Heartbleed Fallout: 4 módszer az újabb katasztrófa megelőzésére

hacker

Csalódott a Heartbleed csapadékától? Nem vagy egyedül. A világ legnépszerűbb SSL-könyvtárának apró hibája hatalmas lyukakat szúrt ki kommunikáció mindenféle felhő alapú weboldallal, alkalmazással és szolgáltatással – és a lyukak még csak nem is foltozva még.

A Heartbleed hiba lehetővé tette a támadók számára, hogy lefejtsék az OpenSSL snoop-ellenálló burkolatát, és betekintsenek az ügyfél és a szerver közötti kommunikációba. Ezáltal a hackerek bepillantást engedtek olyan dolgokra, mint a jelszavak és a munkamenet-sütik, amelyek kis adatdarabok, amelyeket a a szerver elküldi Önt a bejelentkezés után, és a böngészője visszaküld minden alkalommal, amikor valamit megtesz annak bizonyítására te. És ha a hiba egy pénzügyi webhelyet érintett, akkor előfordulhat, hogy más kényes információkat is továbbított a neten, például hitelkártya- vagy adóinformációkat.

Ajánlott videók

Hogyan védheti meg magát az internet a legjobban az ehhez hasonló katasztrofális hibák ellen? Van néhány ötletünk.

Igen, biztonságosabb jelszavakra van szüksége: a következőképpen készítheti el őket

Oké, a jobb jelszavak nem akadályozzák meg a következő Heartbleed-et, de megóvhatják attól, hogy egy napon feltörjék. Sokan szörnyűek a biztonságos jelszavak létrehozásában.

Hallott már mindent: ne használja a „jelszó1”, „jelszó2” stb. A legtöbb jelszóban nem elég az úgynevezett entrópia – határozottan az nem véletlenszerű és ők akarat kitalálható, ha egy támadónak valaha is lehetősége nyílik arra, hogy sok tippet tegyen, akár a szolgáltatás kalapálásával, akár (valószínűbb) a jelszókivonatok ellopása – a jelszavak matematikai levezetése, amely ellenőrizhető, de nem fordítható vissza az eredetire Jelszó.

Bármit is csinál, ne használja ugyanazt a jelszót több helyen.

Sok szolgáltató úgy közelíti meg ezt a problémát, hogy megköveteli a felhasználóktól, hogy bizonyos hosszúságú, írásjeleket és számokat tartalmazó jelszavakkal próbálkozzanak az entrópia növelése érdekében. A szomorú valóság azonban az, hogy az ilyen szabályok csak egy kicsit segítenek. Jobb megoldás a tényleges, emlékezetes szavak hosszú kifejezései – ez a „helyes lóelem-kapcsos” jelszó, tiszteletére ez az XKCD képregény a fogalom magyarázata. Sajnos előfordulhat (mint én) olyan szolgáltatókba, amelyek nem engedik meg az ilyen jelszavak használatát. (Igen, vannak pénzintézetek, amelyek legfeljebb 10 karaktert írnak le. Nem, nem tudom, mit szívnak.)

A végpontok közötti titkosítást használó jelszókezelő szoftverek vagy szolgáltatások is segíthetnek. KeePass jó példa az előbbire; LastPass az utóbbiból. Ügyeljen e-mailjeire, mivel a legtöbb jelszava visszaállítására használható. És bármit is tesz, ne használja ugyanazt a jelszót több helyen – csak bajt kér.

A webhelyeknek egyszeri jelszavakat kell alkalmazniuk

Az OTP az „egyszeri jelszó” rövidítése, és már használhatja, ha olyan webhelyen/szolgáltatásban van beállítva, amely megköveteli Google Authenticator. A legtöbb ilyen hitelesítő (beleértve a Google-t is) a TOTP nevű internetes szabványt vagy időalapú egyszeri jelszót használja, ami itt le van írva.

Mi az a TOTP? Dióhéjban, a webhely, amelyen tartózkodik, létrehoz egy titkos számot, amelyet egyszer továbbít a hitelesítő programnak, általában egy QR-kód. Az időalapú variációban a titkos számból 30 másodpercenként egy új hatjegyű szám generálódik. A webhelynek és a kliensnek (az Ön számítógépének) nem kell újra kommunikálnia; A számok egyszerűen megjelennek a hitelesítőn, és Ön megadja azokat a webhelynek a jelszóval együtt, és már kész is. Van egy olyan változat is, amely úgy működik, hogy ugyanazokat a kódokat szöveges üzenetben küldi el.

LastPass Android alkalmazás
A LastPass Android-alkalmazása

A TOTP előnyei: Még akkor is, ha a Heartbleed vagy egy hasonló hiba a jelszavának és a hitelesítőn szereplő számnak a felfedését eredményezné, az Ön webhelye -vel való interakció szinte biztosan már használtként jelölte meg ezt a számot, és nem használható újra – és 30 másodpercen belül úgyis érvénytelen lesz. Ha egy webhely még nem kínálja ezt a szolgáltatást, akkor valószínűleg viszonylag könnyen megteheti, és ha gyakorlatilag bármilyen okostelefonja van, futtathat hitelesítőt. Kicsit kényelmetlen a telefonjával való bejelentkezéshez, megadva, de az Önt érdeklő szolgáltatások biztonsági előnye megéri.

