Обесхрабрени последицама Хеартблееда? Ниси сам. Мала грешка у најпопуларнијој светској ССЛ библиотеци направила је огромне рупе у безбедносном омоту нашег комуникација са свим врстама веб локација, апликација и услуга заснованих на облаку — а рупе нису ни све закрпљен још.
Хеартблеед грешка је омогућила нападачима да скину облогу ОпенССЛ-а отпорну на њушкање и завире у комуникацију између клијента и сервера. Ово је хакерима дало поглед на ствари као што су лозинке и колачићи сесије, који су мали делови података које сервер вас шаље након што се пријавите, а ваш претраживач шаље назад сваки пут када нешто урадите како би доказао да је то тако ти. А ако је грешка утицала на финансијску локацију, можда су биле виђене и друге осетљиве информације које сте прослеђивали Интернетом, као што су подаци о кредитној картици или порезу.
Препоручени видео снимци
Како се Интернет најбоље може заштитити од оваквих катастрофалних грешака? Имамо неколико идеја.
Да, потребне су вам сигурније лозинке: ево како да их направите
У реду, боље лозинке не би спречиле следећи Хеартблеед, али ће вас можда спасити од хаковања једног дана. Многи људи су ужасни у креирању сигурних лозинки.
Све сте то већ чули: немојте користити „пассворд1“, „пассворд2“ итд. Већина лозинки нема довољно онога што се зове ентропија - дефинитивно јесу не насумично и они воља да се погоди да ли нападач икада добије прилику да много нагађа, било тако што ће ударити сервис или (вероватније) крађа хешева лозинки—математичке деривације лозинки које се могу проверити, али се не могу вратити у оригинал Лозинка.
Шта год да радите, немојте да користите исту лозинку на више од једног места.
Софтвер за управљање лозинкама или услуге које користе енд-то-енд енкрипцију такође могу помоћи. КееПасс је добар пример првог; ЛастПасс овог последњег. Добро чувајте своју е-пошту, јер се она може користити за ресетовање већине ваших лозинки. И шта год да радите, немојте да користите исту лозинку на више од једног места – само тражите невоље.
Веб локације морају да имплементирају једнократне лозинке
ОТП је скраћеница за „једнократну лозинку“ и можда је већ користите ако имате подешену веб локацију/услугу која захтева да користите Гоогле Аутхентицатор. Већина ових аутентификатора (укључујући Гоогле-ове) користи Интернет стандард који се зове ТОТП, или једнократна лозинка заснована на времену, који је овде описан.
Шта је ТОТП? Укратко, веб локација на којој се налазите генерише тајни број, који се једном прослеђује вашем програму за аутентификацију, обично преко КР код. У варијацији заснованој на времену, нови шестоцифрени број се генерише из тог тајног броја сваких 30 секунди. Веб локација и клијент (ваш рачунар) не морају поново да комуницирају; бројеви се једноставно приказују на вашем аутентификатору и ви их достављате веб локацији према захтеву у вези са вашом лозинком, а ви сте унутра. Постоји и варијанта која функционише тако што вам шаље исте кодове путем текстуалне поруке.
Предности ТОТП-а: Чак и ако би Хеартблеед или слична грешка довела до откривања и ваше лозинке и броја на вашем аутентификатору, веб локација коју сте интеракција са је скоро сигурно већ означила тај број као коришћен и не може се поново користити — а ионако ће бити неважећи у року од 30 секунди. Ако веб локација већ не нуди ову услугу, вероватно то може учинити релативно лако, а ако имате практично било који паметни телефон, можете покренути аутентификатор. Помало је незгодно консултовати свој телефон да бисте се пријавили, наравно, али безбедносна предност за било коју услугу до које вам је стало чини да се исплати.
Ризици од ТОТП-а: Провала на сервер а различит начин може довести до откривања тајног броја, омогућавајући нападачу да креира сопствени аутентификатор. Али ако користите ТОТП у комбинацији са лозинком коју веб локација не чува – већина добрих провајдера чува хеш који је јако отпоран на реверзни инжењеринг – онда између њих двоје, ваш ризик је велики спуштена.
