כללי מה זה Heartbleed באג וכיצד להגן על עצמך ולהישאר בטוח

כמעט 70 אחוז מהתנועה באינטרנט מעסיקה OpenSSL כדי להבטיח את העברת הנתונים. זה מתרגם כמעט את כל השרתים העיקריים (קרא: אתרי אינטרנט) להשתמש OpenSSL לאבטח את הנתונים שלך כגון אישורי כניסה. עם זאת, מישהו מ- Google מצא באג ב- OpenSSL - טעות תכנות קטנה אך גדולה מספיק כדי למסור את הנתונים שלך לאקרים - אנשים שמוכנים להשתמש בנתונים שלך למטרותיהם. זה באג OpenSSL בשם Heartbleed שכן הוא קשור באופן הדוק כמה HeartBeat שכבת OpenSLL.

מה הוא Heartbleed באג

רוב השרתים לקבל נתונים מוצפנים, לפענח אותו באמצעות מקשי ההצפנה קדימה J עיבוד מאחר שרוב השרתים משתמשים בשיטת FIFO (First in First Out), כדי לשרת את משתמשי הקצה, לעתים קרובות הנתונים (לאחר פענוח) יושבים בזיכרון השרת למשך זמן מה לפני שהשרת יתחבר לעיבוד נוסף.

The Heartbleed Bug מקרה של דאגה כמעט לכל אתרי אינטרנט מבוססי אינטרנט אינטרנט וכמה סוגים אחרים. שגיאת התכנות הזו מאפשרת להאקרים לבדוק כל שרת שמעסיק את OpenSSL ולקרוא / לשמור / להשתמש בנתונים לא מוצפנים (נתונים מפוענחים). האקרים עכשיו לא רק יש גישה לנתונים שלך, הם יכולים לשכפל את אישור האתר עושה את האינטרנט, אפילו מקום מסוכן יותר. עם עותק של אישור האתר, האקרים יכולים ליצור אתרי חיקוי: אתרים שנראים דומים לאתרים מקוריים. עם זאת, הם יכולים להמשיך לגשת לנתונים שלך כגון פרטי כרטיס אשראי, מידע אישי וכו `

הצלילים מפחידים, לא? זה באמת - כפי שהוא יכול לגשת למידע שלך, כי מידע ניתן להשתמש לקראת כל סוף.

הערה : Heartbleed יש גם שם קוד CVE-2014-0160. CVE מייצג נקודות תורפה וחשיפות נפוצות. קודים אלה קשורים לפגיעויות וכו `ניתנים על ידי MITER, גוף עצמאי אשר שומר על מסלולים של באגים ובעיות דומות.

אני צריך לשדרג את האנטי וירוס שלי או משהו

באג Heartbleed ב OpenSSL אין מה לעשות עם האנטי וירוס או חומת האש. זה לא בעיה בצד הלקוח, כך שאתה יכול לעשות קצת על זה. בצד השני, השרתים חייבים להחיל תיקון על מערכת OpenSSL שבה הם משתמשים. אתר אינטרנט זה יכול להיות בטוח יותר עבור אינטראקציה.

מה שאתה יכול לעשות כמשתמש הוא לצמצם את מספר הביקורים במסחר ובאתרים דומים. זה לא כי באג משפיע רק על אתרי מסחר. הוא שווה לכל סוגי האתרים שמשתמשים ב- OpenSSL. אני אומר למנוע אתרי מסחר במשך זמן מה כפי שהם יהיו היעד העיקרי עבור האקרים אשר ירצו את פרטי הכרטיס שלך וכו `זה אומר כי היעד העיקרי של האקרים יהיה אתרי מסחר אלקטרוני באמצעות OpenSSL.

ברגע שאתה מקבל הודעה / דווח כי הבאג הוא קבוע, אתה יכול להתקדם כפי שנהגת לעשות לפני באג התגלה. OpenSSL יצרה תיקון ושחררה אותו לבעלי אתרים כדי לאבטח את נתוני המשתמשים שלהם. עד אז, נסה להימנע מאתרים שבהם אתה צריך לתת את הנתונים בכל צורה - אפילו אישורי כניסה. אני בטוח כמעט כל מנהלי האתר חייב להיות הולך על תיקון אבל עדיין יש בעיה. ברגע שאתה בטוח כי אין פגיעויות או פגיעויות כאלה תוקנו, זה יכול להיות רעיון טוב לשנות את הסיסמאות שלך.

בינתיים, השתמש הרחבות דפדפן אלה כדי להזהיר אותך על אתרי אינטרנט מושפעים Heartbleed.

אישורים באתר הועתק דרך Heartbleed צריך לטפל

יש סיכוי גבוה כי אישורי האבטחה באתר אולי הועתקו ליצירת אתרי אינטרנט זדוניים. מאז תעודות האבטחה כמו עותקים כלליים, הדפדפנים שלך לא יכול להגיד את ההבדל. זה אתה שצריך להישאר זהירים. הימנע מלחיצה על קישורים ובמקום זאת, הקלד את כתובת האתר של האתר בסרגל הכתובות, כך שלא תנותב מחדש לאתר מזויף כלשהו.

בעיה זו ניתנת לפתרון בשתי דרכים:

1. הדפדפנים הזמינים בשוק צריכים להיות חכמים מספיק כדי לזהות אישורים שהועתקו ולהזהיר אותך.
2. מנהלי האתר משנים את האישורים לאחר החלת התיקון.

במילים אחרות, זה ייקח קצת זמן ליישם לעיל למרות מנהלי אתרים להחיל את התיקון. הייתי רוצה לחזור ולציין כי לא ללחוץ על קישורים בדוא"ל או לא נחשב אתרים. פשוט, הקלד את כתובת האתר בשורת הכתובת או אם האתר המקורי מסומן, השתמש בסימנייה.

הקטע `הפניות` שבסעיף זה מכיל רשימה לא מקיפה של אתרים מושפעים. לא הושלם כי ייתכן שיש יותר אתרים מושפעים מאלה המפורטים שם.

הפניות:

• הלב דימום: אתר אינטרנט
• OpenSSL: היידוע אבטחה עבור הלב דימום
• Git Hub: רשימת אתרים מושפעים.