Zniechęcony konsekwencjami Heartbleed? Nie jesteś sam. Mały błąd w najpopularniejszej na świecie bibliotece SSL spowodował ogromne luki w zabezpieczeniach komunikację z wszelkiego rodzaju witrynami internetowymi, aplikacjami i usługami opartymi na chmurze — a luki to nie wszystkie jeszcze załatane.
Błąd Heartbleed umożliwił atakującym odsłonięcie odpornej na podglądanie powłoki OpenSSL i sprawdzenie komunikacji pomiędzy klientem a serwerem. Dzięki temu hakerzy mogli zobaczyć takie rzeczy, jak hasła i pliki cookie sesji, które są małymi fragmentami danych, które serwer wysyła Ci wiadomość po zalogowaniu, a Twoja przeglądarka wysyła wiadomość zwrotną za każdym razem, gdy coś zrobisz, aby udowodnić, że tak jest Ty. A jeśli błąd dotyczy witryny finansowej, mogły zostać wykryte inne poufne informacje, które przekazujesz przez sieć, takie jak dane karty kredytowej lub dane podatkowe.
Polecane filmy
W jaki sposób Internet może najlepiej chronić się przed takimi katastrofalnymi błędami? Mamy kilka pomysłów.
Tak, potrzebujesz bezpieczniejszych haseł: oto jak je utworzyć
OK, więc lepsze hasła nie zapobiegną następnemu Heartbleedowi, ale pewnego dnia mogą cię uchronić przed włamaniem. Wiele osób jest po prostu okropnych w tworzeniu bezpiecznych haseł.
Słyszałeś to wszystko już wcześniej: nie używaj „hasła1”, „hasła2” itp. Większość haseł nie zapewnia wystarczającej entropii – zdecydowanie tak nie losowe i oni będzie zostać zgadnięty, jeśli atakujący kiedykolwiek będzie miał możliwość dokonania wielu domysłów, albo poprzez wbicie usługi, albo (bardziej prawdopodobne) kradzież skrótów haseł — matematyczne wyprowadzenie haseł, które można sprawdzić, ale nie można ich przywrócić do oryginału hasło.
Cokolwiek robisz, nie używaj tego samego hasła w więcej niż jednym miejscu.
Pomocne może być również oprogramowanie lub usługi do zarządzania hasłami, które wykorzystują szyfrowanie typu end-to-end. KeePass jest dobrym przykładem tego pierwszego; LastPass z tych ostatnich. Dobrze chroń swoją pocztę e-mail, ponieważ można jej użyć do zresetowania większości haseł. I cokolwiek zrobisz, nie używaj tego samego hasła w więcej niż jednym miejscu – po prostu prosisz się o kłopoty.
Strony internetowe muszą wdrożyć hasła jednorazowe
OTP oznacza „hasło jednorazowe” i możesz już go używać, jeśli masz skonfigurowaną witrynę/usługę, która wymaga użycia Autoryzator Google. Większość tych uwierzytelniaczy (w tym Google) korzysta ze standardu internetowego zwanego TOTP lub jednorazowego hasła czasowego, co jest tutaj opisane.
Co to jest TOTP? Krótko mówiąc, witryna, na której się znajdujesz, generuje tajny numer, który jest jednorazowo przekazywany do programu uwierzytelniającego, zwykle za pośrednictwem Kod QR. W wariancie czasowym na podstawie tajnego numeru co 30 sekund generowany jest nowy sześciocyfrowy numer. Strona internetowa i klient (Twój komputer) nie muszą się ponownie komunikować; numery są po prostu wyświetlane na Twoim urządzeniu uwierzytelniającym, podajesz je stronie internetowej zgodnie z żądaniem w połączeniu z hasłem i gotowe. Istnieje również odmiana, która działa poprzez wysyłanie tych samych kodów do Ciebie za pomocą wiadomości tekstowej.
Zalety TOTP: Nawet jeśli Heartbleed lub podobny błąd spowodowałby ujawnienie zarówno Twojego hasła, jak i numeru na Twoim urządzeniu uwierzytelniającym, witryna, na której się znajdujesz, interakcja z prawie na pewno oznaczyła już ten numer jako używany i nie można go użyć ponownie – a i tak będzie on nieważny w ciągu 30 sekund. Jeśli witryna nie oferuje jeszcze tej usługi, prawdopodobnie może to zrobić stosunkowo łatwo, a jeśli masz praktycznie dowolny smartfon, możesz uruchomić uwierzytelniacz. To prawda, że korzystanie z telefonu w celu zalogowania się jest nieco niewygodne, ale bezpieczeństwo każdej usługi, na której Ci zależy, sprawia, że jest to tego warte.
Ryzyko TOTP: Włamanie na serwer a różny sposób może skutkować ujawnieniem tajnego numeru, umożliwiając atakującemu utworzenie własnego modułu uwierzytelniającego. Jeśli jednak używasz TOTP w połączeniu z hasłem, które nie jest przechowywane przez witrynę internetową, większość dobrych dostawców przechowuje hasło hash, który jest silnie odporny na inżynierię wsteczną — wtedy między nimi dwoma ryzyko jest ogromne obniżony.
