იმედგაცრუებული ხართ Heartbleed-ის აფეთქებით? Შენ არ ხარ მარტო. მსოფლიოში ყველაზე პოპულარულ SSL ბიბლიოთეკაში არსებულმა პატარა შეცდომამ უზარმაზარი ხვრელები გაუკეთა ჩვენს უსაფრთხოებას კომუნიკაცია ყველა სახის ღრუბელზე დაფუძნებულ ვებსაიტებთან, აპებთან და სერვისებთან - და ხვრელები არც კი არის ყველა ჯერ შეკერილი.
Heartbleed-ის შეცდომა თავდამსხმელებს საშუალებას აძლევდა დაეშვათ OpenSSL-ის სნოოპ რეზისტენტული საფარი და დაათვალიერეს კლიენტსა და სერვერს შორის კომუნიკაცია. ამან ჰაკერებს გადახედეს ისეთი რამ, როგორიც არის პაროლები და სესიის ქუქიები, რომლებიც მცირე ზომის მონაცემებია სერვერი გამოგიგზავნით სისტემაში შესვლის შემდეგ და თქვენი ბრაუზერი გიგზავნით უკან ყოველ ჯერზე, როცა რაიმეს აკეთებთ, რათა დაამტკიცოთ ეს შენ. და თუ შეცდომა გავლენას მოახდენდა ფინანსურ საიტზე, სხვა სენსიტიური ინფორმაცია, რომელსაც თქვენ გადიოდით ქსელში, როგორიცაა საკრედიტო ბარათი ან საგადასახადო ინფორმაცია, შეიძლება ნანახი ყოფილიყო.
რეკომენდებული ვიდეოები
როგორ შეუძლია ინტერნეტს მაქსიმალურად დაიცვას თავი მსგავსი კატასტროფული შეცდომებისგან? ჩვენ გვაქვს რამდენიმე იდეა.
დიახ, გჭირდებათ უფრო უსაფრთხო პაროლები: აი, როგორ გააკეთოთ ისინი
კარგი, ასე რომ, უკეთესი პაროლები ხელს არ შეუშლის მომდევნო Heartbleed-ს, მაგრამ მათ შეიძლება ოდესმე გიშველონ გატეხვისგან. ბევრი ადამიანი უბრალოდ საშინელია უსაფრთხო პაროლების შექმნისას.
ეს ყველაფერი ადრე გსმენიათ: არ გამოიყენოთ „პაროლი1“, „პაროლი2“ და ა.შ. პაროლების უმეტესობას არ აქვს საკმარისი ის, რასაც ენტროპია ჰქვია - ისინი ნამდვილად არიან არა შემთხვევითი და ისინი ნება გამოიცანით, თუ თავდამსხმელს ოდესმე ექნება შესაძლებლობა გამოიცნოს ბევრი გამოცნობა, სერვისის ჩაქუჩით ან (უფრო სავარაუდოა) პაროლის ჰეშების მოპარვა - პაროლების მათემატიკური წარმოებულები, რომლებიც შეიძლება შემოწმდეს, მაგრამ არა თავდაპირველში დაბრუნება პაროლი.
რაც არ უნდა გააკეთოთ, არ გამოიყენოთ ერთი და იგივე პაროლი ერთზე მეტ ადგილას.
პაროლის მართვის პროგრამული უზრუნველყოფა ან სერვისები, რომლებიც იყენებენ ბოლოდან ბოლომდე დაშიფვრას, ასევე დაგეხმარებათ. KeePass პირველის კარგი მაგალითია; LastPass ამ უკანასკნელის. კარგად დაიცავით თქვენი ელფოსტა, რადგან ის შეიძლება გამოყენებულ იქნას თქვენი პაროლების უმეტესობის აღდგენისთვის. და რაც არ უნდა გააკეთოთ, ნუ გამოიყენებთ ერთსა და იმავე პაროლს ერთზე მეტ ადგილას - თქვენ უბრალოდ ითხოვთ უბედურებას.
ვებსაიტებმა უნდა დანერგონ ერთჯერადი პაროლები
OTP ნიშნავს „ერთჯერად პაროლს“ და შეგიძლიათ უკვე გამოიყენოთ იგი, თუ დაყენებული გაქვთ ვებსაიტი/სერვისი, რომელიც მოითხოვს თქვენ გამოყენებას Google Authenticator. ამ ავთენტიფიკატორების უმეტესობა (მათ შორის Google-ის) იყენებს ინტერნეტ სტანდარტს, სახელწოდებით TOTP, ან დროზე დაფუძნებულ ერთჯერად პაროლს, რომელიც აქ არის აღწერილი.
