Descurajat de consecințele de la Heartbleed? Nu esti singur. Micul bug din cea mai populară bibliotecă SSL din lume a făcut găuri uriașe în securitatea comunicații cu tot felul de site-uri web, aplicații și servicii bazate pe cloud - iar găurile nici măcar nu sunt toate petice încă.
Bug-ul Heartbleed le-a permis atacatorilor să îndepărteze căptușeala rezistentă la snoop a OpenSSL și să arunce o privire asupra comunicațiilor dintre client și server. Acest lucru le-a oferit hackerilor să se uite la lucruri precum parolele și cookie-urile de sesiune, care sunt mici bucăți de date pe care serverul vă trimite după ce vă conectați, iar browserul vă trimite înapoi de fiecare dată când faceți ceva pentru a dovedi că este tu. Și dacă eroarea a afectat un site financiar, este posibil să fi fost văzută și alte informații sensibile pe care le treceai prin net, cum ar fi informații despre cardul de credit sau taxele.
Videoclipuri recomandate
Cum se poate proteja cel mai bine Internetul împotriva unor erori catastrofale ca acesta? Avem câteva idei.
Da, aveți nevoie de parole mai sigure: iată cum să le creați
Bine, deci parole mai bune nu ar împiedica următorul Heartbleed, dar te-ar putea salva de a fi piratat într-o zi. Mulți oameni sunt îngrozitori în a crea parole sigure.
Ați auzit totul înainte: nu folosiți „parola1”, „parola2” etc. Majoritatea parolelor nu au suficient din ceea ce se numește entropie - cu siguranță sunt nu aleatoriu și ei voi fi ghicit dacă un atacator are vreodată ocazia de a face o mulțime de presupuneri, fie prin lovirea serviciului, fie (mai probabil) furtul hash-urilor parolei - derivări matematice ale parolelor care pot fi verificate, dar nu inversate înapoi în original parola.
Orice ați face, nu utilizați aceeași parolă în mai multe locuri.
Software-ul sau serviciile de gestionare a parolelor care folosesc criptare end-to-end pot ajuta, de asemenea. KeepPass este un bun exemplu pentru primul; LastPass a acestuia din urmă. Păzește-ți bine e-mailul, deoarece poate fi folosit pentru a reseta majoritatea parolelor. Și orice ați face, nu utilizați aceeași parolă în mai multe locuri - doar ceri probleme.
Site-urile web trebuie să implementeze parole unice
OTP înseamnă „parolă de unică folosință” și este posibil să o utilizați deja dacă aveți configurat un site web/serviciu care necesită să utilizați Google Authenticator. Majoritatea acestor autentificatoare (inclusiv Google) folosesc un standard de internet numit TOTP sau o parolă unică bazată pe timp, care este descris aici.
Ce este TOTP? Pe scurt, site-ul web pe care vă aflați generează un număr secret, care este transmis o dată programului dvs. de autentificare, de obicei printr-un cod QR. În varianta bazată pe timp, un nou număr de șase cifre este generat din acel număr secret la fiecare 30 de secunde. Site-ul web și clientul (computerul dvs.) nu trebuie să comunice din nou; numerele sunt pur și simplu afișate pe autentificatorul dvs. și le furnizați site-ului web așa cum vi se cere împreună cu parola dvs. și sunteți în. Există, de asemenea, o variantă care funcționează prin trimiterea acelorași coduri către dvs. printr-un mesaj text.
Avantajele TOTP: Chiar dacă Heartbleed sau o eroare similară ar duce la dezvăluirea atât a parolei, cât și a numărului de pe autentificatorul dvs., site-ul web pe care îl aveți cu care interacționați, aproape sigur, a marcat deja acel număr ca fiind utilizat și nu poate fi utilizat din nou – și oricum va fi invalid în 30 de secunde. Dacă un site web nu oferă deja acest serviciu, probabil că poate face acest lucru relativ ușor, iar dacă aveți practic orice smartphone, puteți rula un autentificator. Este ușor incomod să vă consultați telefonul pentru a vă autentifica, desigur, dar avantajul de securitate pentru orice serviciu de care vă interesează îl face să merite.
Riscuri ale TOTP: Intrarea într-un server a diferit ar putea duce la dezvăluirea numărului secret, permițând atacatorului să-și creeze propriul autentificator. Dar dacă utilizați TOTP împreună cu o parolă care nu este stocată de site-ul web — cei mai mulți furnizori buni stochează un hash care este puternic rezistent la inginerie inversă - apoi între ei doi, riscul dvs. este mare coborât.
