วิธีการใช้อินเทอร์เน็ตในขณะที่ Heartbleed ได้รับการแก้ไขแล้ว?


119

มีเว็บไซต์จำนวนมากที่ไม่ได้รับความเสี่ยงอยู่ในขณะนี้ แต่ฉันไม่รู้ว่าพวกเขามีความเสี่ยงเมื่อไม่กี่วันที่ผ่านมา

ตัวอย่างเช่น:

  • twitter.com: ไม่เสี่ยงในตอนนี้ แต่ใบรับรองมาจากพุธ 5 มีนาคม 00:00:00 UTC 2014
  • google.com: ไม่อ่อนไหวในตอนนี้ แต่ใบรับรองมาจากพุธ 12 มีนาคม: 09: 40: 00 UTC 2014
  • bankofamerica.com: ไม่เสี่ยงในตอนนี้ แต่ใบรับรองมาจากพฤ. 05 ธ.ค. 55 00:00:00 UTC

ฉันจะทำอย่างไร ไม่ใช้สิ่งเหล่านี้จนกว่าพวกเขาจะออกใหม่ ฉันจะรู้ได้อย่างไรว่าพวกเขาออกใบรับรองใหม่โดยใช้คีย์ใหม่ ดูเหมือนว่าฉันไม่ควรลงชื่อเข้าใช้เว็บไซต์เหล่านี้เพื่อเปลี่ยนรหัสผ่านของฉันเพราะไม่มีทางรู้ได้เลยว่าพวกเขาเป็นเว็บไซต์จริง


4
ซ้ำซ้อนที่เป็นไปได้ของผู้ใช้ควรทำอะไรเกี่ยวกับ Heartbleed? ใน security.stackexchange.com
Philipp

คำตอบ:


201

อัปเดต 2014-04-11

Cloudflare ตั้งค่าความท้าทายในการตรวจสอบว่าการดึงคีย์ส่วนตัวนั้นเป็นไปได้จริง มีการร้องขอประมาณ 100,000 ครั้งและยืนยันความกลัว มันไม่มีทางทฤษฎี แต่การพิสูจน์ คุณสามารถไปที่นี่เพื่ออ่านเกี่ยวกับมัน

นอกจากนี้บลูมเบิร์กรายงานว่าเอ็นเอสเอได้รู้จักกันเกี่ยวกับเรื่องนี้ใช้ประโยชน์สำหรับอย่างน้อยสองปี นี่เป็นเหตุผลที่ NSA มีทรัพยากรในการจ้างนักวิเคราะห์ที่มีหน้าที่เพียงอย่างเดียวในการหาช่องโหว่ในซอฟต์แวร์เช่นนี้ ตอนนี้เรารู้แล้วว่ารัฐบาลสหรัฐใช้ประโยชน์จากความน่าจะเป็นที่รัฐอื่น ๆ รู้จักและใช้ประโยชน์เป็นเวลานาน


TL; DR Watch สำหรับการประกาศจากองค์กรเกี่ยวกับสถานะของระบบเปลี่ยน รหัสผ่านทั้งหมดของคุณและดูการฉ้อโกง / กิจกรรมที่น่าสงสัยในบัญชีที่สำคัญเช่นธนาคารหรือระบบการเงินอื่น ๆ

เพื่อให้เข้าใจว่าเหตุใดสถานการณ์จึงเป็นอันตรายอันดับแรกเราต้องเข้าใจว่าการโจมตีนี้ทำอะไร CVE-2014-0160, AKA Heartbleed เป็นข้อผิดพลาดบัฟเฟอร์โอเวอร์เฮดที่ช่วยให้ผู้โจมตีได้รับหน่วยความจำมากถึง 64 kB จากเซิร์ฟเวอร์ที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่

