Sklíčený spadem z Heartbleed? Nejsi sám. Drobná chyba v nejpopulárnější knihovně SSL na světě udělala obrovské díry v bezpečnostním obalu komunikace se všemi druhy cloudových webů, aplikací a služeb – a díry nejsou ani zdaleka všechny ještě opraveno.
Chyba Heartbleed umožnila útočníkům odloupnout podšívku OpenSSL odolnou proti odposlechu a nahlédnout do komunikace mezi klientem a serverem. To umožnilo hackerům podívat se na věci, jako jsou hesla a soubory cookie relací, což jsou malé kousky dat server vám pošle, když se přihlásíte, a váš prohlížeč pošle zpět pokaždé, když něco uděláte, aby dokázal, že je to tak vy. A pokud chyba ovlivnila finanční stránku, mohly být vidět další citlivé informace, které jste procházeli sítí, jako jsou údaje o kreditní kartě nebo daňové údaje.
Doporučená videa
Jak se může internet nejlépe chránit před katastrofálními chybami, jako je tato? Máme pár nápadů.
Ano, potřebujete bezpečnější hesla: Zde je návod, jak je vytvořit
Dobrá, lepší hesla by dalšímu Heartbleedu nezabránila, ale možná vás jednoho dne ochrání před hacknutím. Mnoho lidí je prostě hrozných ve vytváření bezpečných hesel.
Už jste to všechno slyšeli: nepoužívejte „heslo1“, „heslo2“ atd. Většina hesel nemá dostatek toho, čemu se říká entropie – rozhodně ano ne náhodný a oni vůle je třeba uhodnout, jestli útočník někdy dostane příležitost udělat spoustu odhadů, buď zatlučením služby nebo (pravděpodobněji) krádež hash hesel – matematické odvozeniny hesel, které lze zkontrolovat, ale ne vrátit zpět na původní Heslo.
Ať děláte cokoli, nepoužívejte stejné heslo na více než jednom místě.
Pomoci může také software nebo služby pro správu hesel, které využívají end-to-end šifrování. KeepPass je dobrým příkladem toho prvního; LastPass toho druhého. Dobře si chraňte svůj e-mail, protože jej lze použít k resetování většiny vašich hesel. A ať děláte cokoli, nepoužívejte stejné heslo na více než jednom místě – jen si koledujete o potíže.
Webové stránky potřebují implementovat jednorázová hesla
OTP je zkratka pro „jednorázové heslo“ a můžete jej již použít, pokud máte web/službu nastavenou, která vyžaduje použití Google Authenticator. Většina těchto autentizátorů (včetně Google) používá internetový standard nazvaný TOTP nebo Time-based One Time Password, který je zde popsán.
Co je TOTP? Stručně řečeno, web, na kterém se nacházíte, generuje tajné číslo, které je jednou předáno vašemu ověřovacímu programu, obvykle prostřednictvím QR kód. V časové variantě je z tohoto tajného čísla každých 30 sekund generováno nové šestimístné číslo. Web a klient (váš počítač) nemusí znovu komunikovat; čísla se jednoduše zobrazí na vašem autentizátoru a vy je zadáte na web, jak je požadováno ve spojení s vaším heslem, a jste v tom. Existuje také varianta, která funguje tak, že vám pošle stejné kódy prostřednictvím textové zprávy.
Výhody TOTP: I kdyby Heartbleed nebo podobná chyba měla za následek prozrazení vašeho hesla i čísla na vašem autentizátoru, web, který jste interakce s téměř jistě již toto číslo označilo jako použité a nelze jej znovu použít – a stejně bude do 30 sekund neplatné. Pokud web ještě tuto službu nenabízí, může to pravděpodobně udělat poměrně snadno, a pokud máte prakticky jakýkoli smartphone, můžete spustit autentizátor. Je to trochu nepohodlné konzultovat přihlášení pomocí telefonu, samozřejmě, ale bezpečnostní výhoda pro jakoukoli službu, na které vám záleží, stojí za to.
Rizika TOTP: Nabourání se na server a odlišný způsob by mohl vést k prozrazení tajného čísla, což by útočníkovi umožnilo vytvořit si vlastní autentizátor. Ale pokud používáte TOTP ve spojení s heslem, které není uloženo na webu – většina dobrých poskytovatelů ukládá hash, který je silně odolný proti reverznímu inženýrství – pak mezi nimi dvěma je vaše riziko velké snížena.
