Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Septembra 2024)
Správy tohto týždňa dominovali diskusie o chybe Heartbleed, ktorá hackerom umožňuje zbierať údaje priamo z pamäte postihnutých zabezpečených serverov. Zachytené údaje môžu obsahovať šifrovacie kľúče, heslá a akékoľvek údaje odoslané prostredníctvom údajne zabezpečeného kanála HTTPS. Chyba je prítomná už dva roky a keďže útok nezanecháva žiadne stopy, nevieme, koľko sa zneužilo.
Kto je zraniteľný?
Sprievodcovia heslami na serveri LastPass pridali do správy Security Check (Kontrola zabezpečenia) produktu nové vrásky. Teraz okrem označovania slabých a duplicitných hesiel obsahuje zoznam všetkých vašich uložených webov, ktoré sú alebo boli zraniteľné voči Heartbleed. Požiadal som niekoľko kolegov používateľov LastPass, aby mi poslali výsledky tejto správy, aby som získal pocit, čo je tam vonku.
Mám v LastPass uložených viac ako 200 hesiel. Iba šesť z nich bolo označených za zraniteľné a dva už boli opravené. Po pridaní výsledkov od mojich kolegov som videl 50 zraniteľných stránok, z ktorých 30 ešte nebolo opravených.
V správe LastPass sa odporúča zmeniť heslo pre webové stránky, ktoré boli opravené kvôli oprave chyby. Pokiaľ ide o ostatných, navrhuje sa počkať, kým web ohlási aktualizáciu, pretože vaše úplne nové heslo by bolo stále zraniteľné. Pre seba by som navrhol, aby ste si vybrali Heartbleed ako budiaci hovor, aby ste zmenili všetky svoje heslá, uistite sa, že každý z nich je silný a že žiadne dva weby nepoužívajú rovnaké heslo. Po ich opravení budete musieť znova zmeniť heslá pre stále zraniteľné stránky, ale ich zmena teraz minimalizuje riziko vystavenia.
Najlepšie obchody
Z iného pohľadu som vzal Alexa na 20 najobľúbenejších nákupných webov a prešiel ich niekoľkými online testami. Výskumník Filippo Valsorda vytvoril test krátko po zlomení správ Heartbleed. LastPass tiež organizuje test na požiadanie
Výsledky Valsordovej testu som zistil trochu mätúce. Test vrátil chybové hlásenie „zlomená rúra“ alebo „časový limit i / o“ pre päť z 20 stránok, ktoré som vyskúšal. Deväť miest získalo čistý zdravotný stav, pretože podľa testu sa zistilo, že boli „pevné alebo neovplyvnené“. Zvyšných šesť vrátilo chybovú správu kvôli skutočnosti, že pripojenie bolo odovzdané do siete na doručovanie obsahu a certifikát CDN sa nezhodoval s doménou, ktorú som zadal. Zaškrtnutím políčka ignorovať certifikáty sa všetky tieto výsledky stanú výsledkom „opravených alebo neovplyvnených“, ale testovacia stránka upozorňuje, že to môže byť nesprávny výsledok.
Testovacia stránka dodávaná spoločnosťou LastPass poskytuje omnoho viac informácií. Uviedlo desať z týchto lokalít ako pravdepodobne nebezpečných. To znamená, že test nemohol určiť, či web používa OpenSSL, kryptografickú knižnicu ovplyvnenú chybou Heartbleed. Štyri z týchto lokalít boli pravdepodobne zraniteľné, pretože používajú OpenSSL a dva z nich sú teraz bezpečné. Štyri ďalšie weby určite neboli zraniteľné a ten, ktorý bol určite zraniteľný, je teraz bezpečný. Zostane iba jeden web, ktorý sa nedá analyzovať z dôvodu chyby pripojenia.
Tester LastPass Heartbleed tiež hlási, ako nedávno sa zmenil certifikát SSL každej stránky. Certifikát, ktorý sa zmenil krátko po správach o zlomení Heartbleed, je celkom dobrým znakom toho, že stránka bola ovplyvnená, ale teraz je bezpečná.
Pokiaľ ide o všetky stránky, ktorých stav nie je jasný, najlepšou stávkou je čakať na oznámenie zo samotnej stránky. Ale buďte opatrní. Neklikajte na žiadny odkaz na obnovenie hesla, ktorý dostanete v e-maile, pretože niektoré z nich sú podvodmi. Prejdite priamo na web, zmeňte svoje heslo a ubezpečte sa, že správca hesiel túto zmenu vyzdvihne.
Držte krok s pokračujúcim pokrytím chyby Heartbleed spoločnosťou PCMag.
