Phenquestions
Почти 70 процентов трафика в Интернете занято OpenSSL для обеспечения передачи данных. Это означает, что почти все основные серверы (читай: веб-сайты) используют OpenSSL для защиты ваших данных, таких как учетные данные для входа. Однако кто-то из Google обнаружил ошибку в OpenSSL - небольшую программную ошибку, но достаточно большую, чтобы передать ваши данные хакерам - людям, желающим использовать ваши данные в своих целях. Эта ошибка OpenSSL называется Heartbleed поскольку он тесно связан с некоторым уровнем HeartBeat OpenSLL.
Что такое Heartbleed Bug
Большинство серверов принимают зашифрованные данные, декодируют их с помощью ключей шифрования и пересылают на обработку. Поскольку большинство серверов используют метод FIFO (First in First Out) для обслуживания конечных пользователей, часто данные (после дешифрования) некоторое время остаются в памяти сервера, прежде чем сервер возьмет их для дальнейшей обработки.
Ошибка Heartbleed - это повод для беспокойства практически для всех коммерческих веб-сайтов в Интернете и некоторых других типов. Эта программная ошибка позволяет хакерам проверять любой сервер, который использует OpenSSL, и читать / сохранять / использовать незашифрованные данные (расшифрованные данные). Хакеры теперь не только имеют доступ к вашим данным, но и могут воспроизвести сертификат веб-сайта, что делает Интернет еще более опасным местом. С помощью копии сертификата веб-сайта хакеры могут создавать имитирующие сайты: сайты, похожие на оригинальные. При этом они могут получить дополнительный доступ к вашим данным, таким как данные кредитной карты, личная информация и т. Д.
Звучит страшно, не правда ли?? Это действительно так, поскольку он может получить доступ к вашей информации, и эту информацию можно использовать в любых целях.
Примечание: Heartbleed также имеет кодовое имя CVE-2014-0160. CVE расшифровывается как Common Vulnerabilities and Exposures. Эти коды относятся к уязвимостям и т. Д. предоставлены MITER, независимым органом, который отслеживает ошибки и аналогичные проблемы.
Стоит ли мне обновить свой Антивирус или что-то в этом роде
Ошибка Heartbleed в OpenSSL не имеет ничего общего с вашим антивирусом или брандмауэром. Это не проблема на стороне клиента, поэтому вы мало что можете с этим поделать. С другой стороны, серверы должны применить патч к системе OpenSSL, которую они используют. После этого можно сказать, что веб-сайт более безопасен для взаимодействия.
Что вы можете сделать как пользователь, так это уменьшить количество посещений коммерческих и аналогичных сайтов. Дело не в том, что ошибка затрагивает только коммерческие сайты. Он одинаков для всех типов веб-сайтов, использующих OpenSSL. Я говорю, что на какое-то время избегайте коммерческих сайтов, так как они будут основной целью для хакеров, которым нужны данные вашей карты и т. Д. Это означает, что основной целью хакеров будут сайты электронной коммерции, использующие OpenSSL.
Как только вы получите сообщение / отчет о том, что ошибка исправлена, вы можете продолжить, как вы это делали до того, как ошибка была обнаружена. OpenSSL создал патч и выпустил его для владельцев веб-сайтов, чтобы защитить данные своих пользователей. А пока старайтесь избегать сайтов, на которых вы должны предоставлять свои данные в любой форме - даже учетные данные для входа. Я уверен, что почти все веб-мастера должны заняться патчем, но проблема все еще существует. Если вы уверены, что уязвимостей нет или они были исправлены, возможно, стоит сменить пароли.
Между тем, используйте эти расширения браузера, чтобы предупредить вас о веб-сайтах, затронутых Heartbleed.
Сертификаты сайта, скопированные с помощью Heartbleed, необходимо устранить
Высокие шансы, что сертификаты безопасности веб-сайтов могли быть скопированы для создания вредоносных веб-сайтов. Поскольку сертификаты безопасности являются общими копиями, ваши браузеры могут не заметить разницы. Это вы должны оставаться осторожными. Избегайте нажатия ссылок и вместо этого введите URL-адрес веб-сайта в адресной строке, чтобы вас не перенаправили на какой-либо поддельный сайт.
Эту проблему можно решить двумя способами:
- Доступные на рынке браузеры должны быть достаточно умными, чтобы распознавать скопированные сертификаты и предупреждать вас.
- Вебмастера меняют сертификаты после применения патча.
Другими словами, для реализации вышеизложенного потребуется некоторое время, даже если веб-мастера применяют патч. Я хотел бы повторить, что не переходите по ссылкам в электронных письмах или на неизвестных веб-сайтах. Просто введите URL-адрес в адресную строку или, если исходный сайт добавлен в закладки, используйте закладку.
Раздел «Ссылки» в конце этой статьи содержит непонятный список затронутых веб-сайтов. Неполно, потому что затронутых веб-сайтов может быть больше, чем перечисленных.
Рекомендации:
- Heart Bleed: Веб-сайт
- OpenSSL: рекомендации по безопасности для Heart Bleed
- Git Hub: список уязвимых веб-сайтов.
