Пропускане към основното съдържание

Какво е Heartbleed и как да се защитим


Heartbleed bug Exposes PasswordsЗащитени ли сте от критичната грешка Heartbleed на OpenSSL- технологията за криптиране, който защитава, или поне би трябвало, чувствителна информация като нашите електронни пощенски кутии, пароли и банкови сметки?


Heartbleed грешката отваря „задната“ врата на киберпрестъпниците (не, нямаме предвид NSA!) да получат чувствителни данни, чрез достъп до паметта на компютъра.

Какво е Heartbleed грешка?

SSL и TLS служат за осигуряване на комуникационната сигурност и защита на личните данни за различни приложения в Мрежата като интернет страници, електронни пощи, бързи съобщения или виртуални частни мрежи (VPN).
Heartbleed е критична грешка (CVE-2014-0160) в популярната криптографска библиотека OpenSSL, която се използва в TLS (transport layer security protocols) и DTLS (Datagram TLS) (RFC6520).
Грешката е изследвана независимо едни от други от Riku, Antti и Matti, инженери по сигурността от Codenomicon, и Neel Mehta от Google Security, който първи докладва на OpenSSL екипа.
Софтуерните грешки не са единично явление, но тази е опасна с това, че милиони частни ключове и пароли могат да бъдат извлечени от паметта на сърварите. Това включва и потребителски имена, пароли, номера на кредитни карти и банкови сметки.

Разпространение

OpenSSL е най-често използваната криптографска библиотека за Apache и nginx Web които поддържат Transport Layer Security (TLS) разширението, наречено Heartbeat, което е добавено към TLS през 2012. Само двата сървъра, Apache и nginx, държат около 66% от активните мрежи, според изследването Netcraft's April 2014 Web Server Survey. Изследователите споменават за около 600 000 сървъра, засегнати от грешката, включително imgur, Hidemyass, Yahoo!, Flickr, Tumbler, Google, OKCupid, Twitter, Facebook, GitHub, Bank of America, DropBox, DuckDuckGo (частичен списък или тук). Според това изследване heartbeat разширението се използва в 17.5% от SSL мрежите. От друга страна само Yahoo има над 800 потребители…
yahoo password cracking

OpenSSL се използва и за защита на пощенските сървъри (SMTP, POP и IMAP протоколи), чат сървъри (XMPP протокол), виртуални частни мрежи (SSL VPNs), мрежови приложения и огромно количество клиентски софтуер.
Заради грешката Канадската данъчна служба (Canada Revenue Agency) прекрати събирането на данъци по електронен път,  най-голямата аудиоплатформа SoundCloud прекрати временно дейността си до решаване на проблема. Почти всички засегнати изпратиха писма до абонатите си, с които ги уведомяват за проблема и какво се прави за решаването му. Други, като някои български банки, се правят, че такъв проблем не съществува. Съществува и рискът от phishing - да получите фалшиво писмо, уж от вашата банка или любим сайт, в което има линк за смяна на паролата. Никога не го използвайте, а отидете на съответния сайт и сменете паролата си през контролния си панел! В противен случай рискувате доброволно „да дадете“ паролата си на злонамерени люде.

Как работи Heartbeat?

Това не проблем на TLS/SSL технологията, която криптира Интернет, нито на OpenSSL. Това е просто програмна грешка. Heartbeat (англ. пулс) разширението е създадено от германският програмист д-р Robin Seggelmann в опит да се разширят възможностите и да се оптимизира работата на OpenSSL и предложено за одобрение на Нова година 2011/2012. Използвайки го два свързани компютъра си потвърждават връзката помежду си чрез обмяна на данни. Клиентът (потребителят) праща своя heartbeat към сървъра (мрежата) и сървърът го връща обратно. Ако единият от тях се изключи, другият ще разбере това чрез механизма на синхронизация.
Когато този heartbeat е изпратен, малка част от паметта на сървъра, около 64 kb, се прикача към отговора и атакуващият може да да я прихване, което води до изтичане на чувствителна информация като съдържание на съобщение, лични данни на потребителя, частни ключове и др. С изпращането на множество заявки атакуващият може да „сглоби“ значителен обем от информацията в паметта на сървъра.
Това означава че SSL частни ключове, потребителски имена и пароли, електронни съобщения и важни бизнес документи и комуникация могат да станат „собственост“ на киберпрестъпниците.
Тъй като ⅔ от сървърите използват OpenSSL, информацията от стотици хиляди сайтове може да бъде компрометирана. Грешката е отстранена в OpenSSL v1.0.1g.
Най-големите доставчици като Gmail, YouTube, Facebook, Tumblr, Yahoo и Dropbox фиксират проблема своевременно, но има много сайтове, на които това още предстои. Повечете от тях съветват потребителите своевременно да сменят паролите си, докато това стане.

Как да проверите дали посещаваните от вас мрежи са заплашени?

1. Може да започнем от себе си, особено ако използвате компютъра си като малък (домашен) сървър:



Проблемните версии на OpenSSL са 1.0.1 до 1.0.1f и 1.0.2-beta1 и трябва да се надградят до OpenSSL 1.0.1g. Проблемът е „пуснат на свобода“ през март 2012 и не е открит в по-старите версии.
2.  Можете да отидете на http://filippo.io/Heartbleed/ и да въведете името или ip адреса на сайта, от който се интересувате. Ако се покаже червено поле, по-добре засега избягвайте този адрес.