ฟังดูแย่มาก มันทำงานอย่างไรในทางปฏิบัติ

คุณพูดถูกมันเป็นข้อบกพร่องที่ร้ายแรง แต่เราจะกลับไปดูอีกครั้งในภายหลัง ตอนนี้เรามาพูดถึงสาเหตุของการหาประโยชน์ Transport Layer Security (TLS) ใช้เพื่อรักษาความปลอดภัยข้อมูลโดยแอปพลิเคชั่นมากมายรวมถึงHTTP ( HTTPS ) หรือเพื่อรักษาความปลอดภัยSMTPหากเปิดใช้งานเช่น ใน RFC 5246 ซึ่งกำหนดมาตรฐานสำหรับ TLS จะมีฟังก์ชันที่เรียกว่า heartbeat ไคลเอ็นต์และเซิร์ฟเวอร์ส่งข้อมูลไปมาเพื่อให้การเชื่อมต่อยังคงอยู่เพื่อให้สามารถใช้งานได้ในภายหลัง ในทางปฏิบัติลูกค้าจะส่งข้อมูลบางส่วนและเซิร์ฟเวอร์จะส่งกลับและทุกอย่างยอดเยี่ยม อย่างไรก็ตามในเวอร์ชัน OpenSSL ที่ได้รับผลกระทบจะไม่มีการตรวจสอบเพื่อดูว่าลูกค้าได้ส่งข้อมูลตามจำนวนที่ระบุไว้หรือไม่ ดังนั้นถ้าฉันส่งมัน 1 ไบต์และบอกเซิร์ฟเวอร์ว่าฉันส่ง 64 kB จริง ๆ แล้วมันจะส่ง 64 kB กลับมาอย่างมีความสุข ไบต์อื่นเหล่านั้นมาจากไหน นั่นคือกุญแจสำคัญของปัญหาที่นั่น OpenSSL กำลังส่งคุณกลับ 64 kB - หน่วยความจำ 1 ไบต์ที่กระบวนการมีการเข้าถึงและที่คุณไม่ได้ส่ง แต่เดิมขึ้นอยู่กับที่เก็บ 1 ไบต์ของคุณวัสดุคีย์ส่วนตัว information และข้อมูลที่เซิร์ฟเวอร์กำลังถอดรหัสเพื่อใช้งาน ตัวอย่างของเรื่องนี้จะเป็น: รหัสผ่านข้อมูลบัตรเครดิตและ / หรือPIN ของ

ตกลง. นั่นหมายความว่าเพื่อความปลอดภัยของข้อมูล? หากคุณเข้าใจวิธีการทำงานของการเข้ารหัสแบบอสมมาตรคุณก็รู้อยู่แล้วว่านี่เป็นเรื่องร้ายแรงเนื่องจากการเปิดเผยทำให้เกิดการเข้ารหัสไม่มากไปกว่าการทำให้งงงวย ซึ่งหมายความว่าแม้ว่าเซิร์ฟเวอร์อาจได้รับการแก้ไขและไม่มีหน่วยความจำรั่วอีกต่อไป แต่เซสชันก็อาจไม่ปลอดภัย อาจเป็นไปได้ว่าสิ่งนี้ถูกนำไปใช้ประโยชน์ก่อนที่จะมีการเปิดเผยต่อสาธารณชนหรือในขณะที่กำลังทำการปะแก้ไข แต่ขณะนี้ยังไม่มีวิธีการพิสูจน์ว่าแสดงให้เห็นว่ามีการโจมตีเกิดขึ้น เป็นไปได้ว่ากฎสำหรับIDSอาจพร้อมใช้งานแต่ ณ ตอนนี้ยังไม่เป็นจริง กฎ IDS ถูกเผยแพร่แล้ว ของตัวเองนั้นอันตรายอย่างยิ่งเพราะผู้ปฏิบัติงานไม่ทราบว่ากุญแจของพวกเขายังปลอดภัยอยู่หรือไม่

