Heartbleed Fallout: 4 načina da spriječite još jednu katastrofu

haker

Obeshrabreni posljedicama Heartbleeda? Nisi sam. Maleni bug u najpopularnijoj SSL biblioteci na svijetu napravio je ogromne rupe u sigurnosnom omotaču našeg komunikacije sa svim vrstama web-mjesta, aplikacija i usluga temeljenih na oblaku — a rupe nisu sve još zakrpan.

Greška Heartbleed omogućila je napadačima da skinu sloj OpenSSL-a otporan na njuškanje i zavire u komunikaciju između klijenta i poslužitelja. Ovo je hakerima dalo uvid u stvari poput lozinki i kolačića sesije, koji su mali dijelovi podataka koje poslužitelj vam šalje nakon što se prijavite, a vaš preglednik šalje natrag svaki put kada nešto učinite kako biste dokazali da jest vas. A ako je greška zahvatila financijsku stranicu, možda su viđene druge osjetljive informacije koje ste prosljeđivali mrežom, poput podataka o kreditnoj kartici ili poreznih podataka.

Preporučeni videozapisi

Kako se internet može najbolje zaštititi od katastrofalnih grešaka poput ove? Imamo nekoliko ideja.

Da, potrebne su vam sigurnije lozinke: Evo kako ih napraviti

U redu, bolje lozinke ne bi spriječile sljedeći Heartbleed, ali možda će vas jednog dana spasiti od hakiranja. Mnogi su ljudi jednostavno loši u stvaranju sigurnih lozinki.

Sve ste već čuli: nemojte koristiti "password1", "password2" itd. Većina lozinki nema dovoljno onoga što se zove entropija - definitivno jesu ne slučajni i oni htjeti biti pogoden ako napadač ikad dobije priliku za mnogo nagađanja, bilo tako što će ometati uslugu ili (vjerojatnije) krađa hash-ova zaporki - matematičke derivacije zaporki koje se mogu provjeriti, ali ne i vratiti u original lozinka.

Što god radili, nemojte koristiti istu lozinku na više od jednog mjesta.

Mnogi pružatelji usluga pristupaju ovom problemu tako da od korisnika traže zaporke određene duljine koje sadrže interpunkcijske znakove i brojeve kako bi pokušali povećati entropiju. Međutim, tužna je stvarnost da ovakva pravila samo malo pomažu. Bolja opcija su dugačke fraze stvarnih, nezaboravnih riječi - ono što je postalo poznato kao lozinka za "ispravnu spajalicu za konjske baterije", u čast ovaj XKCD strip objašnjavajući koncept. Nažalost, možete (kao i ja) naići na pružatelje usluga koji vam neće dopustiti korištenje takvih zaporki. (Da, postoje financijske institucije koje vas ograničavaju na 10 znakova. Ne, ne znam što puše.)

Softver za upravljanje lozinkama ili usluge koje koriste end-to-end enkripciju također mogu pomoći. KeePass je dobar primjer prvog; LastPass ovog posljednjeg. Dobro čuvajte svoju e-poštu, jer se može koristiti za poništavanje većine vaših lozinki. I što god radili, nemojte koristiti istu lozinku na više od jednog mjesta - samo tražite probleme.

Web stranice moraju implementirati jednokratne lozinke

OTP je kratica za "jednokratnu lozinku" i možda je već koristite ako imate postavljenu web stranicu/uslugu koja od vas zahtijeva Google autentifikator. Većina ovih autentifikatora (uključujući i Googleove) koristi internetski standard koji se zove TOTP ili Time-based One-Time Password, koji je ovdje opisan.

Što je TOTP? Ukratko, web mjesto na kojem se nalazite generira tajni broj koji se jednom prosljeđuje vašem programu za provjeru autentičnosti, obično putem QR kod. U varijanti koja se temelji na vremenu, novi šesteroznamenkasti broj generira se iz tog tajnog broja svakih 30 sekundi. Web stranica i klijent (vaše računalo) ne moraju ponovno komunicirati; brojevi se jednostavno prikazuju na vašem autentifikatoru, a vi ih dostavljate web-mjestu prema zahtjevu u kombinaciji s vašom lozinkom i ušli ste. Postoji i varijanta koja funkcionira slanjem istih kodova putem tekstualne poruke.

Android aplikacija LastPass
Android aplikacija LastPass

Prednosti TOTP-a: Čak i ako bi Heartbleed ili sličan bug rezultirao otkrivanjem vaše lozinke i broja na vašem autentifikatoru, web-mjesto koje ste interakcija s je gotovo sigurno već označila taj broj kao iskorišten i ne može se ponovno koristiti—i ionako će biti nevažeći u roku od 30 sekundi. Ako web mjesto već ne nudi ovu uslugu, vjerojatno to može učiniti relativno lako, a ako imate gotovo bilo koji pametni telefon, možete pokrenuti autentifikator. Malo je nezgodno koristiti se telefonom za prijavu, naravno, ali sigurnosna korist za bilo koju uslugu do koje vam je stalo čini to isplativim.