A TOTP kockázatai: Szerverbe való betörés a különböző Ez a titkos szám felfedését eredményezheti, lehetővé téve a támadó számára, hogy létrehozza saját hitelesítőjét. De ha a TOTP-t olyan jelszóval együtt használja, amelyet nem a webhely tárol, a legtöbb jó szolgáltató tárol Hash, amely erősen ellenáll a visszafejtéssel szemben – akkor kettőjük között nagy a kockázat leeresztett.

Az ügyféltanúsítványok ereje (és mik azok)

Valószínűleg még soha nem hallott az ügyféltanúsítványokról, de valójában nagyon régóta léteznek (természetesen az internetes években). Valószínűleg azért nem hallott róluk, mert nehéz beszerezni őket. Sokkal egyszerűbb rávenni a felhasználókat, hogy válasszanak ki egy jelszót, így csak a fokozott biztonságú webhelyek használnak tanúsítványokat.

Mi az az ügyféltanúsítvány? Az ügyféltanúsítványok igazolják, hogy Ön az a személy, akinek állítja magát. Mindössze annyit kell tennie, hogy telepíti (és az egyik számos webhelyen működik) a böngészőjében, majd válassza a használatát, amikor egy webhely hitelesítést kíván. Ezek a tanúsítványok közeli rokonai azoknak az SSL-tanúsítványoknak, amelyekkel a webhelyek azonosítják magukat az Ön számítógépén.

Egy webhely a leghatékonyabb módja annak, hogy megvédje az adatait, ha először soha nem lesz a birtokában.

Az ügyféltanúsítványok előnyei: Nem számít, hány webhelyre jelentkezik be ügyféltanúsítvánnyal, a matematika ereje az Ön oldalán áll; senki sem fogja tudni használni ugyanazt a tanúsítványt, hogy úgy tegyen, mintha Ön lenne, még akkor sem, ha megfigyeli a munkamenetét.

Az ügyféltanúsítványokkal kapcsolatos kockázatok: Az ügyféltanúsítvány elsődleges kockázata, hogy valaki betörhet a te számítógépet, és ellopja, de ennek a kockázatnak vannak enyhítései. Egy másik lehetséges probléma az, hogy a tipikus ügyféltanúsítványok bizonyos identitásinformációkat tartalmaznak, amelyeket esetleg nem kíván minden használt webhelynek felfedni. Bár az ügyféltanúsítványok örökké léteztek, és a webszerveren működik a támogatás szoftvert, még rengeteg munka vár mind a szolgáltatók, mind a böngészők oldalán dolgoznak jól. Mivel olyan ritkán használják őket, kevés fejlesztési figyelmet kapnak.

A legfontosabb: Végpontok közötti titkosítás

Egy webhely a leghatékonyabb módja annak, hogy megvédje az adatait, ha először soha nem lesz a birtokában – legalábbis olyan verzió, amelyet olvasni tud. Ha egy webhely be tudja olvasni az Ön adatait, egy megfelelő hozzáféréssel rendelkező támadó is elolvashatja az adatait. Ezért szeretjük a végpontok közötti titkosítást (E2EE).

Mi az a végpontok közötti titkosítás? Ez azt jelenti, hogy te titkosít az Ön oldalán lévő adatokat, és azt marad titkosítva, amíg el nem éri azt a személyt, akinek szánja, vagy vissza nem kapja.

Az E2EE előnyei: A végpontok közötti titkosítást néhány szolgáltatás már megvalósította, például az online biztonsági mentési szolgáltatások. Vannak ennek gyengébb verziói is egyes üzenetküldő szolgáltatásokban, különösen azokban, amelyek a Snowden-kinyilatkoztatások után bukkantak fel. A webhelyek számára azonban nehéz végpontok közötti titkosítást végrehajtani két okból: előfordulhat, hogy látniuk kell az Ön adatait, hogy szolgáltatást nyújthassanak, és a webböngészők rosszul teljesítik az E2EE-t. Az okostelefon-alkalmazások korában azonban a végpontok közötti titkosítást gyakrabban lehet és kell is végezni. A legtöbb alkalmazás ma nem használja az E2EE-t, de reméljük, hogy a jövőben még többet fogunk látni belőle. Ha alkalmazásai nem E2EE-t használnak az érzékeny adatokhoz, panaszkodnia kell.

Az E2EE kockázatai: Ahhoz, hogy a végpontok közötti titkosítás működjön, mindenhol meg kell tenni – ha egy alkalmazás vagy webhely csak félvállról teszi ezt, az egész kártyavár összeomolhat. Egy-egy titkosítatlan adat néha felhasználható a többihez való hozzáféréshez. A biztonság a leggyengébb láncszemű játék; csak egy láncszem nem szakíthatja meg azt.

Akkor most mi legyen?

Nyilvánvaló, hogy felhasználóként nem sok mindent irányíthat. Szerencsés lesz, ha talál egy szolgáltatást, amely egyszeri jelszavakat használ hitelesítővel. De mindenképpen beszélnie kell az Ön által használt webhelyekkel és alkalmazásokkal, és tudatnia kell velük, hogy hibákat észlel szoftverekben előfordulnak, és úgy gondolja, hogy komolyabban kellene venniük a biztonságot, nem pedig egyszerűen ráhagyatkozniuk jelszavakat.

Ha a hálózat több része használja ezeket a fejlett biztonsági módszereket, akkor legközelebb Heartbleed-méretű szoftverkatasztrófa következik – és ott akarat végül is – nem kell annyira pánikba esnünk.

[A kép jóvoltából kasza5/Shutterstock]