מאוכזבים מהנשורת מ-Heartbleed? אתה לא לבד. הבאג הזעיר בספריית ה-SSL הפופולרית ביותר בעולם פתח חורים ענקיים באבטחה העוטפת את תקשורת עם כל מיני אתרים, אפליקציות ושירותים מבוססי ענן - והחורים הם אפילו לא כולם תוקן עדיין.
באג ה-Heartbleed אפשר לתוקפים לקלף את הבטנה העמידה לחטטנות של OpenSSL ולהציץ בתקשורת בין הלקוח לשרת. זה נתן להאקרים מבט על דברים כמו סיסמאות וקובצי Cookie של הפעלה, שהם פיסות נתונים קטנות שהן השרת שולח לך אחרי שאתה מתחבר והדפדפן שלך שולח בחזרה בכל פעם שאתה עושה משהו כדי להוכיח את זה אתה. ואם הבאג השפיע על אתר פיננסי, ייתכן שנראה מידע רגיש אחר שהעברת דרך הרשת, כמו פרטי כרטיס אשראי או מס.
סרטונים מומלצים
איך האינטרנט יכול להגן על עצמו בצורה הטובה ביותר מפני באגים קטסטרופליים כמו זה? יש לנו כמה רעיונות.
כן, אתה צריך סיסמאות בטוחות יותר: הנה איך ליצור אותן
אוקיי, אז סיסמאות טובות יותר לא ימנעו את Heartbleed הבא, אבל הן עשויות להציל אותך מפריצה מתישהו. אנשים רבים פשוט נוראים ביצירת סיסמאות מאובטחות.
שמעתם הכל בעבר: אל תשתמש ב-"סיסמה1", "סיסמה2" וכו'. לרוב הסיסמאות אין מספיק מה שנקרא אנטרופיה - הן בהחלט
לֹא אקראי והם רָצוֹן אפשר לנחש אם תוקף יקבל אי פעם הזדמנות לעשות הרבה ניחושים, על ידי פגיעה בשירות או (סביר יותר) גניבת הגיבובים של הסיסמאות - נגזרות מתמטיות של הסיסמאות שניתן לבדוק אך לא להחזיר אותן למקור סיסמה.לא משנה מה תעשה, אל תשתמש באותה סיסמה ביותר ממקום אחד.
תוכנות או שירותים לניהול סיסמאות המשתמשים בהצפנה מקצה לקצה יכולים גם הם לעזור. KeePass הוא דוגמה טובה לראשון; מעבר אחרון של המכתב. שמרו היטב על האימייל שלכם, מכיוון שניתן להשתמש בו לאיפוס רוב הסיסמאות שלכם. ומה שלא תעשה, אל תשתמש באותה סיסמה ביותר ממקום אחד - אתה רק מבקש צרות.
אתרי אינטרנט צריכים ליישם סיסמאות חד פעמיות
OTP מייצג "סיסמה חד פעמית", וייתכן שכבר תשתמש בה אם הגדרת אתר/שירות שמחייב אותך להשתמש Google Authenticator. רוב המאמתים הללו (כולל של גוגל) משתמשים בתקן אינטרנט הנקרא TOTP, או סיסמה חד פעמית מבוססת זמן, שמתואר כאן.
מה זה TOTP? בקיצור, האתר שבו אתה נמצא מייצר מספר סודי, שמועבר פעם אחת לתוכנית המאמת שלך, בדרך כלל דרך קוד QR. בווריאציה מבוססת זמן, מספר חדש בן שש ספרות נוצר מאותו מספר סודי כל 30 שניות. האתר והלקוח (המחשב שלך) אינם צריכים לתקשר שוב; המספרים פשוט מוצגים על המאמת שלך ואתה מספק אותם לאתר כמתבקש יחד עם הסיסמה שלך, ואתה בפנים. יש גם וריאציה שעובדת על ידי שליחת אותם קודים אליך באמצעות הודעת טקסט.
היתרונות של TOTP: גם אם Heartbleed או באג דומה היו מביאים לחשיפת הסיסמה שלך וגם המספר במאמת שלך, האתר שאתה אינטראקציה עם כמעט בוודאות כבר סימנה את המספר הזה כמשמש ולא ניתן להשתמש בו שוב - והוא יהיה לא חוקי תוך 30 שניות בכל מקרה. אם אתר אינטרנט עדיין לא מציע את השירות הזה, הוא כנראה יכול לעשות זאת בקלות יחסית, ואם יש לך כמעט כל סמארטפון, אתה יכול להפעיל מאמת. זה קצת לא נוח להתייעץ עם הטלפון שלך כדי להיכנס, כמובן, אבל יתרון האבטחה של כל שירות שמעניין אותך עושה את זה שווה את זה.
סיכונים של TOTP: פריצה לשרת א שונה הדרך עלולה לגרום לחשיפת המספר הסודי, מה שיאפשר לתוקף ליצור מאמת משלו. אבל אם אתה משתמש ב-TOTP בשילוב עם סיסמה שאינה מאוחסנת על ידי האתר - רוב הספקים הטובים מאחסנים חשיש שעמיד מאוד בפני הנדסה לאחור - ואז בין שניהם, הסיכון שלך גדול מוּשׁפָל.