Síla klientských certifikátů (a co to je)
Pravděpodobně jste nikdy neslyšeli o klientských certifikátech, ale ve skutečnosti existují velmi dlouho (samozřejmě v letech internetu). Důvod, proč jste o nich pravděpodobně neslyšeli, je ten, že je těžké je získat. Je mnohem snazší přimět uživatele, aby si vybrali heslo, takže certifikáty mají tendenci používat pouze weby s vysokým zabezpečením.
Co je to klientský certifikát? Klientské certifikáty dokazují, že jste tím, za koho se vydáváte. Jediné, co musíte udělat, je nainstalovat jej (a jeden funguje na mnoha webech) do vašeho prohlížeče a poté se rozhodnout jej použít, když web chce, abyste se ověřili. Tyto certifikáty jsou blízkými příbuznými certifikátů SSL, které webové stránky používají k identifikaci ve vašem počítači.
Nejúčinnějším způsobem, jak může webová stránka chránit vaše data, je v první řadě je nikdy nevlastnit.
Výhody klientských certifikátů: Bez ohledu na to, na kolik webů se přihlásíte pomocí klientského certifikátu, síla matematiky je na vaší straně; nikdo nebude moci použít stejný certifikát k předstírání, že jste vy, i když bude sledovat vaši relaci.
Rizika klientských certifikátů: Primárním rizikem klientského certifikátu je, že se do něj může někdo vloupat vaše počítač a ukrást ho, ale existují zmírnění tohoto rizika. Dalším potenciálním problémem je, že typické klientské certifikáty nesou některé informace o identitě, které možná nebudete chtít sdělit každému webu, který používáte. Přestože klientské certifikáty existují odjakživa a na webovém serveru existuje funkční podpora na straně poskytovatelů služeb i na straně prohlížečů je ještě spousta práce pracují studna. Protože se používají tak zřídka, je jim věnována malá pozornost při vývoji.
Nejdůležitější: End-to-end šifrování
Nejúčinnějším způsobem, jak může webová stránka chránit vaše data, je v první řadě je nikdy nevlastnit – alespoň ne verzi, kterou dokáže přečíst. Pokud web dokáže číst vaše data, může útočník s dostatečným přístupem číst vaše data. To je důvod, proč máme rádi end-to-end šifrování (E2EE).
Co je end-to-end šifrování? To znamená, že vy zašifrovat data na vaší straně a to pobyty zašifrován, dokud se nedostane k osobě, pro kterou je určen, nebo se vrátí k vám.
Výhody E2EE: End-to-end šifrování je již implementováno v několika službách, jako jsou online zálohovací služby. V některých službách pro zasílání zpráv jsou také jeho slabší verze, zejména ty, které se objevily po odhalení Snowdena. Pro webové stránky je však obtížné provádět šifrování end-to-end, a to ze dvou důvodů: mohou potřebovat vidět vaše data, aby mohly poskytovat své služby, a webové prohlížeče jsou při provádění E2EE hrozné. Ale ve věku aplikací pro chytré telefony je šifrování typu end-to-end něco, co lze a mělo by být prováděno častěji. Většina aplikací dnes E2EE nepoužívá, ale doufáme, že v budoucnu uvidíme více. Pokud vaše aplikace nepoužívají E2EE pro vaše citlivá data, měli byste si stěžovat.
Rizika E2EE: Aby šifrování end-to-end fungovalo, musí být provedeno plošně – pokud to aplikace nebo web dělá jen napůl, může se zhroutit celý domeček z karet. Jeden kus nezašifrovaných dat lze někdy použít k získání přístupu ke zbytku. Bezpečnost je hra s nejslabším článkem; pouze jeden článek v řetězu jej nesmí zlomit.
Takže, co teď?
Je zřejmé, že toho jako uživatel nemůžete ovládat. Budete mít štěstí, že najdete službu, která používá jednorázová hesla s autentizátorem. Rozhodně byste ale měli mluvit s webovými stránkami a aplikacemi, které používáte, a dát jim vědět, že si uvědomujete chyby v softwaru, a vy si myslíte, že by měli brát zabezpečení vážněji a nespoléhat se na ně hesla.
Pokud tyto pokročilé bezpečnostní metody bude používat větší část sítě, možná příště dojde k softwarové katastrofě v rozsahu Heartbleed – a tam vůle být, nakonec – nebudeme muset tolik panikařit.
[Obrázek se svolením kosa5/Shutterstock]