რა არის TOTP? მოკლედ, ვებსაიტი, რომელზეც იმყოფებით, ქმნის საიდუმლო ნომერს, რომელიც ერთხელ გადაეცემა თქვენს ავთენტიფიკატორ პროგრამას, როგორც წესი, ქრ კოდი. დროზე დაფუძნებული ვარიაციით, ახალი ექვსნიშნა რიცხვი წარმოიქმნება ამ საიდუმლო ნომრიდან ყოველ 30 წამში. ვებსაიტს და კლიენტს (თქვენს კომპიუტერს) არ სჭირდება ხელახლა კომუნიკაცია; ნომრები უბრალოდ ნაჩვენებია თქვენს ავთენტიფიკატორზე და თქვენ აწვდით მათ ვებსაიტს, როგორც მოთხოვნილი გაქვთ თქვენს პაროლთან ერთად, და თქვენ შედიხართ. ასევე არსებობს ვარიაცია, რომელიც მუშაობს იმავე კოდების გაგზავნით თქვენთან ტექსტური შეტყობინების საშუალებით.
TOTP-ის უპირატესობები: მაშინაც კი, თუ Heartbleed-მა ან მსგავსმა შეცდომამ გამოიწვიოს როგორც თქვენი პაროლის, ასევე ნომრის გამჟღავნება თქვენს ავთენტიფიკატორზე, ვებსაიტზე, რომელსაც თქვენ ხართ ურთიერთქმედებამ თითქმის უკვე მოინიშნა ეს რიცხვი, როგორც გამოყენებული და მისი ხელახლა გამოყენება შეუძლებელია — და ის მაინც არასწორი იქნება 30 წამში. თუ ვებსაიტი უკვე არ გვთავაზობს ამ სერვისს, მას შეუძლია ამის გაკეთება შედარებით მარტივად და თუ თქვენ გაქვთ პრაქტიკულად ნებისმიერი სმარტფონი, შეგიძლიათ გაუშვათ ავთენტიფიკატორი. ოდნავ მოუხერხებელია თქვენი ტელეფონის კონსულტაცია სისტემაში შესვლისთვის, მაგრამ უსაფრთხოების სარგებელი ნებისმიერი სერვისისთვის, რომელიც თქვენ აინტერესებთ, ღირს.
TOTP-ის რისკები: სერვერში შეჭრა ა განსხვავებული გზამ შეიძლება გამოიწვიოს საიდუმლო ნომრის გამჟღავნება, რაც საშუალებას მისცემს თავდამსხმელს შექმნას საკუთარი ავთენტიფიკატორი. მაგრამ თუ თქვენ იყენებთ TOTP პაროლთან ერთად, რომელიც არ არის შენახული ვებსაიტის მიერ - საუკეთესო პროვაიდერები ინახავენ ჰეში, რომელიც ძლიერ მდგრადია მისი უკუინჟინერიის მიმართ - მაშინ ამ ორ მათგანს შორის თქვენი რისკი დიდია ჩამოწია.
კლიენტის სერთიფიკატების ძალა (და რა არის ისინი)
თქვენ ალბათ არასოდეს გსმენიათ კლიენტის სერთიფიკატების შესახებ, მაგრამ ისინი რეალურად ძალიან დიდი ხანია არსებობს (ინტერნეტის წლებში, რა თქმა უნდა). მიზეზი, რის გამოც თქვენ ალბათ არ გსმენიათ მათ შესახებ არის ის, რომ მათი მიღება რთულია. ბევრად უფრო ადვილია მომხმარებლების უბრალოდ პაროლის არჩევა, ამიტომ მხოლოდ მაღალი უსაფრთხოების საიტები იყენებენ სერთიფიკატებს.
რა არის კლიენტის სერტიფიკატი? კლიენტის სერთიფიკატები ადასტურებს, რომ თქვენ ხართ ის ადამიანი, რომელსაც ამტკიცებთ, რომ ხართ. თქვენ მხოლოდ უნდა დააინსტალიროთ ის (და ერთი მუშაობს ბევრ საიტზე) თქვენს ბრაუზერში, შემდეგ აირჩიოთ მისი გამოყენება, როდესაც საიტს სურს, რომ დაადასტუროთ ავტორიზაცია. ეს სერთიფიკატები არის SSL სერთიფიკატების ახლო ბიძაშვილი, რომელსაც ვებსაიტები იყენებენ თქვენი კომპიუტერის იდენტიფიკაციისთვის.
ვებსაიტს თქვენი მონაცემების დაცვის ყველაზე ეფექტური გზაა ის, რომ თავიდანვე არასოდეს გქონდეთ ისინი.
კლიენტის სერთიფიკატების უპირატესობები: რამდენ საიტზეც არ უნდა შეხვიდეთ კლიენტის სერთიფიკატით, მათემატიკის ძალა თქვენს მხარესაა; ვერავინ შეძლებს გამოიყენოს იგივე სერტიფიკატი, რათა თავი მოგაჩვენოს, თუნდაც ის დააკვირდეს თქვენს სესიას.