Rizici TOTP-a: Provala u server a drugačiji način mogao rezultirati otkrivanjem tajnog broja, omogućujući napadaču da stvori vlastiti autentifikator. Ali ako koristite TOTP u kombinaciji s lozinkom koja nije pohranjena na web-mjestu - većina dobrih pružatelja usluga pohranjuje hash koji je snažno otporan na njegovo obrnuto inženjerstvo—tada je između njih dvoje vaš rizik velik spuštena.

Snaga klijentskih certifikata (i što oni jesu)

Vjerojatno nikada niste čuli za klijentske certifikate, ali oni zapravo postoje jako dugo (naravno, u godinama interneta). Razlog zašto vjerojatno niste čuli za njih je taj što ih je teško nabaviti. Daleko je lakše natjerati korisnike da odaberu zaporku, tako da samo visokosigurnosne stranice obično koriste certifikate.

Što je certifikat klijenta? Certifikati klijenata dokazuju da ste osoba za koju tvrdite da jeste. Sve što trebate učiniti je instalirati ga (a jedan radi na mnogim web-mjestima) u vašem pregledniku, a zatim odabrati da ga koristite kada web-mjesto želi da se autentifikujete. Ovi su certifikati bliski rođaci SSL certifikata koje web stranice koriste za identifikaciju na vašem računalu.

Najučinkovitiji način na koji web stranica može zaštititi vaše podatke jest da ih uopće nikada ne posjeduje.

Prednosti certifikata klijenata: Bez obzira na koliko se stranica prijavite s klijentskim certifikatom, moć matematike je na vašoj strani; nitko neće moći koristiti taj isti certifikat da bi se pretvarao da ste vi, čak i ako promatra vašu sesiju.

Rizici certifikata klijenata: Primarni rizik certifikata klijenta je da netko može provaliti tvoje računalo i ukrasti ga, ali postoje mjere za ublažavanje tog rizika. Još jedan potencijalni problem je da tipični klijentski certifikati nose neke podatke o identitetu koje možda ne želite otkriti svakom mjestu koje koristite. Iako klijentski certifikati postoje oduvijek, radna podrška postoji na web poslužitelju softvera, još uvijek ima puno posla na strani pružatelja usluga i na strani preglednika oni rade dobro. Budući da se tako rijetko koriste, dobivaju malo pažnje u razvoju.

Najvažnije: end-to-end enkripcija

Najučinkovitiji način na koji web stranica može zaštititi vaše podatke jest da ih uopće nikada ne posjeduje - barem ne verziju koju može čitati. Ako web stranica može čitati vaše podatke, napadač s dovoljnim pristupom može čitati vaše podatke. Zbog toga volimo end-to-end enkripciju (E2EE).

Što je end-to-end enkripcija? To znači da ti šifrirati podatke na vašoj strani, i to ostaje šifriran dok ne stigne do osobe kojoj ga namjeravate ili vam se ne vrati.

Prednosti E2EE: End-to-end enkripcija već je implementirana u nekoliko usluga, poput mrežnih usluga sigurnosnog kopiranja. Postoje i njegove slabije verzije u nekim servisima za razmjenu poruka, posebno onima koje su se pojavile nakon Snowdenovih otkrića. Međutim, web stranicama je teško izvršiti end-to-end enkripciju iz dva razloga: možda će morati vidjeti vaše podatke kako bi pružile svoju uslugu, a web-preglednici su užasni u izvođenju E2EE. Ali u doba aplikacija za pametne telefone, end-to-end enkripcija je nešto što se može i treba raditi češće. Većina aplikacija danas ne koristi E2EE, ali nadamo se da ćemo ga ubuduće više koristiti. Ako vaše aplikacije ne koriste E2EE za vaše osjetljive podatke, trebali biste se žaliti.

Rizici od E2EE: Da bi end-to-end enkripcija funkcionirala, mora se provoditi u cijelosti — ako aplikacija ili web-mjesto to radi samo polovično, cijela se kula od karata može srušiti. Jedan dio nešifriranih podataka ponekad se može koristiti za pristup ostalima. Sigurnost je igra najslabije karike; samo jedna karika u lancu ne smije ga prekinuti.

I što sad?

Očito, nema puno toga što vi, kao korisnik, možete kontrolirati. Bit ćete sretni ako pronađete uslugu koja koristi jednokratne lozinke s autentifikatorom. Ali svakako biste trebali razgovarati s web-mjestima i aplikacijama koje koristite i dati im do znanja da shvaćate pogreške u softveru i mislite da bi trebali ozbiljnije shvatiti sigurnost, a ne samo se oslanjati na nju lozinke.

Ako više Interneta bude koristilo ove napredne sigurnosne metode, možda sljedeći put dođe do softverske katastrofe Heartbleeda—i tamo htjeti biti, na kraju - nećemo morati toliko paničariti.

[Slika je ustupljena ljubaznošću kosa5/Shutterstock]