Faq що таке вразливість heartbleed і як захистити себе від неї
Нещодавно виявлена уразливість в протоколі OpenSSL, що отримала назву Heartbleed і навіть власний логотип, несе потенційну загрозу для користувача паролів на безлічі веб-сайтів. Ми вирішили дочекатися закінчення галасу навколо неї і розповісти про неї, так би мовити, в сухому залишку.
У цьому нам допоможе популярне видання CNET, яке зібрало список поширених запитань на цю тему. Сподіваємося, наступна інформація допоможе вам дізнатися більше про Heartbleed і захистити себе. Перш за все, пам'ятайте, на поточний момент проблема з Heartbleed ще не вирішена остаточно.
Що таке Heartbleed?
Heartbleed - вразливість в безпеці програмної бібліотеки OpenSSL (відкритої реалізації протоколу шифрування SSL / TLS), яка дозволяла хакерам отримати доступ до вмісту оперативної пам'яті серверів, в яких в цей момент могли міститися приватні дані користувачів різних веб-сервісів. За даними дослідницької компанії Netcraft, цієї уразливості могли бути піддані близько 500 тисяч веб-сайтів.
Це означає, що на цих сайтах потенційно під загрозою опинилися такі особисті дані користувачів, як логіни, паролі, дані кредитних карт і т.д.
Уразливість також дозволяла зловмисникам отримати цифрові ключі, що використовуються, наприклад, для шифрування листування і внутрішніх документів у безлічі компаній.
Що таке OpenSSL?
Почнемо з протоколу SSL, що розшифровується як Secure Sockets Layer (рівень захищених сокетів). Він відомий також під своїм новою назвою TLS (Transport Layer Security). Сьогодні це один з найбільш частих методів шифрування даних в Мережі, який захищає вас від можливого «підглядання» з боку. (Https на початку посиланням позначає, що обмін даними між вашим браузером і відкритим в ньому сайтом йде з використанням SSL, в іншому випадку ви бачите в рядку браузера просто http).
OpenSSL - реалізація SSL з відкритим вихідним кодом. Уразливості піддалися протоколи версії з 1.0.1 до 1.0.1f. OpenSSL також використовується в ОС Linux, є частиною двох найпопулярніших веб-серверів Apache та Nginx, на яких «біжить» велика частина Інтернету. Коротше, область застосування OpenSSL просто величезна.
Хто виявив баг?
Ця заслуга належить співробітникам компанії Codenomicon, що займається комп'ютерною безпекою, і штатним досліднику Google Нілу Мета (Neel Mehta), які виявили уразливість, незалежно один від одного, буквально в один день.
Чому Heartbleed?
Heartbleed (буквально - «кровотеча серця») - гра слів, яка містить відсилання до розширення OpenSSL під назвою «heartbeat» (серцебиття). Протокол тримав з'єднання відкритим, навіть якщо між його учасниками не було відбувався обмін даними. Герран порахував, що Heartbleed прекрасно описує суть уразливості, яка допускала витік важливих даних з пам'яті.
Ім'я здається досить вдалим для бага, і це неспроста. Команда Codenomicon навмисно використовувало милозвучне (для преси) назва, яке б допомогло якомога швидше повідомити якомога більше людей про знайдену уразливість. Давши багу це ім'я, Codenomicon незабаром купили домен Heartbleed.com, на якому запустили сайт, в доступній формі розповідає про Heartbleed.
Чому деякі сайти не постраждали від Heartbleed?
Незважаючи на популярність OpenSSL, є й інші реалізації SSL / TLS. Крім того, деякі сайти використовують більш ранню версію OpenSSL, в якій цей баг відсутня. А деякі не включали функцію heartbeat, яка і служить джерелом уразливості.
Частково зменшити потенційний збиток допомагає використання PFS (perfect forward secrecy - досконала пряма секретність), властивість протоколу SSL, яке гарантує, що в разі, якщо зловмисник одержить від пам'яті сервера один ключ безпеки, він не зможе декодувати весь трафік і отримати доступ до решти ключам . Багато (але далеко не всі) компанії вже використовують PFS - наприклад, Google і Facebook.
Як працює Heartbleed?
Чи повинен я змінити пароль?
Як дізнатися, який з сайтів містить уразливості і виправлена вона?
Список найпопулярніших сайтів, схильних до уразливості, можна так само вивчити за посиланням.
Хто несе відповідальність за появу уразливості?
У той же час, оскільки OpenSSL - проект з відкритим кодом, важко звинувачувати в помилку когось одного. Код проекту складний і містить велику кількість складних функцій, і конкретно Heartbeat - не найголовніша з них.
Чи правда, що проклятий Держдеп уряд США використовувало Heartbleed для стеження два роки до публічного розголосу?
Поки не ясно. Відоме новинне агентство Bloomberg повідомляє, що це так, але саме АНБ все заперечує. Незалежно від цього, факт залишається фактом - Heartbleed все ще становить загрозу.
Чи варто мені турбуватися за мої банківські рахунки?
Більшість банків не використовує OpenSSL, вважаючи за краще пропрієтарні рішення для шифрування. Але якщо вас мучать сумніви - просто зв'яжіться з вашим банком і задайте їм відповідне питання. У будь-якому випадку, краще простежити за розвитком ситуації і офіційними повідомленнями від банків. І не забувайте наглядати за операціями на вашому рахунку - в разі появи незнайомих вам транзакцій, прийміть відповідні заходи.
Як дізнатися, чи скористалися вже зловмисники Heartbleed для крадіжки даних щодо моєї особи?
На жаль, ніяк - використання цієї уразливості не залишає в логах серверів ніяких слідів діяльності зловмисника.
Чи варто використовувати програму для зберігання паролів, і яку?
> Heartbleed - вразливість в безпеці програмної бібліотеки OpenSSL Уразливість _в деяких версіях_ бібліотеки OpenSSL.
ви маєте рацію, так коректніше.
Крім LastPass є ще чудовий KeePass Password Safe.
вибачте, але по функціональності він сііііільно утсупает всім, згаданим у статті.
Та хоча б відсутністю нормальної крос-платформенности. Поки жив на винде - із задоволенням користувався Кіпасом. Після переїзду на Mac спробував 1Password і зрозумів, чого весь цей час був позбавлений :) Навіть LastPass, хоч і не рекомендований параноїкам, куди більш дружелюбним і зрозуміліше користувачеві.
Ви спробуйте спочатку покористуватися цим самі, а потім кидайте посилання на опис.
На жаль скористатися на Маке (а відповідно і описати свої відчуття від цього) можливості не маю. Просто кинула посилання, що це в принципі можливо. Спробуйте KeePassX, спробуйте KyPass. Хто хоче - шукає можливості, хто не хоче - причини. Мак не так "гіковскіе" система, що під неї не було б реалізації Keepass, ІМХО.
Я вам кажу ще раз - я пробував все, що пропонує KeePassX. Треба дуже любити цей продукт і дуже не любити себе, щоб користуватися ним на маці.