Видео: Heartbleed Exploit - Discovery & Exploitation (Ноябрь 2024)
На этой неделе мы узнали, что популярная криптографическая библиотека была полностью уязвима для атак в течение двух лет. Ошибка, названная первооткрывателями «Heartbleed», позволяет киберкруксам подорвать службу пульса, которая поддерживает безопасное соединение между двумя компьютерами. Как только они войдут, они смогут украсть ключи безопасности, учетные данные для входа и все зашифрованные данные. Хуже того, такая атака не оставляет следов.
Вы лично ничего не можете сделать, чтобы решить проблему. Владельцы серверов, на которых работает уязвимое программное обеспечение, должны принять меры. В частности, они должны обновиться до не уязвимой последней версии, отозвать все ключи безопасности сайта, а затем повторно выдать ключи. Тем не менее, вы можете что-то сделать с вашими открытыми паролями; изменить их все!
Кто уязвим?
Это правда, что не все ваши защищенные сайты уязвимы, хотя, по оценкам экспертов, ошибка может быть у двух третей всех серверов. С помощью этого теста вы можете проверить любой конкретный домен. Тест, предлагаемый LastPass, дает еще больше информации. Например, сайт, который использует OpenSSL и восстановил свои сертификаты безопасности за последние два дня, вполне мог быть уязвим и раньше.
Вы захотите пройти и протестировать все безопасные веб-сайты, которые вы используете. Запишите все, что в данный момент уязвимо; вам придется вернуться к ним. На самом деле, тщательно подумайте об уязвимых. Вы действительно нуждаетесь в них и используете их? Если нет, рассмотрите возможность удаления своего профиля и всей другой информации и закрытия учетной записи.
Измени их все!
Неважно, является ли ваш текущий пароль «паролем» или «C5H8 & BY! 6BDB6g66rRWJ». Независимо от того, насколько он силен, плохие парни могут вытащить его из памяти неисправного сервера. Независимо от пароля, они его получают вместе с вашим именем пользователя и любыми защищенными данными, которые вы передали. Кроме того, все другие сайты, где вы использовали тот же пароль, также отображаются.
Ваши защищенные сайты делятся на три категории: те, которые все еще уязвимы, те, которые были уязвимы в прошлом, и те, которые никогда не были уязвимы. Абсолютно необходимо изменить пароль на те, которые были уязвимы в прошлом. Не помешает изменить тех, кто кажется, что они никогда не были уязвимы, особенно потому, что ты не уверен. Что касается тех, которые остаются уязвимыми, вам придется изменить их снова, но, сделав чистую проверку сейчас и убедившись, что у вас нет повторяющихся паролей, вы упростите второй раунд обновления паролей.
Как это сделать
Выход в интернет без менеджера паролей - рискованное дело. Если вы еще не используете его, сейчас самое время начать. Выбор редакции LastPass бесплатен. Dashlane, также EC, стоит всего $ 19, 99 в год.
И LastPass, и Dashlane предлагают отчет об анализе паролей, который выявляет слабые и дублированные пароли. В отчете вы можете нажать на ссылку, чтобы посетить сайт и изменить пароль; Менеджер паролей примет изменения. Не надо придумывать пароль. Пусть менеджер паролей сгенерирует то, о чем никто не мог даже догадываться
Наша собственная Джилл Даффи сообщает, что она исправила ситуацию с паролями за пять недель с помощью Дашлейн. Новости Heartbleed требуют немного большей срочности. Я бы посоветовал заменить все ваши пароли на новые, уникальные как можно скорее.
Это не конец
Изменение пароля на сайтах, которые по-прежнему уязвимы для ошибки Heartbleed, по крайней мере гарантирует, что вы не будете раскрывать другие сайты, которые используют тот же пароль. Тем не менее, новый пароль полностью находится под угрозой. Если возможно, держитесь подальше от этих сайтов, пока они не будут исправлены. И когда они это сделают, измените пароль еще раз. По крайней мере, вам поможет ваш надежный менеджер паролей.