Nusivylė dėl „Heartbleed“ pasekmių? Tu ne vienas. Mažytė klaida populiariausioje pasaulyje SSL bibliotekoje išvėrė didžiules skylutes mūsų saugoje. ryšiai su visomis debesimis pagrįstomis svetainėmis, programėlėmis ir paslaugomis – o spragų dar ne visos dar pataisyta.
„Heartbleed“ klaida leido užpuolikams nuplėšti nuo šnipinėjimo atsparų OpenSSL pamušalą ir pažvelgti į kliento ir serverio ryšį. Tai leido įsilaužėliams pažvelgti į tokius dalykus kaip slaptažodžiai ir seanso slapukai, kurie yra mažos duomenų dalys, kurias serveris siunčia jums prisijungus, o jūsų naršyklė siunčia atgal kiekvieną kartą, kai ką nors darote, kad įrodytų, kad taip yra tu. Ir jei klaida paveikė finansinę svetainę, galėjo būti pastebėta kita slapta informacija, kurią perdavėte per tinklą, pvz., kredito kortelės arba mokesčių informacija.
Rekomenduojami vaizdo įrašai
Kaip internetas gali geriausiai apsisaugoti nuo tokių katastrofiškų klaidų? Turime keletą idėjų.
Taip, jums reikia saugesnių slaptažodžių: štai kaip juos sukurti
Gerai, kad geresni slaptažodžiai neapsaugotų nuo kito „Heartbleed“, bet jie gali išgelbėti jus nuo įsilaužimo kada nors. Daugelis žmonių tiesiog siaubingai moka kurti saugius slaptažodžius.
Visa tai girdėjote anksčiau: nenaudokite „slaptažodis1“, „slaptažodis2“ ir kt. Daugeliui slaptažodžių nepakanka to, kas vadinama entropija – jie tikrai yra ne atsitiktiniai ir jie valios atspėti, ar užpuolikas kada nors gaus galimybę daug spėlioti, sumušdamas paslaugą arba (labiau tikėtina) slaptažodžių maišos vagystės – matematiniai slaptažodžių išvedimai, kuriuos galima patikrinti, bet negrįžti į pradinius Slaptažodis.
Kad ir ką darytumėte, nenaudokite to paties slaptažodžio daugiau nei vienoje vietoje.
Taip pat gali padėti slaptažodžių valdymo programinė įranga arba paslaugos, kuriose naudojamas visiškas šifravimas. KeePass yra geras buvusio pavyzdys; LastPass pastarųjų. Gerai saugokite savo el. paštą, nes jį galima naudoti norint iš naujo nustatyti daugumą slaptažodžių. Ir kad ir ką darytumėte, nenaudokite to paties slaptažodžio daugiau nei vienoje vietoje – jūs tik prašote problemų.
Svetainėse reikia įdiegti vienkartinius slaptažodžius
OTP reiškia „vienkartinis slaptažodis“ ir jūs jau galite jį naudoti, jei turite įdiegtą svetainę / paslaugą, kurią reikia naudoti Google Authenticator. Dauguma šių autentifikavimo priemonių (įskaitant „Google“) naudoja interneto standartą, vadinamą TOTP, arba laiko pagrįstą vienkartinį slaptažodį, kuri čia aprašyta.
Kas yra TOTP? Trumpai tariant, svetainė, kurioje lankotės, generuoja slaptą numerį, kuris vieną kartą perduodamas autentifikavimo programai, paprastai per QR kodas. Taikant laiką pagrįstą variantą, iš to slapto skaičiaus kas 30 sekundžių generuojamas naujas šešių skaitmenų skaičius. Svetainei ir klientui (jūsų kompiuteriui) nereikia vėl bendrauti; numeriai tiesiog rodomi jūsų autentifikavimo priemonėje, o jūs pateikiate juos svetainei, kaip reikalaujama, kartu su slaptažodžiu, ir esate. Taip pat yra variantas, kuris veikia siunčiant tuos pačius kodus tekstiniu pranešimu.
TOTP pranašumai: Net jei dėl „Heartbleed“ ar panašios klaidos būtų atskleistas jūsų slaptažodis ir autentifikavimo priemonės numeris, svetainė, kurioje esate sąveikaudamas su beveik neabejotinai jau pažymėjo tą numerį kaip naudotą ir jo nebegalima naudoti – ir vis tiek per 30 sekundžių jis bus negaliojantis. Jei svetainė dar nesiūlo šios paslaugos, ji tikriausiai gali tai padaryti gana nesunkiai, o jei turite praktiškai bet kokį išmanųjį telefoną, galite paleisti autentifikavimo priemonę. Šiek tiek nepatogu pasikonsultuoti su telefonu, kad prisijungtumėte, tačiau tai yra naudinga dėl bet kokios jums svarbios paslaugos saugumo.
TOTP rizika: Įsilaužimas į serverį a skirtinga tokiu būdu gali būti atskleistas slaptasis numeris, leidžiantis užpuolikui sukurti savo autentifikavimo priemonę. Tačiau jei TOTP naudojate kartu su slaptažodžiu, kuris nėra saugomas svetainėje, dauguma gerų paslaugų teikėjų saugo maiša, kuri yra stipriai atspari jos apgręžimui – tada tarp jų abiejų jūsų rizika yra labai didelė nuleistas.