3. Ако използвате LastPass за генериране и съхранение на паролите си можете да използвате директна връзка, като чукнете на иконата на LassPass добавката > Tools > Security Check, за да проверите сигурността на съхранените сайтове. Резултатът не е много радващ:




Ако не сте абонат на услугата можете да отидете на уеб приложението, създадено за  проверка на произволен сайт:




4. Provensec също предлага скенер на адрес http://provensec.com/heartbleed/:




5. GlobalSign SSL Configuration Checker:




6. Ако любимият ви браузър е Google Chrome, използвайте добавката Chromebleed, създадена от изследователя Jamie Hoyle.

Какво още можете да направите?

1. Дори сайтовете, които посещавате да не са засегнати, добра идея е да смените паролите си. Наскоро бяха откраднати над 10 милиона пароли от Adobe (03.11.2013), това се случва всекидневно.
2. Не използвайте една и съща парола за всички пощенски кутии и сайтове.
3. Избягвайте пароли от типа qwerty или p@ssw0rd.
4. Посещаването на сайтове с чувствителна информация от обществени места като киберкафета или общественодостъпни Wi-Fi точки не е добра идея.
5. Следете кореспонденцията си и особено финансовите транзакции. SMS уведомяването за извършени преводи е добра идея. Двуфакторната потвърждение, чрез парола и чрез генериран в момента код, изпращан от финансовата институция чрез SMS или чрез персонално устройство (напр. U-Code на ОББ), е силно препоръчително.


Според Robin Seggelmann това е просто грешка, която за жалост засяга много чувствителна област и „обичайните заподозрени“ US National Security Agency (NSA) и другите разузнавателни служби не са замесени. Дали?

Източници:


Етикети:

Коментари

Публикуване на коментар

Популярни публикации от този блог

Проектиране на кемпер с VehiPlan

Оливер Колонж (Oliver Collonge) написва през 2011 г. втора версия на безплатната програма за дизайн на кемпери VehiPlan . Според автора тя е писана и трябва да работи под Windows 2000/Vista. Пробите показват, че работи нормално и под Windows 7 и 10. След като свалите архива (zip) можете да го разархивирате в C:\Windows\Program Files (x86)\. Програмата е с френски интерфейс и затова са необходими още няколко файла - vb6fr.dll , comdlg32.ocx & mscomctl.ocx . Тези файлове се поставят в C:\Windows\SysWOW64\. Comdlg.ocx се поставя в C:\Windows\System32\. След това е необходимо да се стартира Command Prompt (cmd - като администратор) и да се изпълни командата: regsvr32 %systemroot%\system32\comdlg32.ocx Ако възникне някакъв проблем, по-нова версия на файла може да се свали от тук . След това трябва да направим препратка към C:\Program Files (x86)\VehiPlan-2-0-0\VehiPlan.exe за по-удобно стартиране, която да поставим на работния плот или друго подходящо място. В архивния файл на програмат
Публикуване на коментар
Прочетете още

Диаграма на Гант с електронна таблица

Диаграмата на Гант се състои от ленти, ориентирани успоредно на времевата ос. Всяка лента представлява отделна задача в проекта (вид работа), краищата ѝ — началния и крайния момент на изпълнението  ѝ, а дължината ѝ - продължителността на задачата. Тези диаграми могат да се използват и за други, не точно производствени, цели - например да покажат заетостта на учебна зала. Когато представянето на данните е регулярна задача може да се използва специализиран софтуер като GanttProject, но за инцидентна визуализация можем да се справим с „подръчни средства“. Сега ще покажем как с електронна таблица (LibreOffice Calc) ще визуализираме времето, за което няколко служители са работили във фирмата: Изходните данни са в няколко колони: Продължителността на трудовия стаж в дни определяме с формулата D2=C2-B2, като я копираме за всеки последващ ред. На 6-и ред съответно с функцията MIN и MAX определяме минимална и максимална дата в таблицата, а на 7-и ред - записваме начална (1.1.1989) и
Публикуване на коментар
Прочетете още

MD5 и SHA-1 хеш алгоритми

MD5 (от „message-digest“) криптографският алгоритъм е създаден през 1991 г. от проф. Роналд Райвест и за първи път е публикуван през април 1992 г. Целта му е да замени компрометирания MD4 алгоритъм, който не е достатъчно сигурен. В последствие се оказва, че и MD5 не отговаря на съвременните изисквания за сигурност и може да бъде разбит. MD5 е построен върху конструкцията на Merkle–Damgård и генерира шестнайстично число със фиксиран размер от 32 символа (128 бита) за входящо съобщение с произволна дължина. Идеята е да се създаде уникален идентификатор за съобщението, който да гарантира неговата истинност. Например: MD5("The quick brown fox jumps over the lazy dog") = 9e107d9d372bb6826bd81d3542a419d6 Дори малка промяна, напр. добавя не точка в края на входящото съобщение би трябвало да генерира нов уникален идентификатор: MD5("The quick brown fox jumps over the lazy dog . ") = e4d909c290d0fb1ca068ffaddf22cbd0 Дължината на вход
Публикуване на коментар
Прочетете още