Ste razočarani zaradi posledic Heartbleeda? Niste sami. Majhna napaka v najbolj priljubljeni knjižnici SSL na svetu je naredila ogromne luknje v varnosti našega komunikacije z vsemi vrstami spletnih mest, aplikacij in storitev, ki temeljijo na oblaku – in luknje niti niso vse še zakrpano.
Napaka Heartbleed je napadalcem omogočila, da odlepijo proti vohljanju odporno oblogo OpenSSL in pokukajo v komunikacijo med odjemalcem in strežnikom. To je hekerjem omogočilo vpogled v stvari, kot so gesla in sejni piškotki, ki so majhni delčki podatkov, ki jih strežnik vam pošlje, ko se prijavite, vaš brskalnik pa pošlje nazaj vsakič, ko nekaj storite, da dokaže, da je ti. In če je hrošč vplival na finančno spletno mesto, so bili morda vidni drugi občutljivi podatki, ki ste jih posredovali po omrežju, kot so podatki o kreditni kartici ali davčni podatki.
Priporočeni videoposnetki
Kako se lahko internet najbolje zaščiti pred katastrofalnimi napakami, kot je ta? Imamo nekaj idej.
Da, potrebujete varnejša gesla: Evo, kako jih ustvarite
V redu, torej boljša gesla ne bi preprečila naslednjega Heartbleeda, vendar vas bodo morda nekoč rešila pred vdorom. Mnogi ljudje so preprosto grozni pri ustvarjanju varnih gesel.
Vse ste že slišali: ne uporabljajte »password1«, »password2« itd. Večina gesel nima dovolj tega, kar se imenuje entropija – vsekakor so ne naključno in oni volja biti uganjen, če ima napadalec kdaj priložnost za veliko ugibanj, bodisi s kladivom storitve ali (bolj verjetno) kraja zgoščenih vrednosti gesel – matematične izpeljave gesel, ki jih je mogoče preveriti, vendar jih ni mogoče obrniti nazaj v izvirnik geslo.
Karkoli počnete, ne uporabljajte istega gesla na več kot enem mestu.
Pomaga lahko tudi programska oprema ali storitve za upravljanje gesel, ki uporabljajo šifriranje od konca do konca. KeePass je dober primer prvega; LastPass slednjega. Dobro varujte svojo e-pošto, saj jo lahko uporabite za ponastavitev večine gesel. In karkoli že počnete, ne uporabljajte istega gesla na več kot enem mestu – samo zahtevate težave.
Spletna mesta morajo uporabljati enkratna gesla
OTP pomeni »enkratno geslo« in ga morda že uporabljate, če imate nastavljeno spletno mesto/storitev, ki zahteva uporabo Google Authenticator. Večina teh avtentifikatorjev (vključno z Googlovimi) uporablja internetni standard, imenovan TOTP ali Time-based One-Time Password, ki je opisan tukaj.
Kaj je TOTP? Na kratko, spletno mesto, na katerem ste, ustvari skrivno številko, ki se enkrat posreduje vašemu programu za preverjanje pristnosti, običajno prek QR koda. V različici, ki temelji na času, se iz te tajne številke vsakih 30 sekund ustvari novo šestmestno število. Spletnemu mestu in odjemalcu (vašemu računalniku) ni treba znova komunicirati; številke so preprosto prikazane na vašem avtentifikatorju in jih posredujete spletnemu mestu, kot je zahtevano v povezavi z vašim geslom, in že ste notri. Obstaja tudi različica, ki deluje tako, da vam pošlje iste kode prek besedilnega sporočila.
Prednosti TOTP: Tudi če bi Heartbleed ali podobna napaka povzročila razkritje vašega gesla in številke v vašem avtentifikatorju, bi spletno mesto, ki ga interakcija z je skoraj zagotovo že označila to številko kot uporabljeno in je ni mogoče ponovno uporabiti – v 30 sekundah pa bo vseeno neveljavna. Če spletno mesto še ne ponuja te storitve, lahko to verjetno stori razmeroma enostavno in če imate skoraj kateri koli pametni telefon, lahko zaženete avtentifikator. Nekoliko neprijetno je, da se za prijavo obrnete na svoj telefon, toda zaradi varnostnih ugodnosti za katero koli storitev, ki vas zanima, se splača.
Tveganja TOTP: Vdor v strežnik a drugačen lahko povzroči razkritje skrivne številke, kar napadalcu omogoči ustvarjanje lastnega avtentifikatorja. Če pa uporabljate TOTP v povezavi z geslom, ki ga spletno mesto ne shrani, večina dobrih ponudnikov shrani hash, ki je močno odporen na povratno inženirstvo – potem je med njima vaše tveganje veliko znižan.