เราถูกบังคับให้สมมติว่าคีย์ถูกรั่วหมายความว่าเป็นไปได้ว่าทุกอย่างที่คุณส่งผ่านสายสามารถถูกถอดรหัสโดยบุคคลที่สาม วิธีเดียวในการลดปัญหานี้คือการสร้างคีย์และรับใบรับรองใหม่อีกครั้งในขณะที่เพิกถอนใบรับรองเก่า น่าเสียดายที่ต้องใช้เวลาเพราะCAsไม่ต้องสงสัยเลยว่าถูกน้ำท่วมด้วยคำขอเหล่านี้ในขณะนี้ ถึงกระนั้นสิ่งนี้ยังคงเป็นไปได้สำหรับการโจมตีคนกลางคนหรือโอกาสฟิชชิ่งอื่น ๆ

จะปลอดภัยเมื่อใด การรู้ว่าเมื่อไรจะปลอดภัยเป็นคำถามที่ยากลำบาก บางสิ่งที่ฉันขอแนะนำให้ดูคือการประกาศสาธารณะอธิบายว่าข้อผิดพลาดได้รับการแก้ไขในสภาพแวดล้อมของพวกเขาหรือว่าพวกเขาไม่เคยเสี่ยงเพราะพวกเขาไม่เคยใช้รุ่นที่ได้รับผลกระทบ เมื่อพวกเขาได้ประกาศว่าพวกเขาได้อัพเกรดเป็น OpenSSL เวอร์ชันใหม่ฉันจะตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้ใบรับรองใหม่ที่ลงนามหลังจากวันที่มีการวางจำหน่ายช่องโหว่ซึ่งเป็น 2014-04-07

** โปรดทราบว่าการรับส่งข้อมูลที่บันทึกไว้ก่อนหน้านี้อาจถูกถอดรหัสหากรหัสส่วนตัวถูกปล่อยออกมาในภายหลัง

ฉันสามารถทำอะไรได้บ้างในฐานะผู้ใช้เพื่อป้องกันตัวเอง

ในอีกไม่กี่วันข้างหน้าหากคุณสามารถหลีกเลี่ยงการใช้เว็บไซต์ที่สำคัญเช่นการธนาคารออนไลน์หรือการเข้าถึงแผนภูมิการแพทย์ออนไลน์ฉันขอแนะนำให้คุณทำเช่นนั้น หากคุณต้องทำความเข้าใจว่าเซสชันของคุณมีความเสี่ยงและพร้อมที่จะยอมรับผลที่ตามมา นอกจากนี้หลังจากที่องค์กรประกาศว่าพวกเขาจะไม่มีความเสี่ยงที่คุณควรเปลี่ยนรหัสผ่านของคุณ ; การใช้ตัวจัดการรหัสผ่านสามารถช่วยได้ คุณควรเตรียมพร้อมที่จะเปลี่ยนแปลงหรือตรวจสอบข้อมูลอื่น ๆ ที่คุณใช้เช่นรายละเอียดธนาคารหรือหมายเลขบัตรเครดิต

ประกาศพิเศษสำหรับนักกิจกรรม

สิ่งใดที่ใช้ OpenSSL อาจได้รับผลกระทบรวมทั้งทอร์ เป็นไปได้ว่ารัฐบาลสามารถใช้ข้อบกพร่องนี้ได้เนื่องจากการรวมอยู่ใน OpenSSL ออกมาเมื่อสองปีก่อนเพราะพวกเขาจะมีทรัพยากรมากมายที่จำเป็นสำหรับการหาช่องโหว่เช่นนี้และคุณควรเตรียมข้อมูลที่สามารถ ไม่เป็นส่วนตัวอีกต่อไป

** โปรดทราบว่าการรับส่งข้อมูลที่บันทึกไว้ก่อนหน้านี้อาจถูกถอดรหัสหากคีย์ส่วนตัวถูกปล่อยออกมาในภายหลังเว้นแต่ว่ามีการใช้การรักษาความปลอดภัยที่สมบูรณ์แบบไปข้างหน้า (PFS)

