματος έως 65 536 byte. Αυτές οι επιπλέον πληροφορίες που λαμβάνονται στο αίτημα ενδέχεται να περιέχουν οτιδήποτε, από κωδικούς πρόσβασης έως στοιχεία πιστωτικής κάρτας που έχουν στείλει άλλα άτομα (βλ. Παραπάνω κινούμενα σχέδια).

Το σφάλμα Heartbleed λέγεται ότι είναι ένα ειλικρινές λάθος που έκανε ο προγραμματιστής Robin Seggelmann, ο οποίος πρόσθεσε στο λογισμικό ανοιχτού κώδικα, OpenSSL, την παραμονή της Πρωτοχρονιάς 2011. Αυτό σημαίνει ότι η τρύπα ασφαλείας υπάρχει εδώ και περισσότερα από 2 χρόνια και το χειρότερο μέρος είναι ότι δεν υπάρχει τρόπος να πει εάν ένας χάκερ έχει υποβάλει αίτημα για επιπλέον πληροφορίες από τον καρδιακό παλμό. Με άλλα λόγια, δεν υπάρχει τρόπος να πούμε εάν κάποιος έχει κλέψει ποτέ κωδικούς πρόσβασης ή άλλες ευαίσθητες πληροφορίες από έναν ιστότοπο.

Πότε πρέπει να αλλάξω τον κωδικό πρόσβασής μου;

Πολλοί ιστότοποι προσφέρουν λίστες που παρέχουν συμβουλές σχετικά με τους ιστότοπους που πρέπει να αλλάξετε και εάν πρέπει να αλλάξετε τον κωδικό πρόσβασής σας ακόμα. Ωστόσο, πολλοί ειδικοί ασφαλείας (όπως ο Bruce Schneier, ο Troy Hunt και οι λαοί του AgileBits), λένε ότι πρέπει να ελέγξετε τρία πράγματα:

  1. Ο ιστότοπος (ή το υλικό / εφαρμογή όπως το Heartbleed επηρεάζει περισσότερο από τους ιστότοπους) χρησιμοποιούσε μια έκδοση του OpenSSL που ήταν στην πραγματικότητα ευάλωτη στο Heartbleed (εκδόσεις 1.0.1 Μαρτίου 2012 έως 1.0.1f). Η έκδοση που περιέχει το fix είναι 1.0.1g που κυκλοφόρησε στις 7 Απριλίου 2014.
  2. Ο ιστότοπος ενημέρωσε το σφάλμα OpenSSL.
  3. Ο ιστότοπος ανανέωσε τα κλειδιά ασφαλείας και στη συνέχεια εξέδωσε ένα νέο πιστοποιητικό ασφαλείας (SSL).

Εάν αυτό είναι λίγο υπερβολικό για εσάς, αναφέρεται ότι το Heartbleed πούλι LastPass είναι αυτή τη στιγμή η πιο αξιόπιστη μέθοδος ελέγχου εάν δεν μπορείτε να ελέγξετε τον εαυτό σας χειροκίνητα. Για μια πιο εμπεριστατωμένη ματιά στο να βεβαιωθείτε ότι ένας ιστότοπος είναι έτοιμος για αλλαγές κωδικού πρόσβασης, μεταβείτε στο ITWorld.

Ορισμένες λίστες στο Διαδίκτυο ιστότοπων για τους οποίους πρέπει να αλλάξετε τον κωδικό πρόσβασής σας έχουν ελέγξει μόνο ότι οι ιστότοποι έχουν διορθώσει το σφάλμα OpenSSL για παράδειγμα και δεν έχουν ελέγξει εάν έχουν εκδοθεί νέα πιστοποιητικά ασφαλείας (SSL). Δεδομένου ότι είναι αδύνατο να διαπιστωθεί εάν ένας διακομιστής έχει πέσει θύμα μιας επίθεσης Heartbleed, δεν είναι σαφές εάν ένας χάκερ μπορεί να έχει κατεβάσει κλειδιά ασφαλείας, τα οποία θα αφήσουν τον ιστότοπο ευάλωτο εάν τα τρία παραπάνω βήματα δεν έχουν ολοκληρωθεί.

Μόλις έσπασε την πρόκληση του @CloudFlare: https://t.co/8ZPSxyKF4D. Αναρωτιέμαι πότε θα ενημερώσουν τη σελίδα.

- Fedor Indutny (@indutny) 11 Nisan 2014

Πρόσφατα, το δίκτυο διανομής περιεχομένου Cloudflare εξέτασε τη σοβαρότητα του σφάλματος ζητώντας από τους ερευνητές του να δοκιμάσουν και να χρησιμοποιήσουν το Heartbleed για να αποκτήσουν κλειδιά ασφαλείας SSL και να αποτύχουν. Ωστόσο, όταν έβαλαν την πρόκληση στο κοινό, ένας χάκερ από την ομάδα Node.js γνωστός ως Fedor μπόρεσε να ανακτήσει με επιτυχία τα ιδιωτικά κλειδιά SSL.

Ελπίζουμε ότι αυτό θα σας βοηθήσει να κατανοήσετε το Heartbleed και ότι θα κάνετε τις απαραίτητες και χρονομετρημένες αλλαγές κωδικού πρόσβασης για να διασφαλίσετε την ασφάλειά σας στο διαδίκτυο. Ως τελικό σημείο, θα θέλαμε να σας υπενθυμίσουμε δεν να χρησιμοποιήσετε τον ίδιο κωδικό πρόσβασης για όλους τους ιστότοπους, καθώς αυτό θα μπορούσε να είναι καταστροφικό. Εάν δεν μπορείτε να παρακολουθείτε τόσους διαφορετικούς κωδικούς πρόσβασης, προτείνουμε να χρησιμοποιήσετε ένα πρόγραμμα όπως το LastPass.

Επίσης, ρίξτε μια ματιά στην καμπάνια Logme Once Kickstarter η οποία προσφέρει έναν διαχειριστή κωδικών πρόσβασης, ψηφιακή ασφάλεια, καθώς και μια ασφαλή συσκευή αποθήκευσης USB και φορτιστή μπαταρίας κινητού σε ένα πακέτο:

Το LogmeOnce ικανοποιεί μια καθημερινή ανάγκη. Ποιος δεν ανησυχεί αυτές τις μέρες για παραβίαση, ξεχασμό των κωδικών πρόσβασής τους ή απλώς ευάλωτοι επειδή έχουν αδύναμους κωδικούς πρόσβασης; Το LogmeOnce προσφέρει μια ασφαλή, εύχρηστη εναλλακτική λύση σε αυτές τις ανησυχίες και βιαστικά γραμμένους κωδικούς πρόσβασης σε απορρίμματα χαρτιού


Δες το βίντεο: Heartbleed explained in under 2 minutes (Οκτώβριος 2022).