Vai esat vīlušies par Heartbleed nokrišņiem? Tu neesi viens. Mazā kļūda pasaulē populārākajā SSL bibliotēkā iedūra milzīgus caurumus mūsu drošībā. saziņa ar visu veidu mākoņdatošanas vietnēm, lietotnēm un pakalpojumiem — un caurumi vēl nav visi vēl aizlāpīts.
Heartbleed kļūda ļāva uzbrucējiem noņemt OpenSSL pret snopšanu izturīgo pārklājumu un ieskatīties komunikācijā starp klientu un serveri. Tas ļāva hakeriem aplūkot tādas lietas kā paroles un sesiju sīkfaili, kas ir mazi datu gabali, kas tiek izmantoti serveris nosūta jums pēc pieteikšanās, un jūsu pārlūkprogramma sūta atpakaļ katru reizi, kad kaut ko darāt, lai pierādītu, ka tā ir tu. Un, ja kļūda skāra finanšu vietni, iespējams, tika redzēta cita sensitīva informācija, ko jūs nodevāt caur tīklu, piemēram, kredītkartes vai nodokļu informācija.
Ieteiktie videoklipi
Kā internets var vislabāk aizsargāties pret šādām katastrofālām kļūdām? Mums ir dažas idejas.
Jā, jums ir nepieciešamas drošākas paroles. Lūk, kā tās izveidot
Labi, tāpēc labākas paroles netraucēs nākamajam Heartbleed, taču tās var pasargāt jūs no uzlaušanas kādu dienu. Daudzi cilvēki vienkārši šausmīgi prot izveidot drošas paroles.
Jūs to visu esat dzirdējuši iepriekš: neizmantojiet “password1”, “password2” utt. Lielākajai daļai paroļu nav pietiekami daudz tā, ko sauc par entropiju — tās noteikti ir nē nejauši un viņi gribu uzminēt, ja uzbrucējs kādreiz iegūst iespēju izdarīt daudz minējumu, izmantojot āmuru pakalpojumu vai (visticamāk) paroļu jaucējkodu zagšana — paroļu matemātiski atvasinājumi, kurus var pārbaudīt, bet nevar atgriezt oriģinālā parole.
Lai ko jūs darītu, neizmantojiet vienu paroli vairāk nekā vienā vietā.
Var palīdzēt arī paroļu pārvaldības programmatūra vai pakalpojumi, kas izmanto pilnīgu šifrēšanu. KeePass ir labs piemērs pirmajam; LastPass no pēdējām. Rūpīgi sargājiet savu e-pastu, jo to var izmantot, lai atiestatītu lielāko daļu jūsu paroļu. Un neatkarīgi no tā, ko darāt, neizmantojiet vienu un to pašu paroli vairākās vietās — jūs vienkārši lūdzat problēmas.
Vietnēs ir jāievieš vienreizējās paroles
OTP apzīmē “vienreizēja parole”, un jūs to jau varat izmantot, ja jums ir iestatīta vietne/pakalpojums, kas prasa Google autentifikators. Lielākā daļa šo autentifikatoru (tostarp Google) izmanto interneta standartu, ko sauc par TOTP vai uz laiku balstītu vienreizējo paroli, kas šeit ir aprakstīts.
Kas ir TOTP? Īsumā, vietne, kurā atrodaties, ģenerē slepenu numuru, kas vienreiz tiek nodots jūsu autentifikācijas programmai, parasti izmantojot QR kods. Uz laiku balstītajā variantā no šī slepenā numura ik pēc 30 sekundēm tiek ģenerēts jauns sešciparu skaitlis. Vietnei un klientam (jūsu datoram) vairs nav jāsazinās; numuri tiek vienkārši parādīti jūsu autentifikatorā, un jūs tos piegādājat vietnei kopā ar savu paroli, un jūs esat gatavs. Ir arī variants, kas darbojas, nosūtot tos pašus kodus, izmantojot īsziņu.
TOTP priekšrocības: Pat ja Heartbleed vai līdzīgas kļūdas dēļ tiktu atklāta gan jūsu parole, gan numurs jūsu autentifikatorā, vietne, kurā atrodaties mijiedarbojoties ar, gandrīz noteikti jau ir atzīmējis šo numuru kā lietotu, un to nevar izmantot atkārtoti, un tas tik un tā 30 sekunžu laikā būs nederīgs. Ja vietne vēl nepiedāvā šo pakalpojumu, tā, iespējams, to var izdarīt salīdzinoši vienkārši, un, ja jums ir praktiski jebkurš viedtālrunis, varat palaist autentifikatoru. Ir nedaudz neērti konsultēties ar tālruni, lai pieteiktos, tas ir piešķirts, taču jebkura jums svarīga pakalpojuma drošības priekšrocības padara to tā vērts.
TOTP riski: Uzlaušana serverī a savādāk Tas var izraisīt slepenā numura izpaušanu, ļaujot uzbrucējam izveidot savu autentifikatoru. Bet, ja izmantojat TOTP kopā ar paroli, kas nav saglabāta vietnē, lielākā daļa labu pakalpojumu sniedzēju saglabā jaukts, kas ir ļoti izturīgs pret tā reverso inženieriju — tad starp abiem jūsu risks ir ļoti liels pazemināts.