Moč potrdil strank (in kaj so)
Verjetno še nikoli niste slišali za potrdila odjemalcev, vendar dejansko obstajajo že zelo dolgo (seveda v internetnih letih). Razlog, da zanje verjetno še niste slišali, je ta, da jih je težko dobiti. Precej lažje je prepričati uporabnike, da izberejo geslo, zato samo spletna mesta z visoko stopnjo varnosti običajno uporabljajo potrdila.
Kaj je potrdilo stranke? Potrdila strank dokazujejo, da ste oseba, za katero trdite, da ste. Vse, kar morate storiti, je, da ga namestite (in deluje na številnih spletnih mestih) v brskalniku, nato pa se odločite za uporabo, ko spletno mesto želi, da preverite pristnost. Ti certifikati so bližnji sorodniki potrdil SSL, ki jih spletna mesta uporabljajo za identifikacijo v vašem računalniku.
Najučinkovitejši način, kako lahko spletno mesto zaščiti vaše podatke, je, da jih sploh nikoli ne poseduje.
Prednosti certifikatov strank: Ne glede na to, na koliko spletnih mest se prijavite s potrdilom odjemalca, je moč matematike na vaši strani; nihče ne bo mogel uporabiti tega istega potrdila, da bi se pretvarjal, da ste vi, tudi če opazuje vašo sejo.
Tveganja potrdil strank: Primarno tveganje potrdila odjemalca je, da lahko nekdo vdre tvoje računalnik in ga ukradejo, vendar obstajajo ublažitve tega tveganja. Druga možna težava je, da tipična potrdila odjemalca vsebujejo nekatere podatke o identiteti, ki jih morda ne želite razkriti vsakemu spletnemu mestu, ki ga uporabljate. Čeprav so potrdila odjemalcev prisotna že od nekdaj, v spletnem strežniku obstaja delujoča podpora programske opreme, je tako na strani ponudnikov storitev kot na strani brskalnikov še veliko dela delajo dobro. Ker se uporabljajo tako redko, jim razvoj ne posveča veliko pozornosti.
Najpomembneje: šifriranje od konca do konca
Najučinkovitejši način, kako lahko spletno mesto zaščiti vaše podatke, je, da jih sploh nikoli ne poseduje – vsaj ne različice, ki jo lahko prebere. Če lahko spletno mesto prebere vaše podatke, lahko napadalec z zadostnim dostopom prebere vaše podatke. Zato nam je všeč šifriranje od konca do konca (E2EE).
Kaj je šifriranje od konca do konca? To pomeni, da si šifrirati podatke na vaši strani in to ostane šifriran, dokler ne doseže osebe, ki ji ga namenjate, ali se vrne k vam.
Prednosti E2EE: Šifriranje od konca do konca je že implementirano v nekaj storitvah, kot so spletne varnostne storitve. V nekaterih storitvah za sporočanje obstajajo tudi šibkejše različice, zlasti tiste, ki so se pojavile po razkritju Snowdna. Spletnim mestom je težko izvajati šifriranje od konca do konca iz dveh razlogov: morda morajo videti vaše podatke, da zagotovijo svoje storitve, spletni brskalniki pa so pri izvajanju E2EE grozni. Toda v dobi aplikacij za pametne telefone je šifriranje od konca do konca nekaj, kar je mogoče in bi bilo treba izvajati pogosteje. Večina aplikacij danes ne uporablja E2EE, vendar upamo, da ga bomo v prihodnje videli še več. Če vaše aplikacije ne uporabljajo E2EE za vaše občutljive podatke, se pritožite.
Tveganja E2EE: Da bi šifriranje od konca do konca delovalo, ga je treba izvajati na vseh področjih – če aplikacija ali spletno mesto to počne samo na pol, se lahko celotna hiša iz kart sesuje. En del nešifriranih podatkov je včasih mogoče uporabiti za dostop do ostalih. Varnost je igra najšibkejšega člena; samo en člen v verigi ne sme prekiniti.
Torej, kaj zdaj?
Očitno je, da vi kot uporabnik ne morete veliko nadzorovati. Imeli boste srečo, če boste našli storitev, ki uporablja enkratna gesla z avtentifikatorjem. Vsekakor pa se morate pogovoriti s spletnimi mesti in aplikacijami, ki jih uporabljate, ter jim sporočiti, da se zavedate napak v programski opremi in menite, da bi morali varnost jemati bolj resno in se ne preprosto zanašati nanjo gesla.
Če bo več interneta uporabljalo te napredne varnostne metode, bo morda naslednjič prišlo do programske katastrofe Heartbleeda – in tam volja sčasoma – ne bo nam treba toliko panike.
[Slika z dovoljenjem scyther5/Shutterstock]
