Heartbleed Fallout: 4 tapaa estää uusi katastrofi

hakkeri

Oletko masentunut Heartbleedin aiheuttamasta tuhosta? Et ole yksin. Maailman suosituimman SSL-kirjaston pieni bugi pisti valtavia reikiä suojaukseen. viestintää kaikenlaisten pilvipohjaisten verkkosivustojen, sovellusten ja palvelujen kanssa – eivätkä aukot ole edes kaikki paikattu vielä.

Heartbleed-virheen ansiosta hyökkääjät pystyivät irrottamaan OpenSSL: n snoop-kestävän vuorauksen ja kurkistamaan asiakkaan ja palvelimen välistä viestintää. Tämä antoi hakkereille mahdollisuuden tarkastella salasanoja ja istuntoevästeitä, jotka ovat pieniä tietokappaleita palvelin lähettää sinulle kirjautumisen jälkeen ja selaimesi lähettää takaisin aina, kun teet jotain todistaaksesi sen sinä. Ja jos virhe vaikutti taloussivustoon, muita verkon kautta välittämiäsi arkaluonteisia tietoja, kuten luottokortti- tai verotietoja, on saatettu nähdä.

Suositellut videot

Miten Internet voi parhaiten suojautua tämänkaltaisia ​​tuhoisia bugeja vastaan? Meillä on muutama idea.

Kyllä, tarvitset turvallisempia salasanoja: Näin teet ne

Okei, paremmat salasanat eivät estä seuraavaa Heartbleediä, mutta ne voivat säästää sinut hakkeroitumiselta jonakin päivänä. Monet ihmiset ovat hirveitä luomaan turvallisia salasanoja.

Olet kuullut sen kaiken aiemmin: älä käytä "salasana1", "salasana2" jne. Useimmissa salasanoissa ei ole tarpeeksi entropiaa – ne ovat ehdottomasti ei satunnainen ja he tahtoa arvaa, jos hyökkääjä saa koskaan mahdollisuuden tehdä paljon arvauksia, joko vasaralla palvelua tai (todennäköisemmin) salasanojen tiivisteiden varastaminen – salasanojen matemaattiset johdannaiset, jotka voidaan tarkistaa, mutta joita ei voi kääntää takaisin alkuperäisiksi Salasana.

Mitä tahansa teetkin, älä käytä samaa salasanaa useammassa kuin yhdessä paikassa.

Monet palveluntarjoajat lähestyvät tätä ongelmaa vaatimalla käyttäjiltä tietynpituisia salasanoja, jotka sisältävät välimerkkejä ja numeroita yrittääkseen lisätä entropiaa. Surullinen todellisuus on kuitenkin se, että tällaiset säännöt auttavat vain vähän. Parempi vaihtoehto on pitkät lauseet todellisista, mieleenpainuvista sanoista – mikä on tullut tunnetuksi "oikeana hevospariston salasanana" tämä XKCD-sarjakuva käsitteen selittäminen. Valitettavasti saatat (kuten minä) törmätä palveluntarjoajiin, jotka eivät anna sinun käyttää sellaisia ​​salasanoja. (Kyllä, on rahoituslaitoksia, joiden enimmäispituus on 10 merkkiä. Ei, en tiedä mitä he tupakoivat.)

Päästä päähän -salausta käyttävät salasananhallintaohjelmistot tai -palvelut voivat myös auttaa. KeePass on hyvä esimerkki edellisestä; LastPass jälkimmäisestä. Suojaa sähköpostisi hyvin, sillä sitä voidaan käyttää useimpien salasanojesi nollaukseen. Ja mitä tahansa teetkin, älä käytä samaa salasanaa useammassa kuin yhdessä paikassa – pyydät vain ongelmia.

Verkkosivustojen on otettava käyttöön kertakäyttöiset salasanat

OTP on lyhenne sanoista "kertakäyttöinen salasana", ja voit jo käyttää sitä, jos sinulla on verkkosivusto/palvelu, joka edellyttää Google Authenticator. Useimmat näistä todentajista (mukaan lukien Googlen) käyttävät Internet-standardia nimeltä TOTP tai Time-based One-Time Password, joka on kuvattu täällä.

Mikä on TOTP? Lyhyesti sanottuna sivusto, jolla olet, luo salaisen numeron, joka välitetään kerran todennusohjelmallesi, tyypillisesti QR koodi. Aikaperusteisessa muunnelmassa tuosta salaisesta numerosta luodaan uusi kuusinumeroinen luku 30 sekunnin välein. Verkkosivuston ja asiakkaan (tietokoneesi) ei tarvitse kommunikoida uudelleen; numerot näkyvät vain todentajassasi, ja annat ne sivustolle pyydettäessä yhdessä salasanasi kanssa, ja olet mukana. On myös muunnelma, joka toimii lähettämällä samat koodit sinulle tekstiviestillä.

LastPass Android -sovellus
LastPassin Android-sovellus

TOTP: n edut: Vaikka Heartbleed tai vastaava virhe johtaisi sekä salasanasi että autentikaattorisi numeron paljastamiseen, verkkosivusto, jota olet kanssa vuorovaikutuksessa on lähes varmasti jo merkinnyt kyseisen numeron käytetyksi, eikä sitä voi käyttää uudelleen – ja se on joka tapauksessa virheellinen 30 sekunnin kuluessa. Jos verkkosivusto ei vielä tarjoa tätä palvelua, se voi todennäköisesti tehdä sen suhteellisen helposti, ja jos sinulla on käytännössä mikä tahansa älypuhelin, voit suorittaa autentikaattorin. On hieman hankalaa ottaa yhteyttä puhelimeen kirjautuaksesi sisään, myönnetty, mutta minkä tahansa sinulle tärkeän palvelun turvallisuusetu tekee siitä sen arvoisen.