¹-มีการอ้างว่าเป็นไปได้ที่คีย์ส่วนตัวจะไม่อยู่ในหน่วยความจำ แต่ในเวลาเดียวกันก็มีการอ้างว่ามีการแยกคีย์ที่ประสบความสำเร็จ ณ จุดนี้มันไม่แน่ใจว่าด้านใดถูกต้อง


45
นี่เป็นข้อความที่ให้ข้อมูลมากที่สุดที่ฉันได้อ่านเกี่ยวกับการโจมตี Heartbleed แบบบ้าคลั่งที่กำลังมาแรง (บทความ / บล็อก / ข่าวโพสต์อื่น ๆ มีเพียงบิตและชิ้นส่วนของข้อมูล) งานที่ดี :) .
Radu Murzea

4
เราจะรู้ได้อย่างไรว่ามีการสร้างใบรับรองใหม่โดยใช้คีย์ใหม่

3
Note that previously recorded traffic may be decrypted if the private key was later leaked. ไม่ใช่ถ้าเซิร์ฟเวอร์ใช้รหัสลับที่มีการส่งต่อความลับ
Wes

2
@Wes คุณถูกต้องว่า PFS น่าจะรักษาความปลอดภัยของการจราจรไว้ ฉันพยายามเดินอธิบายสถานการณ์โดยไม่ทำให้ผู้คนสับสน น่าเสียดายที่ PFS ไม่ได้ถูกปรับใช้อย่างกว้างขวาง
จาค็อบ

6
หากต้องการสรุปwhat is heartbleed bug xkcd.com/1354
GoodSp33d

14

ความเสี่ยงที่เกิดจากช่องโหว่นี้กำลังมีความเสี่ยงสูงเกินไป ฉันพูดแบบนี้เพราะมีหลักฐานเป็นศูนย์ว่าช่องโหว่นี้เป็นที่รู้จักหรือถูกโจมตีก่อนที่จะมีการเผยแพร่โดยนักวิจัยเมื่อ 2 วันก่อน

ให้ฉันชัดเจนว่ามันเป็นเรื่องเร่งด่วนที่เว็บไซต์ที่มีช่องโหว่โดยเฉพาะอย่างยิ่งการทำธุรกรรมข้อมูลที่สำคัญผ่านอินเทอร์เน็ตจะได้รับการติดตั้ง เป็นเรื่องเร่งด่วนที่ลายเซ็นสำหรับการโจมตีนั้นจะถูกโหลดเข้าสู่ IDS และเครื่องมือป้องกันมัลแวร์ ภายในไอทีเราควรตอบสนองต่อช่องโหว่นี้โดยมีความสำคัญสูงสุด

ต้องบอกว่าฉันไม่รู้สึกว่าระดับความเสี่ยงที่เกี่ยวข้องกับช่องโหว่นี้โดยสื่อสาธารณะเป็นธรรม

บุคคลควรทำอะไรเพื่อป้องกันตนเอง อย่าใช้ไซต์ที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่

จนกระทั่งและหากไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้ประโยชน์การกระทำใด ๆ เพิ่มเติมนั้นไม่มีจุดหมายและเป็นแรงบันดาลใจโดยไม่มีอะไรมากไปกว่า FUD คุณไม่เห็นด้วยหรือ พิจารณาช่องโหว่จำนวนมากที่วางจำหน่ายในแต่ละเดือนหรือทุกไตรมาสที่อนุญาตให้มีการใช้รหัสโดยอำเภอใจ ผู้ที่ให้สิทธิ์รูตของผู้โจมตีหรือระดับระบบหรือที่ซึ่งผู้โจมตีสามารถได้รับสิทธิเหล่านั้นจากการเพิ่มระดับสิทธิ์มีความเสี่ยงต่อความปลอดภัยของข้อมูลทั้งหมดที่จัดการโดยระบบที่มีช่องโหว่ดังกล่าว

