FAQ: Apa kerentanan Heartbleed dan bagaimana melindungi diri dari itu
Teknologi / / December 19, 2019
Sebuah kerentanan baru ditemukan dalam protokol OpenSSL, dijuluki Heartbleed, dan bahkan logo Anda sendiri, membawa ancaman potensial untuk password user di berbagai situs web. Kami memutuskan untuk menunggu hype sekitarnya dan berbicara tentang hal itu, sehingga untuk berbicara, dalam residu kering.
Hal ini akan membantu kita untuk edisi populer CNET, yang dikumpulkan daftar pertanyaan yang sering diajukan tentang hal ini. Kami berharap informasi berikut akan membantu Anda mempelajari lebih lanjut tentang Heartbleed dan melindungi diri. Pertama-tama, ingatlah untuk date dengan masalah Heartbleed belum diselesaikan sepenuhnya.
Apa Heartbleed?
kerentanan keamanan di perpustakaan software OpenSSL (implementasi open SSL / TLS protokol enkripsi) yang memungkinkan hacker - Heartbleed untuk mengakses isi dari server memori, yang pada saat ini bisa berisi data pribadi dari pengguna yang berbeda layanan web. Menurut perusahaan riset Netcraft, kerentanan ini bisa terkena sekitar 500 ribu situs.
Ini berarti bahwa di situs tersebut berpotensi pada risiko yang data pribadi para pengguna, seperti nama pengguna, password, data kartu kredit, dll
kerentanan juga memungkinkan penyerang untuk kunci digital, yang digunakan, misalnya, untuk enkripsi korespondensi dan dokumen internal dalam berbagai perusahaan.
Apa OpenSSL?
Mari kita mulai dengan protokol SSL, yang merupakan singkatan dari Secure Socket Layer (Secure Sockets Layer). Ia juga dikenal dengan nama baru dari TLS (Transport Layer Security). Hari ini adalah salah satu metode yang paling umum dari enkripsi data dalam jaringan yang melindungi Anda dari kemungkinan "memata-matai" pada bagian. (Https pada awal link menunjukkan bahwa komunikasi antara browser Anda dan buka di situs tersebut menggunakan SSL, jika tidak, anda akan melihat di browser hanya http).
OpenSSL - implementasi SSL dari perangkat lunak open source. Kerentanan menjadi sasaran protokol versi 1.0.1 untuk 1.0.1f. OpenSSL juga digunakan dalam sistem operasi Linux, itu adalah bagian dari dua yang paling populer Web server Apache dan Nginx, yang "berjalan" sebagian besar dari internet. Singkatnya, ruang lingkup OpenSSL sangat besar.
Yang menemukan bug?
Kelebihan ini milik karyawan Codenomicon perusahaan, berurusan dengan keamanan komputer, dan staf Google peneliti Nil Meta (Neel Mehta), yang menemukan kerentanan secara independen satu sama lain, secara harfiah satu hari.
Meta menyumbangkan hadiah 15 ribu. dolar. untuk mendeteksi bug pada kampanye untuk pengembangan alat enkripsi untuk jurnalis yang bekerja dengan sumber-sumber informasi, yang membutuhkan pers bebas Foundation (Kebebasan Pers Yayasan). Meta terus menolak wawancara, tapi majikannya, Google, memberikan komentar berikut: "Keselamatan pengguna kami adalah prioritas utama kami. Kami terus-menerus mencari kerentanan dan mendorong semua untuk melaporkannya sesegera mungkin sehingga kita bisa memperbaikinya sebelum mereka menjadi dikenal penyerang. "
Mengapa Heartbleed?
Nama itu diciptakan oleh Heartbleed Ossie Gerraloy (Ossi Herrala), yang Codenomicon sistem administrator. Hal ini lebih harmonis daripada nama teknis CVE-2014-0160, kerentanan ini dengan nomor mengandung lini kode.
Heartbleed (harfiah - "berdarah hati") - sebuah permainan kata yang mengandung referensi ke perluasan OpenSSL disebut "detak jantung" (palpitasi). Protokol terus terbuka koneksi, bahkan jika antara peserta tidak saling bertukar data. Gerrala menganggap bahwa Heartbleed sempurna menggambarkan esensi dari kerentanan yang memungkinkan kebocoran data sensitif dari memori.
Nama tampaknya cukup berhasil untuk bug, dan ini bukan kebetulan. Tim Codenomicon sengaja digunakan merdu (tekan) nama, yang akan membantu baik sebanyak mungkin sesegera mungkin untuk memberitahu orang-orang tentang kerentanan ditemukan. Memberikan nama bug, Codenomicon segera membeli domain Heartbleed.com, yang meluncurkan situs dalam bentuk penceritaan diakses tentang Heartbleed.
Mengapa beberapa situs tidak terpengaruh oleh Heartbleed?
Meskipun popularitas OpenSSL, ada implementasi lain SSL / TLS. Selain itu, beberapa situs menggunakan versi sebelumnya dari OpenSSL, yang bug ini tidak hadir. Dan beberapa tidak termasuk fungsi detak jantung, yang merupakan sumber kerentanan.
Sebagian untuk mengurangi potensi kerusakan merek penggunaan PFS (sempurna maju kerahasiaan - kerahasiaan lurus sempurna), Properti dari protokol SSL, yang menjamin bahwa jika seorang penyerang mengambil dari memori server kunci satu keamanan, ia tidak akan mampu untuk memecahkan kode semua lalu lintas dan akses ke seluruh kunci. Banyak (tetapi tidak semua) perusahaan sudah menggunakan PFS - misalnya, Google dan Facebook.
Bagaimana Heartbleed?
