Mi a Heartbleed Bug és hogyan védekezhetsz és Stay Biztonságos?

Az internetforgalom közel 70 százaléka OpenSSL az adatátvitel biztosítására. Ez majdnem az összes fő kiszolgálóra (olvasható: weboldalakra) fordítja az OpenSSL-t az adatok, például a bejelentkezési adatok hitelesítése érdekében. Azonban valaki a Google-tól talált hibát az OpenSSL-ben - egy kisebb programozási hiba, de elég nagy ahhoz, hogy adatait adják hackereknek - az emberek hajlandóak az adatok felhasználására a céljukra. Ez az OpenSSL hiba neve Heartbleed , mivel szorosan kapcsolódik az OpenSLL néhány HeartBeat rétegéhez.

Mi a Heartbleed Bug

A legtöbb szerver elfogadja a titkosított adatokat, dekódolja a titkosítási kulcsokkal és továbbítja feldolgozásra. Mivel a legtöbb kiszolgáló a végfelhasználók számára a FIFO (First in First Out) módszert alkalmazza, gyakran az adatok (a dekódolás után) egy ideig a kiszolgáló memóriájában helyezkednek el, mielőtt a szerver továbbfeldolgozná.

A Heartbleed hiba aggodalomra ad okot szinte az összes internetes kereskedelmi weboldalra és más típusokra. Ez a programozási hiba lehetővé teszi a hackerek számára, hogy ellenőrizzék minden olyan kiszolgálót, amely az OpenSSL-t alkalmazza, és olvassa / mentse / használja a titkosítatlan adatokat (dekódolt adatok). A hackerek most már nem csak az adatokhoz férnek hozzá, hanem a weboldal bizonyítványát is reprodukálják, ami az internetet még veszélyesebb helyre teszi. A webhely tanúsítványának másolatával a hackerek létrehozhatják az imitációs webhelyeket: olyan webhelyeket, amelyek hasonlítanak az eredeti webhelyekre. Ezzel tovább hozzáférhetnek az Ön adatait, például a hitelkártya adatait, személyes adatait stb.

Az ijesztő hangok, nem? Valójában - mivel elérheti az Ön információit, és az információk bármelyik végére használhatók.

Megjegyzés : A Heartbleed kódszáma CVE-2014-0160 kódnevet is tartalmaz. A CVE a közös sérülékenységeket és expozíciókat jelenti. A biztonsági résekkel kapcsolatos kódokat a MITER, egy független testület, amely nyomon követi a hibákat és hasonló kérdéseket.

Frissítenie kell a vírusirtót vagy valamit

A Heartbleed hibát az OpenSSL-ben semmi köze a víruskeresővel vagy a tűzfalral. Ez nem ügyféloldali probléma, így te is keveset tehetsz. A másik oldalon a szervereknek patch-ot kell alkalmazniuk az általuk használt OpenSSL rendszerre. Ez megtörtént, a weboldal biztonságosabbá tehető az interakcióhoz.

Mit tehet a felhasználó, ha csökkenteni szeretné a kereskedelmi látogatások számát és hasonló webhelyeket. Nem arról van szó, hogy a hiba csak a kereskedelmi oldalakra vonatkozik. Ez egyenlő az OpenSSL-t használó összes weboldalra. Azt mondom, hogy egy ideig ne kerüljenek kereskedelmi oldalakra, mivel azok lennének a legfontosabb célpontok a hackerek számára, akik szeretnék a kártya adatait stb. Ez azt jelenti, hogy a hackerek elsődleges célpontja az e-kereskedelmi webhelyek az OpenSSL használatával.

/ jelezd, hogy a hiba javítva van, akkor teheted előre, ahogy a hiba felfedezése előtt csináltál. Az OpenSSL létrehozott egy javítást, és kiadta azt a webhelytulajdonosoknak, hogy biztosítsák a felhasználók adatait. Addig próbáld meg elkerülni azokat az oldalakat, ahol bármilyen formában megadni kell az adatokat - még a bejelentkezési adatokat is. Biztos vagyok benne, hogy szinte minden webmesternek be kell lépnie a javításhoz, de még mindig van probléma. Ha biztos benne, hogy nincsenek sérülékenységek vagy ilyen biztonsági rések történtek, jó ötlet lenne megváltoztatni a jelszavát.

Közvetlenül használja ezeket a böngészőbővítményeket, hogy figyelmeztesse a Heartbleed érintett weboldalakra.

Site Certificates másolt a Heartbleeden keresztül kell kezelni

Nagy a valószínűsége annak, hogy webhelybiztonsági tanúsítványokat másoltak rosszindulatú webhelyek létrehozására. Mivel a biztonsági tanúsítványok általános másolatok, a böngészők nem mondhatják el a különbséget. Önnek kell óvatosnak lenni. Kerülje a hivatkozásokra mutató hivatkozásokat, és ahelyett, írja be a címsorba a weboldal URL-címét, hogy ne irányítsa át a hamis webhelyet.

Ez a probléma kétféleképpen oldható meg:

1. A piacon elérhető böngészőket elegendőnek kell lenni ahhoz, hogy azonosítsák a másolt tanúsítványokat, és figyelmeztessék Önt.
2. A webmesterek a javítások alkalmazása után módosítják a tanúsítványokat.

Más szavakkal, időbe telik a fenti végrehajtás, még akkor is, ha a webmesterek alkalmazzák a javítást. Szeretném megismételni, hogy nem kattintanak az e-mailek vagy nem neves webhelyek linkjeire. Egyszerűen írja be az URL címet a címsorba, vagy ha az eredeti webhely könyvjelzővel van ellátva, használja a könyvjelzőt.

A cikk végén található Referenciák rész tartalmazza az érintett webhelyek nem teljes listáját. Befejezetlen, mert az itt felsorolt ​​webhelyek száma több lehet, mint az ott felsorolt ​​webhelyek.

Referenciák:

• Heart Bleed: Weboldal
• OpenSSL: Biztonsági tanácsadó a Heart Bleed
• Git Hub: Érintett weboldalak listája.