ในหลายกรณีช่องโหว่เหล่านี้ถูกค้นพบโดยผู้จำหน่ายซอฟต์แวร์หรือนักวิจัยที่แจ้งผู้ขาย ผู้ผลิตจัดทำแพตช์และเผยแพร่สู่ตลาดโดยไม่ต้องเผยแพร่รายละเอียดของช่องโหว่ ในบางกรณีมีการเผยแพร่รายละเอียดและการหาประโยชน์จากชุมชนความปลอดภัยเพื่อใช้ในเครื่องมือทดสอบ เราไม่ตอบสนองต่อช่องโหว่เหล่านี้โดยกล่าวว่า "ความลับทั้งหมดของเราอาจได้รับการเปิดเผย!"

หากมีหลักฐานการแสวงประโยชน์เราจะต้องตอบสนองต่อสิ่งนั้นอย่างเหมาะสม ฉันเห็นความเสี่ยงอย่างมากในการทำปฏิกิริยาเกินจริงของนักวิจัยที่ประกาศช่องโหว่นี้และในสื่อที่ขยายการพูดคุยที่หลวมของนักวิจัย พวกเขากำลังร้องไห้หมาป่า

- El viejo


9
คำตอบนี้ควรได้รับการโหวตมากขึ้น IMO มีช่องโหว่มากมายที่เผยแพร่ทุกเดือนที่อนุญาตให้ผู้คนขโมยกุญแจส่วนตัวของเซิร์ฟเวอร์และไม่ต้องกังวลเรื่องนี้อีกมาก หนึ่งนี้เป็นรุนแรงมากขึ้นกว่าค่าเฉลี่ยเนื่องจากการแพร่หลายของ OpenSSL แต่มันก็ยังคงถูกกว่า hyped
alastair

2
"จนกว่าและถ้าไม่มีหลักฐานว่าช่องโหว่นี้ถูกเอาเปรียบ" "หากมีหลักฐานการหาประโยชน์เราต้องตอบสนองต่อสิ่งนั้นอย่างเหมาะสม" คุณพูดถึงหลักฐานการแสวงประโยชน์มากมาย แต่สิ่งหนึ่งที่น่ากลัวเกี่ยวกับ Heartbleed bug คือการแสวงหาผลประโยชน์ที่ประสบความสำเร็จนั้นไม่สามารถตรวจสอบได้หลังจากความจริง (เว้นแต่คุณกำลังจัดเก็บข้อความการเต้นของหัวใจที่เข้ามาอย่างเต็มรูปแบบทุกครั้งในความเป็นอมตะและยังไม่รับประกันว่า การรักษาความปลอดภัย) คุณเสนออย่างไรเราสร้างหลังจากหลักฐานความจริงของการใช้ประโยชน์จากข้อผิดพลาดที่ประสบความสำเร็จ?
CVN

6
-1 เนื่องจากผู้เขียนคนนี้ไม่เข้าใจลักษณะการโจมตีที่ฉันไม่คิด สำหรับผู้โจมตีที่มีการเข้าถึงแบบนี้จะทำงานอย่างหนักเพื่อรักษาความลับและไม่อนุญาตให้มีหลักฐานการบุกรุกของพวกเขาออกมา ข้อผิดพลาดของการจัดเรียงแบบนี้ที่ลดการรักษาความปลอดภัยประมาณครึ่งหนึ่งของปริมาณการใช้ข้อมูลที่ปลอดภัยบนอินเทอร์เน็ตไม่ได้ส่งเสียงเรียกร้องหมาป่าเลย ฉันคิดว่ามันเป็นเรื่องร้ายแรงมาก
มุมมองวงรี

19
ฉันถือ Bruce Schneier เป็นเรื่องสำคัญที่สุดเมื่อพูดถึงเรื่องความปลอดภัยของไอที หากต้องการอ้างอิงโพสต์บล็อกของเขาเกี่ยวกับช่องโหว่ Heartbleed : "Catastrophic" เป็นคำที่ถูกต้อง โย 1-10 นี้เป็น 11 เพียงอย่างเดียวก็เพียงพอแล้วสำหรับฉันที่จะไม่เห็นด้วยอย่างยิ่งกับการดาวน์โหลตของปัญหา
abstrask