Moc certyfikatów klienta (i czym one są)
Prawdopodobnie nigdy nie słyszałeś o certyfikatach klienckich, ale w rzeczywistości istnieją one już od bardzo długiego czasu (oczywiście w latach Internetu). Prawdopodobnie nie słyszałeś o nich, ponieważ ich zdobycie jest zadaniem trudnym. O wiele łatwiej jest po prostu nakłonić użytkowników do wybrania hasła, dlatego tylko witryny o wysokim poziomie bezpieczeństwa zwykle korzystają z certyfikatów.
Co to jest certyfikat klienta? Certyfikaty klientów potwierdzają, że jesteś osobą, za którą się podajesz. Wszystko, co musisz zrobić, to zainstalować go (a działa to w wielu witrynach) w swojej przeglądarce, a następnie zdecydować się na jego użycie, gdy witryna będzie wymagać uwierzytelnienia. Certyfikaty te są bliskimi kuzynami certyfikatów SSL używanych przez witryny internetowe do identyfikacji na Twoim komputerze.
Najskuteczniejszym sposobem, w jaki witryna internetowa może chronić Twoje dane, jest przede wszystkim nie posiadanie ich.
Zalety certyfikatów klienta: Bez względu na to, w ilu witrynach zalogujesz się przy użyciu certyfikatu klienta, siła matematyki jest po Twojej stronie; nikt nie będzie mógł użyć tego samego certyfikatu, aby udawać, że jesteś Ty, nawet jeśli będzie obserwował Twoją sesję.
Ryzyko certyfikatów klienta: Podstawowym ryzykiem związanym z certyfikatem klienta jest możliwość włamania się do niego twój komputer i ukraść go, ale istnieją środki ograniczające to ryzyko. Innym potencjalnym problemem jest to, że typowe certyfikaty klienta zawierają pewne informacje o tożsamości, których możesz nie chcieć ujawniać każdej używanej witrynie. Chociaż certyfikaty klienckie istnieją od zawsze, a działające wsparcie istnieje na serwerze internetowym oprogramowania, nadal jest wiele do zrobienia zarówno po stronie dostawców usług, jak i przeglądarek oni pracują Dobrze. Ponieważ są używane tak rzadko, poświęca się im niewiele uwagi podczas rozwoju.
Co najważniejsze: kompleksowe szyfrowanie
Najskuteczniejszym sposobem, w jaki witryna internetowa może chronić Twoje dane, jest przede wszystkim nie posiadanie ich — a przynajmniej wersji, którą można odczytać. Jeśli witryna internetowa może odczytać Twoje dane, osoba atakująca z wystarczającym dostępem może je odczytać. Dlatego lubimy szyfrowanie typu end-to-end (E2EE).
Co to jest szyfrowanie typu end-to-end? Oznacza to, że ty szyfrować dane po Twojej stronie i to gorset szyfrowane, aż dotrze do osoby, dla której jest przeznaczony, lub wróci do Ciebie.
Zalety E2EE: Kompleksowe szyfrowanie jest już wdrożone w kilku usługach, np. w usługach tworzenia kopii zapasowych online. W niektórych serwisach komunikacyjnych istnieją również słabsze wersje tego komunikatu, zwłaszcza te, które pojawiły się po rewelacjach Snowdena. Jednak witrynom internetowym trudno jest zastosować kompleksowe szyfrowanie z dwóch powodów: mogą potrzebować zobaczyć Twoje dane, aby świadczyć usługi, a przeglądarki internetowe słabo radzą sobie z E2EE. Jednak w dobie aplikacji na smartfony kompleksowe szyfrowanie może i powinno być wykonywane częściej. Większość aplikacji nie korzysta obecnie z E2EE, ale mamy nadzieję, że w przyszłości będzie ich więcej. Jeśli Twoje aplikacje nie korzystają z E2EE do przechowywania wrażliwych danych, powinieneś złożyć skargę.
Zagrożenia związane z E2EE: Aby kompleksowe szyfrowanie zadziałało, należy je zastosować kompleksowo — jeśli aplikacja lub witryna internetowa zrobi to połowicznie, cały domek z kart może się zawalić. Czasem można wykorzystać jedną część niezaszyfrowanych danych, aby uzyskać dostęp do pozostałych. Bezpieczeństwo to gra, w której wykorzystuje się najsłabsze ogniwo; tylko jedno ogniwo w łańcuchu nie może go przerwać.
I co teraz?
Oczywiście jako użytkownik nie masz zbyt wiele kontroli. Będziesz mieć szczęście, jeśli znajdziesz usługę korzystającą z haseł jednorazowych z uwierzytelnieniem. Zdecydowanie jednak powinieneś porozmawiać ze stronami internetowymi i aplikacjami, z których korzystasz, i poinformować ich, że zauważyłeś błędy w oprogramowaniu się zdarza i uważasz, że powinni poważniej podejść do kwestii bezpieczeństwa, a nie po prostu na nim polegać Hasła.
Jeśli większa część sieci będzie korzystać z tych zaawansowanych metod bezpieczeństwa, być może następnym razem dojdzie do katastrofy programowej na skalę Heartbleed – i tam będzie w końcu nie będziemy musieli tak bardzo panikować.
[Zdjęcie dzięki uprzejmości kosa5/Shutterstock]
