Sklamaný následkom z Heartbleed? Nie si sám. Malá chyba v najpopulárnejšej knižnici SSL na svete urobila obrovské diery v bezpečnostnom obale komunikácia so všetkými druhmi cloudových webových stránok, aplikácií a služieb – a diery nie sú ani všetky ešte zaplátaný.
Chyba Heartbleed umožnila útočníkom odlepiť podšívku OpenSSL odolnú voči odpočúvaniu a nahliadnuť do komunikácie medzi klientom a serverom. To umožnilo hackerom pozrieť sa na veci, ako sú heslá a súbory cookie relácie, čo sú malé kúsky údajov, server vám pošle po prihlásení a váš prehliadač pošle späť zakaždým, keď niečo urobíte, aby ste dokázali, že je to tak vy. A ak sa chyba dotkla finančnej stránky, mohli ste vidieť ďalšie citlivé informácie, ktoré ste prenášali cez sieť, napríklad informácie o kreditnej karte alebo daňové údaje.
Odporúčané videá
Ako sa môže internet najlepšie chrániť pred katastrofálnymi chybami, ako je táto? Máme niekoľko nápadov.
Áno, potrebujete bezpečnejšie heslá: Tu je návod, ako ich vytvoriť
Dobre, takže lepšie heslá by nezabránili ďalšiemu Heartbleedu, ale jedného dňa vás môžu zachrániť pred napadnutím. Mnoho ľudí je jednoducho hrozných pri vytváraní bezpečných hesiel.
Už ste to všetko počuli: nepoužívajte „heslo1“, „heslo2“ atď. Väčšina hesiel nemá dostatok toho, čo sa nazýva entropia – určite áno nie náhodný a oni bude dá sa uhádnuť, či útočník niekedy dostane príležitosť veľa hádať, buď úderom do služby alebo (pravdepodobnejšie) kradnutie hash hesiel – matematické odvodenia hesiel, ktoré je možné skontrolovať, ale nie vrátiť späť na pôvodné heslo.
Čokoľvek robíte, nepoužívajte rovnaké heslo na viac ako jednom mieste.
Pomôcť môže aj softvér alebo služby na správu hesiel, ktoré využívajú šifrovanie typu end-to-end. KeepPass je dobrým príkladom toho prvého; LastPass tých druhých. Dobre si chráňte svoj e-mail, pretože ho možno použiť na obnovenie väčšiny vašich hesiel. A nech robíte čokoľvek, nepoužívajte rovnaké heslo na viac ako jednom mieste – len si koledujete o problémy.
Webové stránky musia implementovať jednorazové heslá
Jednorazové heslo znamená „jednorazové heslo“ a môžete ho už použiť, ak máte nastavenú webovú stránku/službu, ktorá vyžaduje, aby ste Google Authenticator. Väčšina z týchto autentifikátorov (vrátane Google) používa internetový štandard nazývaný TOTP alebo Time-based One Time Password, ktorý je tu popísaný.
čo je TOTP? Stručne povedané, webová stránka, na ktorej sa nachádzate, vygeneruje tajné číslo, ktoré sa raz odovzdá vášmu autentifikačnému programu, zvyčajne prostredníctvom QR kód. V časovom variante sa z tohto tajného čísla každých 30 sekúnd vygeneruje nové šesťmiestne číslo. Webová lokalita a klient (váš počítač) nemusia znova komunikovať; čísla sa jednoducho zobrazia na vašom autentifikátore a vy ich zadáte na webovú stránku tak, ako je to požadované v spojení s vaším heslom, a ste v hre. Existuje aj variácia, ktorá funguje tak, že vám posiela rovnaké kódy prostredníctvom textovej správy.
Výhody TOTP: Aj keby Heartbleed alebo podobná chyba mala za následok odhalenie vášho hesla aj čísla na vašom autentifikátore, web, na ktorom ste interakcia s takmer určite už označila toto číslo ako použité a nemožno ho znova použiť – a aj tak bude do 30 sekúnd neplatné. Ak webová stránka ešte túto službu neponúka, pravdepodobne to dokáže pomerne jednoducho a ak máte prakticky akýkoľvek smartfón, môžete spustiť autentifikátor. Je to trochu nepohodlné konzultovať prihlásenie so svojím telefónom, to je samozrejmé, ale bezpečnostná výhoda pre každú službu, na ktorej vám záleží, stojí za to.
Riziká TOTP: Vlámanie sa na server a rôzne spôsob by mohol viesť k odhaleniu tajného čísla, čo by útočníkovi umožnilo vytvoriť si vlastný autentifikátor. Ak však používate TOTP v spojení s heslom, ktoré nie je uložené na webovej lokalite – väčšina dobrých poskytovateľov ukladá hash, ktorý je silne odolný proti reverznému inžinierstvu – potom medzi nimi dvoma je vaše riziko veľké znížená.
