Видео: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Ноябрь 2024)
В новостях этой недели преобладали дискуссии об ошибке Heartbleed, которая позволяет хакерам собирать данные непосредственно из памяти уязвимых защищенных серверов. Захваченные данные могут включать ключи шифрования, пароли и любые данные, отправленные через предположительно безопасный канал HTTPS. Ошибка присутствует более двух лет, и поскольку атака не оставляет следов, мы не знаем, насколько она была использована.
Кто уязвим?
Мастера паролей в LastPass добавили новую складку в отчет о проверке безопасности продукта. Теперь, помимо пометки слабых и дублирующих паролей, в нем перечислены все сохраненные вами сайты, которые были или были уязвимы для Heartbleed. Я попросил нескольких пользователей LastPass прислать мне результаты этого отчета, просто чтобы понять, что там.
У меня в LastPass хранится более 200 паролей. Только шесть из них были признаны уязвимыми, а два уже были исправлены. Добавляя результаты от моих коллег, я увидел 50 уязвимых сайтов, причем 30 из них до сих пор не исправлены.
В отчете LastPass рекомендуется изменить пароль для сайтов, которые были исправлены для исправления ошибки. Для остальных предлагается подождать до тех пор, пока сайт не объявит об обновлении, поскольку ваш новый пароль все еще будет уязвим. Для себя я бы предложил использовать Heartbleed в качестве пробуждения, чтобы изменить все ваши пароли, убедившись, что каждый из них является надежным и что никакие два сайта не используют один и тот же пароль. Вам придется снова менять пароли для все еще уязвимых сайтов после того, как они будут исправлены, но изменение их всех теперь сводит к минимуму потенциальную опасность.
Лучшие магазины
Для другого просмотра я взял топ-20 самых популярных торговых сайтов Alexa и провел их через пару онлайн-тестов. Исследователь Филиппо Вальсорда создал тест вскоре после выхода новостей Heartbleed. LastPass также проводит тест по требованию
Результаты теста Валсорды показались мне немного запутанными. Тест вернул сообщение об ошибке типа «сломанный канал» или «время ожидания ввода-вывода» для пяти из 20 сайтов, которые я пробовал. Девять сайтов получили чистую оценку здоровья, поскольку тест показал, что они были «исправлены или не затронуты». Оставшиеся шесть вернули сообщение об ошибке из-за того, что соединение было передано в сеть доставки контента, а сертификат CDN не соответствовал домену, в который я вошел. Если установить флажок, чтобы игнорировать сертификаты, все они получили «фиксированный или неизменный» результат, но тестовая страница предупреждает, что это может быть ложным результатом.
Тестовая страница, предоставленная LastPass, дает гораздо больше информации. Десять сайтов были объявлены небезопасными. Это означает, что тест не смог определить, использует ли сайт OpenSSL, криптографическую библиотеку, затронутую ошибкой Heartbleed. Четыре из сайтов, вероятно, были уязвимы, потому что они используют OpenSSL, и два из них теперь безопасны. Четыре других сайта были определенно не уязвимы, и один, который был определенно уязвим, теперь безопасен. Это оставляет только один сайт, который не может быть проанализирован из-за ошибки подключения.
Тестер LastPass Heartbleed также сообщает, как недавно был изменен SSL-сертификат каждого сайта. Сертификат, который был изменен вскоре после новостей о нарушении Heartbleed, является довольно хорошим показателем того, что сайт был затронут, но теперь он безопасен.
Что касается всех сайтов, статус которых неясен, лучше всего подождать объявления от самого сайта. Будьте осторожны, хотя. Не нажимайте никакую ссылку для сброса пароля, полученную по электронной почте, поскольку некоторые из них являются мошенничеством. Перейдите непосредственно к сайту, измените свой пароль и убедитесь, что ваш менеджер паролей примет это изменение.
Следите за постоянным освещением ошибки Heartbleed в PCMag здесь.