Kerentanan penyerang untuk mendapatkan akses ke server 64 kilobyte memori dan melakukan serangan lagi dan lagi sampai hilangnya data lengkap. Ini berarti bahwa tidak hanya rawan bocor username dan password, tetapi data cookie yang server Web dan situs menggunakan untuk melacak aktivitas pengguna dan otorisasi menyederhanakan. Organisasi Electronic Frontier Foundation menyatakan bahwa serangan periodik dapat memberikan akses ke kedua informasi yang lebih serius, seperti kunci enkripsi situs pribadi yang digunakan untuk enkripsi lalu lintas. Menggunakan kunci ini, penyerang bisa spoof situs asli dan mencuri jenis yang paling berbeda dari data pribadi seperti nomor kartu kredit atau korespondensi pribadi.
Haruskah saya mengubah kata sandi saya?
Untuk berbagai situs menjawab "ya." TAPI - lebih baik untuk menunggu pesan dari situs administrasi, bahwa kerentanan ini telah dieliminasi. Tentu, reaksi pertama Anda - Ganti semua password segera, tetapi jika kerentanan di beberapa situs tidak dibersihkan, perubahan sandi sia-sia - pada saat kerentanan dikenal luas, bahwa Anda hanya meningkatkan peluang seorang penyerang untuk mengetahui baru Anda password.
Bagaimana saya tahu mana dari situs mengandung kerentanan dan tetap?
Ada beberapa sumber yang memeriksa Internet untuk kerentanan dan melaporkan nya ada / tidaknya. kami sarankan sumber Perusahaan LastPass, seorang pengembang perangkat lunak manajemen password. Meskipun memberikan jawaban yang cukup jelas untuk pertanyaan apakah dia rentan atau situs yang, memikirkan hasil audit dengan hati-hati. Jika kerentanan situs akurat ditemukan - cobalah untuk tidak mengunjunginya.
Daftar kerentanan yang paling situs populer terkena, Anda juga dapat menjelajahi link.
Yang paling penting sebelum mengubah password - untuk mendapatkan konfirmasi resmi dari situs administrasi, yang ditemukan Heartbleed, bahwa dia sudah tersingkir.
Banyak perusahaan telah menerbitkan entri yang relevan di blog mereka. Jika tidak ada - jangan ragu untuk merujuk hal tersebut kepada dukungan.
Siapa yang bertanggung jawab untuk munculnya kerentanan?
Menurut surat kabar Guardian, nama yang tertulis kode "kereta" programmer - Zeggelman Robin (Robin Seggelmann). Dia bekerja di OpenSSL proyek dalam proses mendapatkan gelar doktor 2008-2012. Situasi dramatis menambah fakta bahwa kode telah dikirim ke repositori, 31 Desember, 2011 di 23:59, meskipun Zeggelman Dia berpendapat bahwa tidak peduli, "Saya bertanggung jawab atas kesalahan, seperti yang saya tulis kode dan melakukan semua yang diperlukan cek. "
Pada saat yang sama, karena OpenSSL - sebuah proyek open source, sulit untuk menyalahkan kesalahan seseorang satu. kode proyek yang kompleks dan mengandung sejumlah besar fungsi yang kompleks, dan secara khusus Heartbeat - bukan yang paling penting dari mereka.
Apakah benar bahwa sialan Departemen Luar Negeri Pemerintah AS digunakan Heartbleed untuk memata-matai dua tahun sebelum publisitas?
Tidak jelas. Kantor berita Bloomberg diketahui melaporkan bahwa hal ini terjadi, tapi ia pergi semua NSA menyangkal. Apapun, faktanya tetap - Heartbleed masih ancaman.
Haruskah saya khawatir tentang rekening bank saya?
Sebagian besar bank tidak menggunakan OpenSSL, lebih memilih solusi enkripsi milik. Tetapi jika Anda terganggu oleh keraguan - hanya hubungi bank Anda dan meminta mereka pertanyaan yang relevan. Dalam kasus apapun, lebih baik untuk mengikuti perkembangan situasi, dan laporan resmi dari bank. Dan jangan lupa untuk mengawasi transaksi di akun Anda - dalam kasus transaksi asing bagi Anda, mengambil tindakan yang sesuai.
Bagaimana saya tahu apakah akan menggunakan hacker sudah Heartbleed untuk mencuri data pribadi saya?
Sayangnya, tidak ada - menggunakan kerentanan ini tidak meninggalkan jejak server log aktivitas penyusup.
Apakah akan menggunakan program untuk menyimpan password Anda, dan apa?
Di satu sisi, Heartbleed sekali lagi menimbulkan pertanyaan tentang nilai sandi yang kuat. Sebagai konsekuensi dari password perubahan massa, Anda mungkin bertanya-tanya bagaimana Anda bahkan dapat meningkatkan keamanan Anda. Tentu saja, manajer password dipercaya asisten dalam hal ini - mereka dapat secara otomatis menghasilkan dan menyimpan password yang kuat untuk setiap situs secara individual, tetapi Anda harus ingat hanya satu password master. Secara online password manager LastPass, misalnya, menegaskan bahwa ia tidak mengalami Heartbleed kerentanan, dan pengguna tidak dapat mengubah password master Anda. Selain LastPass, kami sarankan memperhatikan solusi terbukti seperti seperti RoboForm, Dashlane dan 1Password.
Selain itu, kami sarankan menggunakan otentikasi dua langkah sedapat mungkin (Gmail, Dropbox dan Evernote sudah mendukung itu) - maka ketika otorisasi, selain password, layanan akan meminta kode satu kali yang diberikan kepada Anda dalam aplikasi mobile khusus atau dikirim melalui SMS. Dalam hal ini, bahkan jika password Anda dicuri, penyerang tidak bisa hanya menggunakannya untuk login.