Sila klientskych certifikátov (a čo sú)
Pravdepodobne ste nikdy nepočuli o klientskych certifikátoch, ale v skutočnosti existujú už veľmi dlho (samozrejme v rokoch internetu). Dôvod, prečo ste o nich pravdepodobne nepočuli, je ten, že je ťažké ich získať. Je oveľa jednoduchšie prinútiť používateľov, aby si vybrali heslo, takže certifikáty zvyčajne používajú iba stránky s vysokým zabezpečením.
Čo je to klientsky certifikát? Klientske certifikáty dokazujú, že ste tým, za koho sa vydávate. Všetko, čo musíte urobiť, je nainštalovať ho (a jeden funguje na mnohých stránkach) do vášho prehliadača a potom sa rozhodnúť, že ho použijete, keď vás stránka chce overiť. Tieto certifikáty sú blízkym príbuzným certifikátov SSL, ktoré webové stránky používajú na identifikáciu vášho počítača.
Najúčinnejším spôsobom, ako môže webová lokalita chrániť vaše údaje, je v prvom rade ich nikdy nevlastniť.
Výhody klientskych certifikátov: Bez ohľadu na to, na koľko stránok sa prihlásite pomocou klientskeho certifikátu, sila matematiky je na vašej strane. nikto nebude môcť použiť ten istý certifikát na predstieranie, že ste vy, aj keď bude sledovať vašu reláciu.
Riziká klientskych certifikátov: Primárnym rizikom klientskeho certifikátu je, že sa doň niekto môže vlámať tvoj počítač a ukradnúť ho, ale existujú zmiernenia tohto rizika. Ďalším potenciálnym problémom je, že typické klientske certifikáty nesú niektoré informácie o identite, ktoré možno nechcete zverejniť na každej stránke, ktorú používate. Hoci klientske certifikáty sú tu odjakživa a na webovom serveri existuje funkčná podpora softvér, na strane poskytovateľov služieb aj prehliadačov je ešte potrebné vykonať veľa práce pracujú dobre. Pretože sa používajú tak zriedkavo, venuje sa im malá pozornosť pri vývoji.
To najdôležitejšie: End-to-end šifrovanie
Najúčinnejším spôsobom, ako môže webová lokalita chrániť vaše údaje, je v prvom rade ich nikdy nevlastniť – aspoň nie verziu, ktorú dokáže prečítať. Ak webová lokalita dokáže čítať vaše údaje, útočník s dostatočným prístupom môže čítať vaše údaje. To je dôvod, prečo máme radi end-to-end šifrovanie (E2EE).
Čo je to end-to-end šifrovanie? To znamená, že vy zašifrovať údaje na vašej strane a to pobyty zašifrovaný, kým sa nedostane k osobe, pre ktorú je určený, alebo sa vráti k vám.
Výhody E2EE: End-to-end šifrovanie je už implementované v niekoľkých službách, ako sú online zálohovacie služby. V niektorých službách na odosielanie správ existujú aj jeho slabšie verzie, najmä tie, ktoré sa objavili po odhaleniach Snowdena. Pre webové stránky je však ťažké vykonať šifrovanie typu end-to-end, a to z dvoch dôvodov: na poskytovanie svojich služieb môžu potrebovať vidieť vaše údaje a webové prehliadače sú hrozné pri vykonávaní E2EE. Ale vo veku aplikácií pre smartfóny je šifrovanie typu end-to-end niečo, čo sa môže a malo by sa vykonávať častejšie. Väčšina aplikácií dnes E2EE nepoužíva, ale dúfame, že v budúcnosti uvidíme viac. Ak vaše aplikácie nepoužívajú E2EE pre vaše citlivé údaje, mali by ste sa sťažovať.
Riziká E2EE: Aby šifrovanie end-to-end fungovalo, musí sa to robiť plošne – ak to aplikácia alebo webová stránka robí len polovičato, môže sa zrútiť celý domček z kariet. Jeden kus nezašifrovaných údajov môže byť niekedy použitý na získanie prístupu k zvyšku. Bezpečnosť je hra s najslabším článkom; len jeden článok v reťazi ju nesmie zlomiť.
Takže, čo teraz?
Je zrejmé, že nie je veľa vecí, ktoré môžete ako používateľ ovládať. Budete mať šťastie, že nájdete službu, ktorá používa jednorazové heslá s autentifikátorom. Určite by ste sa však mali porozprávať s webovými stránkami a aplikáciami, ktoré používate, a dať im vedieť, že si uvedomujete chyby v softvéri, a vy si myslíte, že by mali brať bezpečnosť vážnejšie a nespoliehať sa len na ne heslá.
Ak tieto pokročilé bezpečnostné metódy bude používať väčšia časť siete, možno nabudúce dôjde k softvérovej katastrofe v rozsahu Heartbleed – a tam bude byť, nakoniec – nebudeme musieť toľko panikáriť.
[Obrázok s láskavým dovolením kosák5/Shutterstock]