TOTP: n riskit: Murtautuminen palvelimelle a eri tapa saattaa johtaa salaisen numeron paljastamiseen, jolloin hyökkääjä voi luoda oman autentikaattorinsa. Mutta jos käytät TOTP: tä yhdessä salasanan kanssa, jota verkkosivusto ei ole tallentanut, useimmat hyvät palveluntarjoajat tallentavat hash, joka on vahvasti vastustuskykyinen sen käänteissuunnittelua vastaan ​​– silloin näiden kahden välillä riskisi on suuri laskettu alas.

Asiakasvarmenteiden teho (ja mitä ne ovat)

Et ole luultavasti koskaan kuullut asiakasvarmenteista, mutta ne ovat itse asiassa olleet olemassa hyvin kauan (tietysti Internet-vuosina). Syy, miksi et luultavasti ole kuullut niistä, on se, että ne ovat työlästä saada. On paljon helpompaa saada käyttäjät valitsemaan salasana, joten vain erittäin suojatut sivustot käyttävät yleensä varmenteita.

Mikä on asiakastodistus? Asiakastodistukset todistavat, että olet se henkilö, jota väität olevasi. Sinun tarvitsee vain asentaa se (ja yksi toimii useilla sivustoilla) selaimeesi ja valita sitten sen käyttö, kun sivusto haluaa sinun todentaa. Nämä varmenteet ovat läheisiä SSL-varmenteita, joita verkkosivustot käyttävät tunnistautuakseen tietokoneellesi.

Tehokkain tapa, jolla verkkosivusto voi suojata tietosi, on se, että ne eivät koskaan ole hallussasi.

Asiakassertifikaattien edut: Riippumatta siitä, kuinka monelle sivustolle kirjaudut sisään asiakasvarmenteella, matematiikan voima on puolellasi. kukaan ei voi käyttää samaa varmennetta esiintyäkseen sinuna, vaikka hän tarkkailee istuntoa.

Asiakassertifikaattien riskit: Asiakasvarmenteen ensisijainen riski on, että joku voi murtautua sisään sinun tietokoneen ja varastaa sen, mutta riskiä voidaan lieventää. Toinen mahdollinen ongelma on, että tyypillisissä asiakasvarmenteissa on joitakin identiteettitietoja, joita et ehkä halua paljastaa jokaiselle käyttämällesi sivustolle. Vaikka asiakassertifikaatit ovat olleet olemassa ikuisesti, ja Web-palvelimessa on toimiva tuki Ohjelmistoihin on vielä tehtävä paljon työtä sekä palveluntarjoajien että selaimien puolella ne toimivat hyvin. Koska niitä käytetään niin harvoin, ne saavat vain vähän kehittämishuomiota.

Tärkeintä: päästä päähän -salaus

Tehokkain tapa, jolla verkkosivusto voi suojata tietosi, on se, että ne eivät koskaan ole hallussasi – ainakaan versiota, jota se voi lukea. Jos verkkosivusto voi lukea tietosi, hyökkääjä, jolla on riittävät käyttöoikeudet, voi lukea tietosi. Tästä syystä pidämme päästä päähän -salauksesta (E2EE).

Mikä on päästä päähän -salaus? Tämä tarkoittaa, että sinä salata datasi ja se jää salataan, kunnes se saavuttaa sen henkilön, jolle aiot sen, tai se palaa sinulle.

E2EE: n edut: Päästä päähän -salaus on jo toteutettu muutamissa palveluissa, kuten online-varmuuskopiointipalveluissa. Siitä on myös heikompia versioita joissakin viestipalveluissa, erityisesti niissä, jotka ilmestyivät Snowdenin paljastuksen jälkeen. Verkkosivustojen on kuitenkin vaikea suorittaa päästä päähän -salausta kahdesta syystä: niiden on ehkä nähtävä tietosi palvelun tarjoamiseksi, ja verkkoselaimet ovat kauheita suorittamaan E2EE: tä. Mutta älypuhelinsovellusten aikakaudella päästä päähän -salaus on jotain, mitä voidaan ja pitäisi tehdä useammin. Useimmat sovellukset eivät käytä E2EE: tä tänään, mutta toivomme, että näemme sitä lisää tulevaisuudessa. Jos sovelluksesi eivät käytä E2EE: tä arkaluonteisille tiedoillesi, sinun tulee valittaa.

E2EE: n riskit: Jotta päästä päähän -salaus toimisi, se on tehtävä kauttaaltaan – jos sovellus tai verkkosivusto tekee sen vain puolitoistaisin mielin, koko korttitalo voi romahtaa. Yhtä salaamatonta dataa voidaan joskus käyttää pääsyyn muihin. Turvallisuus on heikoimman lenkin peli; vain yksi lenkki ketjussa ei saa rikkoa sitä.

Mitä nyt?

On selvää, että sinä käyttäjänä et voi hallita paljon. Olet onnekas, kun löydät palvelun, joka käyttää kertaluonteisia salasanoja autentikaattorin kanssa. Mutta sinun tulee ehdottomasti keskustella käyttämiesi verkkosivustojen ja sovellusten kanssa ja kertoa heille, että huomaat virheitä ohjelmistoissa tapahtuu, ja mielestäsi heidän pitäisi ottaa tietoturva vakavammin eikä vain luottaa siihen salasanat.

Jos useampi verkko käyttää näitä kehittyneitä suojausmenetelmiä, ehkä seuraavan kerran tapahtuu Heartbleed-tason ohjelmistokatastrofi – ja tahtoa olla lopulta – meidän ei tarvitse panikoida niin paljon.

[Kuva: viikate 5/Shutterstock]