Обезсърчени от последиците от Heartbleed? Не си сам. Малкият бъг в най-популярната SSL библиотека в света проби огромни дупки в сигурността, обгръщаща нашата комуникации с всякакви базирани на облак уебсайтове, приложения и услуги – и дупките дори не са всички закърпено още.
Грешката Heartbleed позволи на нападателите да отлепят устойчивата на подслушване облицовка на OpenSSL и да надникнат в комуникациите между клиент и сървър. Това даде на хакерите поглед върху неща като пароли и сесийни бисквитки, които са малки части от данни, които сървърът ви изпраща, след като влезете, а браузърът ви изпраща обратно всеки път, когато направите нещо, за да докажете, че е така Вие. И ако грешката е засегнала финансов сайт, друга чувствителна информация, която сте предавали през мрежата, като информация за кредитна карта или данъци, може да е била видяна.
Препоръчани видеоклипове
Как интернет може най-добре да се защити срещу катастрофални грешки като този? Имаме няколко идеи.
Да, имате нужда от по-безопасни пароли: Ето как да ги направите
Добре, така че по-добрите пароли няма да попречат на следващия Heartbleed, но може да ви предпазят от хакване някой ден. Много хора са просто ужасни в създаването на сигурни пароли.
Чували сте всичко това преди: не използвайте „парола1“, „парола2“ и т.н. Повечето пароли нямат достатъчно от това, което се нарича ентропия - те определено са не произволни и те ще да се познае, ако нападателят някога получи възможност да направи много предположения, или чрез чукване на услугата, или (по-вероятно) кражба на хешовете на паролите - математически деривации на паролите, които могат да бъдат проверени, но не и върнати обратно в оригинала парола.
Каквото и да правите, не използвайте една и съща парола на повече от едно място.
Софтуерът за управление на пароли или услугите, които използват криптиране от край до край, също могат да помогнат. KeePass е добър пример за първото; LastPass на последния. Пазете имейла си добре, тъй като може да се използва за нулиране на повечето от вашите пароли. И каквото и да правите, не използвайте една и съща парола на повече от едно място - просто си създавате проблеми.
Уебсайтовете трябва да прилагат еднократни пароли
OTP означава „еднократна парола“ и може вече да я използвате, ако имате настроен уебсайт/услуга, която изисква да използвате Google Authenticator. Повечето от тези удостоверители (включително тези на Google) използват интернет стандарт, наречен TOTP или базирана на времето еднократна парола, който е описан тук.
Какво е TOTP? С две думи, уебсайтът, на който се намирате, генерира таен номер, който се предава веднъж на вашата програма за удостоверяване, обикновено чрез QR код. Във варианта, базиран на времето, ново шестцифрено число се генерира от това тайно число на всеки 30 секунди. Уебсайтът и клиентът (вашият компютър) не трябва да комуникират отново; номерата просто се показват на вашия удостоверител и вие ги предоставяте на уебсайта, както е поискано във връзка с вашата парола, и сте вътре. Има и вариант, който работи, като ви изпраща същите кодове чрез текстово съобщение.
Предимства на TOTP: Дори Heartbleed или подобен бъг да доведе до разкриването както на вашата парола, така и на номера на вашия удостоверител, уебсайтът, който сте взаимодействието с почти сигурно вече е маркирало този номер като използван и той не може да бъде използван отново - и така или иначе ще бъде невалиден в рамките на 30 секунди. Ако уебсайт все още не предлага тази услуга, вероятно може да го направи сравнително лесно и ако имате почти всеки смартфон, можете да стартирате удостоверител. Малко е неудобно да се консултирате с телефона си, за да влезете, разбира се, но ползата от сигурността за всяка услуга, която ви интересува, си струва.
Рискове от TOTP: Проникване в сървър a различен начин може да доведе до разкриване на тайния номер, позволявайки на атакуващия да създаде свой собствен удостоверител. Но ако използвате TOTP във връзка с парола, която не се съхранява от уебсайта, повечето добри доставчици съхраняват хеш, който е силно устойчив срещу обратно инженерство - тогава между тях двамата рискът ви е много голям понижени.