Kliento sertifikatų galia (ir kas jie yra)
Tikriausiai niekada negirdėjote apie klientų sertifikatus, bet jie iš tikrųjų egzistuoja labai ilgą laiką (žinoma, interneto metais). Priežastis, dėl kurios tikriausiai negirdėjote apie juos, yra ta, kad juos sunku gauti. Daug lengviau tiesiog priversti vartotojus pasirinkti slaptažodį, todėl sertifikatus dažniausiai naudoja tik itin saugios svetainės.
Kas yra kliento sertifikatas? Kliento sertifikatai įrodo, kad esate tas asmuo, kuriuo tvirtinate esąs. Viskas, ką jums reikia padaryti, tai įdiegti ją (ir viena veikia daugelyje svetainių) savo naršyklėje, tada pasirinkti ją naudoti, kai svetainė nori, kad jūs autentifikuotų. Šie sertifikatai yra artimi SSL sertifikatų, kuriuos svetainės naudoja identifikuoti save jūsų kompiuteryje, pusbrolis.
Veiksmingiausias būdas, kuriuo svetainė gali apsaugoti jūsų duomenis, yra niekada jų neturėti.
Kliento sertifikatų privalumai: Nesvarbu, kiek svetainių prisijungiate naudodami kliento sertifikatą, matematikos galia yra jūsų pusėje; niekas negalės tuo pačiu sertifikatu apsimesti jumis, net jei stebės jūsų seansą.
Kliento sertifikatų rizika: Pagrindinė kliento sertifikato rizika yra tai, kad kažkas gali įsilaužti tavo kompiuterį ir jį pavogti, tačiau šią riziką galima sumažinti. Kita galima problema yra ta, kad įprastuose klientų sertifikatuose yra tam tikra tapatybės informacija, kurios galbūt nenorėtumėte atskleisti kiekvienai jūsų naudojamai svetainei. Nors kliento sertifikatai egzistuoja amžinai, o žiniatinklio serveryje yra darbo palaikymas programinės įrangos, dar reikia daug nuveikti tiek paslaugų teikėjų, tiek naršyklių pusėse jie dirba gerai. Kadangi jie naudojami labai retai, jiems skiriama mažai dėmesio.
Svarbiausia: šifravimas nuo galo iki galo
Veiksmingiausias būdas, kuriuo svetainė gali apsaugoti jūsų duomenis, yra niekada jų neturėti – bent jau ne tokios versijos, kurią ji gali skaityti. Jei svetainė gali nuskaityti jūsų duomenis, užpuolikas, turintis pakankamą prieigą, gali nuskaityti jūsų duomenis. Štai kodėl mums patinka visiškas šifravimas (E2EE).
Kas yra nuo galo iki galo šifravimas? Tai reiškia, kad jūs užšifruoti jūsų pusėje esantys duomenys, ir tai pasilieka šifruojamas, kol pasieks asmenį, kuriam jį skiriate, arba grįš jums.
E2EE privalumai: Visapusiškas šifravimas jau įdiegtas keliose paslaugose, pvz., internetinėse atsarginės kopijos paslaugose. Kai kuriose pranešimų siuntimo paslaugose taip pat yra silpnesnių jo versijų, ypač tose, kurios atsirado po Snowdeno apreiškimų. Vis dėlto svetainėms sunku atlikti visišką šifravimą dėl dviejų priežasčių: joms gali tekti matyti jūsų duomenis, kad galėtų teikti paslaugas, o žiniatinklio naršyklės siaubingai atlieka E2EE. Tačiau išmaniųjų telefonų programėlės amžiuje nuo galo iki galo šifravimas yra kažkas, ką galima ir reikia atlikti dažniau. Daugelis programų šiandien nenaudoja E2EE, bet tikimės, kad ateityje jos bus daugiau. Jei jūsų programos nenaudoja E2EE jūsų jautriems duomenims, turėtumėte skųstis.
E2EE rizika: Kad visapusiškas šifravimas veiktų, jis turi būti atliktas visur – jei programa ar svetainė tai daro tik nuoširdžiai, visas kortų namelis gali sugriūti. Vieną nešifruotų duomenų dalį kartais galima naudoti norint pasiekti likusius duomenis. Saugumas yra silpniausios grandies žaidimas; tik viena grandinės grandis negali jos nutraukti.
Taigi, kas dabar?
Akivaizdu, kad jūs, kaip vartotojas, galite kontroliuoti nedaug dalykų. Jums pasiseks, kad rasite paslaugą, kuri naudoja vienkartinius slaptažodžius su autentifikatoriumi. Tačiau tikrai turėtumėte pasikalbėti su naudojamomis svetainėmis ir programomis ir pranešti jiems, kad pastebėjote klaidas programinės įrangos atveju, ir jūs manote, kad jie turėtų rimčiau žiūrėti į saugumą, o ne tik pasikliauti slaptažodžius.
Jei daugiau tinklo naudoja šiuos pažangius saugos metodus, galbūt kitą kartą įvyks „Heartbleed“ masto programinės įrangos katastrofa – ir ten valios galų gale mums nereikės tiek panikuoti.
[Paveikslėlio sutikimas dalgis5/Shutterstock]