Моћ клијентских сертификата (и шта су они)
Вероватно никада нисте чули за сертификате клијената, али они заправо постоје веома дуго (наравно, у годинама интернета). Разлог због којег вероватно нисте чули за њих је тај што их је тешко добити. Много је лакше натерати кориснике да изаберу лозинку, тако да само сајтови високе безбедности обично користе сертификате.
Шта је сертификат клијента? Сертификати клијената доказују да сте ви особа за коју тврдите да јесте. Све што треба да урадите је да га инсталирате (а један ради на многим сајтовима) у свом претраживачу, а затим одаберете да га користите када сајт жели да се аутентификујете. Ови сертификати су блиски сродници ССЛ сертификата које веб локације користе да би се идентификовале на вашем рачунару.
Најефикаснији начин на који веб локација може да заштити ваше податке је да их никада не поседује.
Предности сертификата клијената: Без обзира на колико сајтова се пријавите са клијентским сертификатом, моћ математике је на вашој страни; нико неће моћи да користи тај исти сертификат да се претвара да сте ви, чак и ако посматра вашу сесију.
Ризици сертификата клијената: Примарни ризик сертификата клијента је да неко може да провали твој рачунар и украду га, али постоје средства за ублажавање тог ризика. Још један потенцијални проблем је што типични клијентски сертификати носе неке информације о идентитету које можда не желите да откријете на свакој локацији коју користите. Иако клијентски сертификати постоје одувек, а радна подршка постоји на веб серверу софтвера, има још много посла да се уради и на страни добављача услуга и на страни претраживача они раде добро. Пошто се користе тако ретко, придају мало пажње развоју.
Најважније: Енкрипција од краја до краја
Најефикаснији начин на који веб локација може да заштити ваше податке је да их никада не поседује – барем не верзију коју може да чита. Ако веб локација може да прочита ваше податке, нападач са довољним приступом може да прочита ваше податке. Због тога волимо енд-то-енд енкрипцију (Е2ЕЕ).
Шта је енд-то-енд енкрипција? То значи да ви енцрипт подаци на вашем крају, и то остаје шифрована док не стигне до особе којој је намењена или се не врати вама.
Предности Е2ЕЕ: Енкрипција од краја до краја је већ имплементирана у неколико услуга, као што су онлајн услуге прављења резервних копија. Постоје и слабије верзије у неким сервисима за размену порука, посебно у онима које су се појавиле након Сноуденових открића. Међутим, веб-сајтовима је тешко да спроведу енкрипцију од краја до краја, из два разлога: можда ће морати да виде ваше податке да би пружили своју услугу, а веб прегледачи су ужасни у извођењу Е2ЕЕ. Али у доба апликације за паметне телефоне, енд-то-енд енкрипција је нешто што се може и треба радити чешће. Већина апликација данас не користи Е2ЕЕ, али надамо се да ћемо убудуће видети више тога. Ако ваше апликације не користе Е2ЕЕ за ваше осетљиве податке, требало би да се жалите.
Ризици Е2ЕЕ: Да би енд-то-енд енкрипција функционисала, мора се обавити свеобухватно – ако апликација или веб локација то раде само половично, цела кућа од карата може да се сруши. Један део нешифрованих података се понекад може користити за приступ остатку. Сигурност је игра најслабије карике; само једна карика у ланцу не сме да га прекине.
И шта сад?
Очигледно, не постоји много тога што ви, као корисник, можете да контролишете. Имаћете среће да пронађете услугу која користи једнократне лозинке са аутентификатором. Али свакако би требало да разговарате са веб локацијама и апликацијама које користите и да им кажете да схватате грешке у софтверу се дешавају, а ви мислите да би требало озбиљније да схвате безбедност, а не само да се ослањају на њих лозинке.
Ако више Интернета користи ове напредне безбедносне методе, можда ће следећи пут доћи до софтверске катастрофе Хеартблеед-а – и ту воља бити, на крају - нећемо морати толико да паничимо.
[Слика љубазношћу сцитхер5/Схуттерстоцк]