Силата на клиентските сертификати (и какви са те)
Вероятно никога не сте чували за клиентски сертификати, но те всъщност съществуват от много дълго време (в интернет години, разбира се). Причината, поради която вероятно не сте чували за тях, е, че те са скучна работа. Много по-лесно е просто да накарате потребителите да изберат парола, така че само сайтове с висока степен на сигурност са склонни да използват сертификати.
Какво е клиентски сертификат? Клиентските сертификати доказват, че сте лицето, което твърдите, че сте. Всичко, което трябва да направите, е да го инсталирате (и един работи в много сайтове) във вашия браузър, след което да изберете да го използвате, когато сайт иска да удостоверите. Тези сертификати са близки братовчеди на SSL сертификатите, които уебсайтовете използват, за да се идентифицират на вашия компютър.
Най-ефективният начин, по който един уебсайт може да защити вашите данни, е никога да не ги притежавате.
Предимства на клиентските сертификати: Без значение в колко сайта влизате с клиентски сертификат, силата на математиката е на ваша страна; никой няма да може да използва същия сертификат, за да се преструва, че сте вие, дори и да наблюдава вашата сесия.
Рискове от клиентски сертификати: Основният риск от клиентски сертификат е някой да може да проникне Вашият компютър и да го открадне, но има смекчаващи мерки за този риск. Друг потенциален проблем е, че типичните клиентски сертификати носят известна информация за самоличност, която може да не желаете да разкривате на всеки сайт, който използвате. Въпреки че клиентските сертификати съществуват завинаги и в уеб сървъра съществува работеща поддръжка софтуер, има още много работа за вършене както от страна на доставчиците на услуги, така и от страна на браузърите те работят добре. Тъй като се използват толкова рядко, им се обръща малко внимание на развитието.
Най-важното: криптиране от край до край
Най-ефективният начин, по който един уебсайт може да защити вашите данни, е никога да не ги притежава – поне не версия, която може да чете. Ако уебсайт може да прочете вашите данни, нападател с достатъчен достъп може да прочете вашите данни. Ето защо харесваме криптиране от край до край (E2EE).
Какво е криптиране от край до край? Това означава, че вие криптиране данните от ваша страна и то остава криптиран, докато достигне до лицето, за което сте го предназначени, или се върне при вас.
Предимства на E2EE: Криптирането от край до край вече е внедрено в няколко услуги, като онлайн услугите за архивиране. Има и по-слаби негови версии в някои услуги за съобщения, особено тези, които се появиха след разкритията на Сноудън. За уебсайтовете обаче е трудно да извършват криптиране от край до край по две причини: може да се наложи да видят вашите данни, за да предоставят услугата си, а уеб браузърите са ужасни при изпълнението на E2EE. Но в ерата на приложенията за смартфони криптирането от край до край е нещо, което може и трябва да се прави по-често. Повечето приложения не използват E2EE днес, но се надяваме, че ще видим повече от него в бъдеще. Ако вашите приложения не използват E2EE за вашите чувствителни данни, трябва да се оплачете.
Рискове от E2EE: За да работи криптирането от край до край, то трябва да се направи повсеместно – ако дадено приложение или уебсайт го прави само половинчато, цялата къща от карти може да се срине. Една част от некриптирани данни понякога може да се използва за получаване на достъп до останалите. Сигурността е игра с най-слабото звено; само една брънка във веригата не трябва да я прекъсва.
И сега какво?
Очевидно няма много неща, които вие като потребител можете да контролирате. Ще имате късмет да намерите услуга, която използва еднократни пароли с удостоверител. Но определено трябва да говорите с уебсайтовете и приложенията, които използвате, и да ги уведомите, че осъзнавате грешки в софтуера се случват и смятате, че те трябва да приемат сигурността по-сериозно, а не просто да разчитат на пароли.
Ако повече от мрежата използва тези усъвършенствани методи за сигурност, може би следващия път ще има софтуерна катастрофа от мащаба на Heartbleed - и там ще бъде, в крайна сметка - няма да се налага да се паникьосваме толкова много.
[Изображението е предоставено с любезното съдействие на ятаган5/Shutterstock]
