В последний раз мы предупреждали вас о серьезном нарушении безопасности, когда была взломана база паролей Adobe, что поставило под угрозу миллионы пользователей (особенно тех, у кого были слабые и часто используемые пароли). Сегодня мы предупреждаем вас о гораздо более серьезной проблеме безопасности, об ошибке Heartbleed, которая потенциально скомпрометировала ошеломляющие две трети защищенных веб-сайтов в Интернете. Вам нужно изменить свои пароли, и вам нужно начать делать это сейчас.
Важное примечание: эта ошибка не распространяется на How-To Geek.
Что такое Heartbleed и почему это так опасно?
При типичном нарушении безопасности раскрываются пользовательские записи / пароли одной компании. Это ужасно, когда это происходит, но это изолированное дело. Компания X имеет брешь в безопасности, они предупреждают своих пользователей, и такие люди, как мы, напоминают всем, что пришло время начать соблюдать правила безопасности и обновить свои пароли. Те, к сожалению, типичные нарушения достаточно плохи, как есть. Ошибка Heartbleed это что-то намного, намного, хуже.
Ошибка Heartbleed подрывает саму схему шифрования, которая защищает нас, когда мы отправляем электронную почту, размещаем банковские операции и иным образом взаимодействуем с веб-сайтами, которые мы считаем безопасными. Вот простое английское описание уязвимости от Codenomicon, группы безопасности, которая обнаружила и предупредила общественность об ошибке:
Ошибка Heartbleed — серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет украсть информацию, защищенную в обычных условиях шифрованием SSL / TLS, используемым для защиты Интернета. SSL / TLS обеспечивает безопасность и конфиденциальность связи через Интернет для таких приложений, как Интернет, электронная почта, обмен мгновенными сообщениями (IM) и некоторые виртуальные частные сети (VPN).
Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это компрометирует секретные ключи, используемые для идентификации поставщиков услуг и для шифрования трафика, имен и паролей пользователей и фактического контента. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у служб и пользователей и выдавать себя за службы и пользователей.
Звучит довольно плохо, да? Это звучит еще хуже, когда вы понимаете, что примерно две трети всех сайтов, использующих SSL, используют эту уязвимую версию OpenSSL. Мы не говорим о небольших временных сайтах, таких как форумы хот-родов или сайты обмена коллекционными карточными играми, мы говорим о банках, компаниях-эмитентах кредитных карт, крупных электронных магазинах и поставщиках электронной почты. Хуже всего то, что эта уязвимость была в дикой природе около двух лет. Вот уже два года кто-то с соответствующими знаниями и навыками мог бы использовать учетные данные для входа в систему и личные сообщения службы, которой вы пользуетесь (и, согласно тестированию, проведенному Codenomicon, делать это без следа).
Для еще лучшей иллюстрации того, как работает ошибка Heartbleed. Прочитайте этот комикс xkcd .
Хотя ни одна группа не выдвинула напоказ все учетные данные и информацию, которую они взяли с помощью эксплойта, на этом этапе игры вы должны предположить, что учетные данные для входа на часто посещаемые вами сайты были скомпрометированы.
Что делать после ошибки Heartbleed
Любое большинство нарушений безопасности (и это, безусловно, имеет смысл в широком масштабе) требует от вас оценки ваших методов управления паролями. Учитывая широкий охват ошибки Heartbleed, это прекрасная возможность ознакомиться с уже отлаженной системой управления паролями или, если вы тянули время, установить ее.
Прежде чем приступить к немедленному изменению своих паролей, имейте в виду, что уязвимость исправляется только в том случае, если компания обновилась до новой версии OpenSSL. История разразилась в понедельник, и если бы вы поспешили немедленно сменить свои пароли на каждом сайте, большинство из них по-прежнему работали бы с уязвимой версией OpenSSL.
СВЯЗАННЫЕ: Как запустить аудит безопасности последнего прохода (и почему он не может ждать)
Теперь, в середине недели, большинство сайтов начали процесс обновления, и к выходным разумно предположить, что большинство крупных веб-сайтов переключатся.
Вы можете использовать средство проверки ошибок Heartbleed здесь, чтобы узнать, открыта ли уязвимость до сих пор или, даже если сайт не отвечает на запросы от вышеупомянутой программы проверки, вы можете использовать средство проверки даты LastPass для проверки того, обновил ли рассматриваемый сервер свои Сертификат SSL недавно (если они обновили его после 7.04.2014, это хороший показатель того, что они исправили уязвимость.) Примечание: если вы запустите .com через средство проверки ошибок, он вернет ошибку, потому что мы не используем Шифрование SSL в первую очередь, и мы также убедились, что на наших серверах не работает какое-либо уязвимое программное обеспечение.
Тем не менее, похоже, что эти выходные станут хорошими выходными для серьезного обновления ваших паролей. Во-первых, вам нужна система управления паролями. Ознакомьтесь с нашим руководством по началу работы с LastPass, чтобы настроить один из самых безопасных и гибких вариантов управления паролями. Вам не нужно использовать LastPass, но вам нужна какая-то система, которая позволит вам отслеживать и управлять уникальным и надежным паролем для каждого веб-сайта, который вы посещаете.
Во-вторых, вам нужно начать менять свои пароли. Схема антикризисного управления в нашем руководстве « Как восстановить пароль после компрометации» — отличный способ убедиться, что вы не пропустили ни одного пароля; здесь также освещены основы правильной гигиены паролей, приведенные здесь:
- Пароли всегда должны быть длиннее минимума, который позволяет сервис . Если рассматриваемая служба позволяет использовать пароли из 6–20 символов, используйте самый длинный пароль, который вы можете запомнить.
- Не используйте словарные слова как часть вашего пароля . Ваш пароль никогда не должен быть настолько простым, чтобы его можно было найти при кратком сканировании файла словаря. Никогда не указывайте свое имя, часть логина или адреса электронной почты или другие легко идентифицируемые элементы, такие как название вашей компании или название улицы. Также не используйте в качестве пароля общие комбинации клавиш, такие как «qwerty» или «asdf».
- Используйте пароли вместо паролей . Если вы не используете менеджер паролей для запоминания действительно случайных паролей (да, мы понимаем, что мы действительно исходим из идеи использовать менеджер паролей), то вы можете запомнить более надежные пароли, превратив их в парольные фразы. Например, для своей учетной записи Amazon вы можете создать парольную фразу «Я люблю читать книги», которую легко запомнить, и затем преобразовать ее в пароль типа «! Luv2ReadBkz». Это легко запомнить и довольно сильно.
В-третьих, по возможности вы хотите включить двухфакторную аутентификацию. Вы можете прочитать больше о двухфакторной аутентификации здесь , но вкратце она позволяет вам добавить дополнительный уровень идентификации к вашему логину.
СВЯЗАННЫЙ: Что такое двухфакторная аутентификация и зачем она мне нужна?
Например, в Gmail для двухфакторной аутентификации требуется, чтобы у вас был не только ваш логин и пароль, но и доступ к мобильному телефону, зарегистрированному в вашей учетной записи Gmail, чтобы вы могли принять код текстового сообщения для ввода при входе с нового компьютера.
При включенной двухфакторной аутентификации кому-то, кто получил доступ к вашему логину и паролю (как они могли бы с помощью Heartbleed Bug), очень трудно получить доступ к вашей учетной записи.
Уязвимости безопасности, особенно те, которые имеют столь далеко идущие последствия, никогда не доставляют удовольствия, но они действительно дают нам возможность ужесточить нашу практику паролей и обеспечить, чтобы уникальные и надежные пароли сохраняли ущерб, когда он возникает, сдерживаемый.