კლიენტის სერთიფიკატების რისკები: კლიენტის სერტიფიკატის ძირითადი რისკი არის ის, რომ ვინმემ შეიძლება შეიჭრას შენი კომპიუტერი და მოიპარეთ, მაგრამ არსებობს ამ რისკის შერბილება. კიდევ ერთი პოტენციური პრობლემა არის ის, რომ ტიპიური კლიენტის სერთიფიკატები შეიცავს პირადობის გარკვეულ ინფორმაციას, რომლის გამჟღავნებაც არ გსურთ ყველა საიტზე, რომელსაც იყენებთ. მიუხედავად იმისა, რომ კლიენტის სერთიფიკატები სამუდამოდ არსებობდა და სამუშაო მხარდაჭერა არსებობს ვებ სერვერზე პროგრამული უზრუნველყოფა, ჯერ კიდევ ბევრი სამუშაოა გასაკეთებელი როგორც სერვისის პროვაიდერების, ასევე ბრაუზერების მხრიდან ისინი მუშაობენ კარგად. იმის გამო, რომ ისინი ძალიან იშვიათად იყენებენ, ისინი ნაკლებად იქცევიან განვითარების ყურადღებას.
რაც მთავარია: ბოლოდან ბოლომდე დაშიფვრა
ვებსაიტს თქვენი მონაცემების დაცვის ყველაზე ეფექტური გზაა ის, რომ თავიდანვე არასოდეს გქონდეთ მისი მფლობელობა – ყოველ შემთხვევაში, არა ვერსია, რომლის წაკითხვაც შეუძლია. თუ ვებსაიტს შეუძლია წაიკითხოს თქვენი მონაცემები, საკმარისი წვდომის მქონე თავდამსხმელს შეუძლია წაიკითხოს თქვენი მონაცემები. სწორედ ამიტომ მოგვწონს ბოლოდან ბოლომდე დაშიფვრა (E2EE).
რა არის ბოლოდან ბოლომდე დაშიფვრა? ეს ნიშნავს, რომ თქვენ დაშიფვრა მონაცემები თქვენს ბოლოზე და ის რჩება დაშიფრულია მანამ, სანამ არ მიაღწევს იმ პირს, რომლისთვისაც აპირებთ მას, ან დაგიბრუნდებათ.
E2EE-ს უპირატესობები: ბოლოდან ბოლომდე დაშიფვრა უკვე დანერგილია რამდენიმე სერვისში, როგორიცაა ონლაინ სარეზერვო სერვისები. ასევე არის მისი სუსტი ვერსიები ზოგიერთ მესიჯის სერვისში, განსაკუთრებით ისეთებში, რომლებიც გამოჩნდა სნოუდენის გამოცხადების შემდეგ. ვებსაიტებს უჭირთ ბოლომდე დაშიფვრის გაკეთება, თუმცა, ორი მიზეზის გამო: მათ შეიძლება დასჭირდეთ თქვენი მონაცემების ნახვა მათი სერვისის უზრუნველსაყოფად და ვებ ბრაუზერები საშინლად ასრულებენ E2EE-ს. მაგრამ სმარტფონის აპლიკაციის ეპოქაში, ბოლოდან ბოლომდე დაშიფვრა არის ის, რაც შეიძლება და უნდა გაკეთდეს უფრო ხშირად. აპლიკაციების უმეტესობა დღეს არ იყენებს E2EE-ს, მაგრამ ვიმედოვნებთ, რომ შემდგომში უფრო მეტს ვიხილავთ. თუ თქვენი აპლიკაციები არ იყენებს E2EE-ს თქვენი მგრძნობიარე მონაცემებისთვის, უნდა უჩივლოთ.
E2EE-ის რისკები: იმისათვის, რომ ბოლომდე დაშიფვრა იმუშაოს, ის უნდა განხორციელდეს მთელს დაფაზე - თუ აპლიკაცია ან ვებსაიტი ამას მხოლოდ ნახევრად აკეთებს, ბარათების მთელი სახლი შეიძლება დაიშალოს. დაშიფრული მონაცემების ერთი ნაწილი ზოგჯერ შეიძლება გამოყენებულ იქნას დანარჩენზე წვდომის მისაღებად. უსაფრთხოება ყველაზე სუსტი რგოლის თამაშია; ჯაჭვის მხოლოდ ერთმა რგოლმა უნდა ვერ გატეხოს იგი.
მაშ, ახლა რა?
ცხადია, რომ თქვენ, როგორც მომხმარებელს, ბევრი რამის გაკონტროლება არ შეგიძლიათ. გაგიმართლებთ იპოვით სერვისს, რომელიც იყენებს ერთჯერად პაროლებს ავთენტიფიკატორით. მაგრამ თქვენ აუცილებლად უნდა ესაუბროთ ვებსაიტებსა და აპებს, რომლებსაც იყენებთ და აცნობეთ მათ, რომ ხვდებით შეცდომებს პროგრამულ უზრუნველყოფაში ხდება და თქვენ ფიქრობთ, რომ მათ უფრო სერიოზულად უნდა მოეკიდონ უსაფრთხოებას და არ დაეყრდნონ უბრალოდ პაროლები.
თუ ქსელის მეტი ნაწილი იყენებს უსაფრთხოების ამ მოწინავე მეთოდებს, შესაძლოა შემდეგ ჯერზე მოხდეს Heartbleed-ის მასშტაბის პროგრამული კატასტროფა - და იქ ნება იყოს, საბოლოოდ - ჩვენ არ მოგვიწევს ამდენი პანიკა.
[სურათი თავაზიანობის ნაკაწრი5/Shutterstock]