Klientu sertifikātu spēks (un kas tie ir)
Jūs, iespējams, nekad neesat dzirdējuši par klientu sertifikātiem, taču tie patiesībā ir bijuši ļoti ilgu laiku (protams, interneta gados). Iemesls, kādēļ jūs, iespējams, neesat par tiem dzirdējis, ir tas, ka tie ir smags darbs. Ir daudz vieglāk vienkārši likt lietotājiem izvēlēties paroli, tāpēc sertifikātus mēdz izmantot tikai augstas drošības vietnes.
Kas ir klienta sertifikāts? Klientu sertifikāti pierāda, ka esat persona, par kuru uzdodat sevi. Viss, kas jums jādara, ir instalēt to (un viena darbojas daudzās vietnēs) savā pārlūkprogrammā un pēc tam izvēlēties to izmantot, kad vietne vēlas, lai jūs autentificētos. Šie sertifikāti ir tuvs radinieks SSL sertifikātiem, ko vietnes izmanto, lai identificētu sevi jūsu datorā.
Visefektīvākais veids, kā vietne var aizsargāt jūsu datus, ir tas, ka tie nekad nepienākas to rīcībā.
Klientu sertifikātu priekšrocības: Neatkarīgi no tā, cik vietnēs jūs pierakstāties ar klienta sertifikātu, matemātikas spēks ir jūsu pusē; neviens nevarēs izmantot to pašu sertifikātu, lai izliktos par jums, pat ja viņi novēros jūsu sesiju.
Klientu sertifikātu riski: Klienta sertifikāta primārais risks ir, ka kāds var ielauzties jūsu datoru un nozagt to, taču pastāv šī riska mazināšanas iespējas. Vēl viena iespējamā problēma ir tāda, ka tipiskajos klientu sertifikātos ir noteikta identitātes informācija, kuru jūs, iespējams, nevēlaties izpaust katrai izmantotajai vietnei. Lai gan klientu sertifikāti ir pastāvējuši uz visiem laikiem, un tīmekļa serverī pastāv darba atbalsts programmatūra, vēl ir daudz darāmā gan pakalpojumu sniedzēju, gan pārlūkprogrammu pusē viņi strādā labi. Tā kā tos izmanto tik reti, tiem tiek pievērsta maz uzmanības attīstībai.
Vissvarīgākais: pilnīga šifrēšana
Visefektīvākais veids, kā vietne var aizsargāt jūsu datus, ir tas, ka tie nekad nepienākas īpašumā — vismaz ne versija, ko tā var lasīt. Ja vietne var lasīt jūsu datus, uzbrucējs ar pietiekamu piekļuvi var lasīt jūsu datus. Tāpēc mums patīk pilnīga šifrēšana (E2EE).
Kas ir pilnīga šifrēšana? Tas nozīmē, ka jūs šifrēt jūsu gala dati, un tas paliek šifrēts, līdz tas sasniedz personu, kurai to plānojat, vai arī tas atgriežas pie jums.
E2EE priekšrocības: Pilnīga šifrēšana jau ir ieviesta dažos pakalpojumos, piemēram, tiešsaistes dublēšanas pakalpojumos. Dažos ziņojumapmaiņas pakalpojumos ir arī vājākas versijas, īpaši tajos, kas parādījās pēc Snoudena atklājumiem. Tomēr vietnēm ir grūti veikt pilnīgu šifrēšanu divu iemeslu dēļ: tām, iespējams, būs jāredz jūsu dati, lai sniegtu pakalpojumus, un tīmekļa pārlūkprogrammas ir šausmīgi izpildīt E2EE. Taču viedtālruņu lietotņu laikmetā pilnīga šifrēšana ir kaut kas, ko var un vajadzētu darīt biežāk. Lielākā daļa lietotņu šodien neizmanto E2EE, taču mēs ceram, ka turpmāk to redzēsim vairāk. Ja jūsu lietotnēs jūsu sensitīvajiem datiem netiek izmantots E2EE, jums ir jāsūdzas.
E2EE riski: Lai pilnīga šifrēšana darbotos, tā ir jāveic visās jomās — ja lietotne vai vietne to dara tikai no sirds, visa kāršu nams var sabrukt. Dažkārt var izmantot vienu nešifrētu datu daļu, lai piekļūtu pārējiem. Drošība ir vājākā posma spēle; tikai viens ķēdes posms nedrīkst to pārraut.
Nu ko tagad?
Acīmredzot nav daudz, ko jūs kā lietotājs varat kontrolēt. Jums paveiksies atrast pakalpojumu, kas izmanto vienreizējas paroles ar autentifikatoru. Taču jums noteikti vajadzētu runāt ar izmantotajām vietnēm un lietotnēm un paziņot viņiem, ka pamanāt kļūdas programmatūrā, un jūs domājat, ka viņiem drošība ir jāuztver nopietnāk, nevis vienkārši jāpaļaujas uz to paroles.
Ja lielākā daļa tīkla izmanto šīs uzlabotās drošības metodes, iespējams, nākamreiz notiks Heartbleed mēroga programmatūras katastrofa — un tur gribu galu galā mums nebūs tik ļoti jākrīt panikā.
[Attēls pieklājīgi no izkapts5/Shutterstock]