Puterea certificatelor de client (și ce sunt acestea)
Probabil că nu ați auzit niciodată de certificate de client, dar acestea există de fapt de foarte mult timp (în anii de internet, desigur). Motivul pentru care probabil nu ai auzit de ei este că sunt o corvoadă de făcut. Este mult mai ușor să convingi utilizatorii să aleagă o parolă, așa că numai site-urile de înaltă securitate tind să folosească certificate.
Ce este un certificat de client? Certificatele de client dovedesc că sunteți persoana care pretindeți că sunteți. Tot ce trebuie să faceți este să îl instalați (și unul funcționează pe mai multe site-uri) în browser, apoi să alegeți să îl utilizați atunci când un site dorește să vă autentificați. Aceste certificate sunt un verișor apropiat al certificatelor SSL pe care site-urile web le folosesc pentru a se identifica pe computer.
Cel mai eficient mod în care un site web vă poate proteja datele este să nu fiți niciodată în posesia acestora.
Avantajele certificatelor de client: Indiferent de câte site-uri vă conectați cu un certificat de client, puterea matematicii este de partea dumneavoastră; nimeni nu va putea folosi același certificat pentru a pretinde că sunteți dvs., chiar dacă vă observă sesiunea.
Riscurile certificatelor de client: Riscul principal al unui certificat de client este ca cineva să pătrundă ta computer și furați-l, dar există atenuări pentru acest risc. O altă problemă potențială este că certificatele tipice de client conțin anumite informații de identitate pe care este posibil să nu doriți să le dezvăluiți fiecărui site pe care îl utilizați. Deși certificatele client au existat pentru totdeauna, iar suportul de lucru există în serverul Web software, mai este mult de făcut atât din partea furnizorilor de servicii, cât și a browserelor ei lucrează bine. Deoarece sunt folosite atât de rar, primesc puțină atenție pentru dezvoltare.
Cel mai important: criptare end-to-end
Cel mai eficient mod în care un site web vă poate proteja datele este să nu fiți niciodată în posesia lor, în primul rând, cel puțin, nu o versiune pe care o poate citi. Dacă un site web vă poate citi datele, un atacator cu acces suficient vă poate citi datele. Acesta este motivul pentru care ne place criptarea end-to-end (E2EE).
Ce este criptarea end-to-end? Asta înseamnă că tu cripta datele din partea ta și asta rămâne criptat până când ajunge la persoana căreia îi intenționați sau se întoarce la dvs.
Avantajele E2EE: Criptarea de la capăt la capăt este deja implementată în câteva servicii, cum ar fi serviciile de backup online. Există, de asemenea, versiuni mai slabe ale acestuia în unele servicii de mesagerie, în special cele care au apărut după dezvăluirile Snowden. Cu toate acestea, este greu pentru site-urile web să facă criptare end-to-end, din două motive: ar putea avea nevoie să vă vadă datele pentru a-și furniza serviciul, iar browserele web sunt groaznice în a performa E2EE. Dar în era aplicației pentru smartphone, criptarea end-to-end este ceva care poate și ar trebui făcut mai des. Cele mai multe aplicații nu folosesc E2EE astăzi, dar sperăm că vom vedea mai multe în continuare. Dacă aplicațiile dvs. nu folosesc E2EE pentru datele dvs. sensibile, ar trebui să vă plângeți.
Riscurile E2EE: Pentru ca criptarea end-to-end să funcționeze, aceasta trebuie să fie realizată în toate domeniile - dacă o aplicație sau un site web o face doar cu jumătate de inimă, întregul castel de cărți se poate prăbuși. O singură bucată de date necriptate poate fi folosită uneori pentru a obține acces la restul. Securitatea este un joc cu cea mai slabă verigă; doar o verigă a lanțului trebuie să nu reușească să o rupă.
Si acum ce?
Evident, nu există multe lucruri pe care tu, ca utilizator, le poți controla. Veți fi norocos să găsiți un serviciu care utilizează parole unice cu un autentificator. Dar cu siguranță ar trebui să discutați cu site-urile web și aplicațiile pe care le utilizați și să le spuneți că vă dați seama de erori în software se întâmplă și crezi că ar trebui să ia securitatea mai în serios și nu pur și simplu să se bazeze pe parolele.
Dacă mai mult din rețea folosește aceste metode avansate de securitate, poate data viitoare va avea loc o catastrofă software la scară Heartbleed - și există voi fi, în cele din urmă — nu va trebui să ne panicăm atât de mult.
[Imaginea prin amabilitatea lui scyther5/Shutterstock]