הכוח של תעודות לקוח (ומה הם)
סביר להניח שמעולם לא שמעתם על תעודות לקוח, אבל הם למעשה קיימים הרבה מאוד זמן (בשנים אינטרנט, כמובן). הסיבה שכנראה לא שמעתם עליהם היא שהם מטלה. הרבה יותר קל לגרום למשתמשים לבחור סיסמה, כך שרק אתרים בעלי אבטחה גבוהה נוטים להשתמש בתעודות.
מהי תעודת לקוח? תעודות לקוח מוכיחות שאתה האדם שאתה טוען שאתה. כל שעליך לעשות הוא להתקין אותו (ואחד עובד באתרים רבים) בדפדפן שלך, ולאחר מכן לבחור להשתמש בו כאשר אתר כלשהו רוצה שתבצע אימות. אישורים אלו הם בן דוד קרוב של תעודות SSL שאתרי אינטרנט משתמשים בהם כדי להזדהות מול המחשב שלך.
הדרך היעילה ביותר שאתר יכול להגן על הנתונים שלך היא לעולם לא להיות ברשותם מלכתחילה.
יתרונות תעודות לקוח: לא משנה לכמה אתרים תיכנס עם תעודת לקוח, הכוח של המתמטיקה הוא בצד שלך; אף אחד לא יוכל להשתמש באותה תעודה כדי להעמיד פנים שהוא אתה, גם אם הוא יצפה בסשן שלך.
סיכונים של תעודות לקוח: הסיכון העיקרי בתעודת לקוח הוא שמישהו עלול לפרוץ שֶׁלְךָ למחשב ולגנוב אותו, אבל ישנן הקלות לסיכון זה. בעיה פוטנציאלית נוספת היא שתעודות לקוח טיפוסיות נושאות מידע זהות שלא תרצה לחשוף לכל אתר שאתה משתמש בו. למרות שאישורי לקוח קיימים מאז ומתמיד, ותמיכה פועלת קיימת בשרת האינטרנט תוכנה, יש עדיין הרבה עבודה לעשות הן בצד של ספקי השירות והן של הדפדפנים שהם עובדים נו. מכיוון שהם בשימוש כה נדיר, הם מקבלים מעט תשומת לב בפיתוח.
הכי חשוב: הצפנה מקצה לקצה
הדרך היעילה ביותר שאתר יכול להגן על הנתונים שלך היא לעולם לא להיות ברשותם מלכתחילה - לפחות, לא גרסה שהוא יכול לקרוא. אם אתר אינטרנט יכול לקרוא את הנתונים שלך, תוקף עם גישה מספקת יכול לקרוא את הנתונים שלך. זו הסיבה שאנחנו אוהבים הצפנה מקצה לקצה (E2EE).
מהי הצפנה מקצה לקצה? זה אומר שאתה להצפין הנתונים בצד שלך, וזה נשאר מוצפן עד שהוא מגיע לאדם לו אתה מתכוון, או שהוא יחזור אליך.
היתרונות של E2EE: הצפנה מקצה לקצה מיושמת בכמה שירותים כבר, כמו שירותי גיבוי מקוונים. יש גם גרסאות חלשות יותר שלו בחלק משירותי ההודעות, במיוחד אלו שצצו לאחר גילויי סנודן. עם זאת, קשה לאתרים לבצע הצפנה מקצה לקצה, משתי סיבות: ייתכן שהם יצטרכו לראות את הנתונים שלך כדי לספק את השירות שלהם, ודפדפני אינטרנט גרועים בביצוע E2EE. אבל בעידן האפליקציה לסמארטפון, הצפנה מקצה לקצה היא משהו שאפשר וצריך לעשות לעתים קרובות יותר. רוב האפליקציות לא משתמשות ב-E2EE היום, אבל אנחנו מקווים שנראה יותר מזה בהמשך. אם האפליקציות שלך לא משתמשות ב-E2EE עבור הנתונים הרגישים שלך, עליך להתלונן.
סיכונים של E2EE: כדי שההצפנה מקצה לקצה תעבוד, זה חייב להיעשות על פני השטח - אם אפליקציה או אתר עושים זאת רק בחצי לב, כל בית הקלפים עלול לקרוס. לפעמים ניתן להשתמש בחתיכה אחת של נתונים לא מוצפנים כדי לקבל גישה לשאר. אבטחה הוא משחק החוליה החלשה ביותר; רק חוליה אחת בשרשרת חייבת לא לשבור אותה.
אז מה עכשיו?
ברור שאין הרבה שאתה, כמשתמש, יכול לשלוט בו. יהיה לך מזל למצוא שירות שמשתמש בסיסמאות חד פעמיות עם מאמת. אבל אתה בהחלט צריך לדבר עם האתרים והאפליקציות שבהם אתה משתמש ולהודיע להם שאתה מבין באגים בתוכנה קורים, ואתה חושב שהם צריכים להתייחס לאבטחה יותר ברצינות ולא רק להסתמך עליה סיסמאות.
אם יותר מהרשת ישתמשו בשיטות האבטחה המתקדמות הללו, אולי בפעם הבאה תהיה קטסטרופה של תוכנה בקנה מידה של Heartbleed - ושם רָצוֹן להיות, בסופו של דבר - לא נצטרך להיכנס לפאניקה כל כך.
[התמונה באדיבות חרמש5/Shutterstock]