8
โพสต์นี้ควรถูกลดระดับ ปัญหาไม่ได้ถูกครอบงำมันเป็นความล้มเหลวของหายนะของ OpenSSL นอกจากนั้นแม้ว่ามันจะไม่ได้ใช้จนกว่าจะประกาศต่อสาธารณะ มีความเป็นไปได้สูงที่ NSA จะรู้เรื่องนี้ (แต่ไม่สามารถพิสูจน์ได้) มีทฤษฎีที่น่าเชื่อถือที่ชี้ให้เห็นว่าสิ่งนี้เป็นการประนีประนอมโดยเจตนาแม้ว่าผู้เขียนจะปฏิเสธก็ตาม
davidgo

5

ไม่ใช่ทุกเว็บไซต์ที่ใช้ไลบรารี OpenSSL สำหรับ HTTPS (เช่น GnuTLS และ PolarSSL เป็นต้น) และ OpenSSL ทุกเวอร์ชันไม่ได้รับความเสี่ยง (ไม่ใช่รุ่นเก่า) ซึ่งหมายความว่ามีโอกาสพอสมควรที่เว็บไซต์ที่คุณกล่าวถึงไม่ได้เปลี่ยนใบรับรองเพราะพวกเขาไม่ต้องการ เพียงแค่ดูวันที่ออกใบรับรองก็ไม่ได้บอกอะไรพอ

มีเครื่องมือและเว็บไซต์จำนวนมากที่สามารถช่วยคุณตรวจสอบว่าเว็บไซต์มีความเสี่ยงหรือไม่ตัวอย่างเช่น: - http://filippo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - https: / /www.ssllabs.com/ssltest/

น่าเสียดายที่คุณได้ระบุไว้แล้วสิ่งนี้ไม่ได้บอกคุณว่าเป็นแบบนั้นหรือไม่ ฉันเกรงว่าประเด็นสำคัญที่นี่คือความน่าเชื่อถือ: ไม่มีทางที่จะยืนยันว่าห้องสมุด SSL ใดที่พวกเขาใช้และใช้โดยไม่มีข้อมูลภายใน คุณต้องหวังว่าพวกเขาจะทำสิ่งที่พวกเขาต้องทำ (เพราะมันเป็นสิ่งที่ถูกต้องหรือเพราะพวกเขากลัวความอัปยศอดสูสาธารณะ) และหากพวกเขาทำคุณก็หวังได้ว่าพวกเขาจะเปิดกว้างเกี่ยวกับเรื่องนี้

แน่นอนคุณสามารถถามเว็บไซต์เหล่านี้ได้เสมอหากพวกเขาได้รับผลกระทบฉันได้เห็นเว็บไซต์จำนวนมากที่ออกแถลงการณ์สาธารณะเกี่ยวกับเรื่องนี้ การถามต่อสาธารณชนโดยใช้โซเชียลมีเดียเช่น Twitter หรือ Facebook มักจะใช้งานได้

ดังนั้นคำแนะนำที่ดีที่สุดที่ฉันสามารถให้ได้คือคำแนะนำทั่วไป: ระวังสิ่งที่คุณทิ้งไว้บนอินเทอร์เน็ตและเว็บไซต์ที่คุณไว้วางใจด้วยข้อมูลส่วนบุคคลของคุณ


3
รอให้เกิดข้อผิดพลาด PolarSSL อย่างหลีกเลี่ยงไม่ได้ที่จะปรากฏขึ้น (มันเป็นถัดไปในรายการ ... )
strugee

1

เกี่ยวกับกุญแจส่วนตัวที่ถูกเปิดเผยมันมีค่าเพิ่มที่ในขณะที่บางคนอาจถอดรหัสข้อมูลในเซสชันที่เข้ารหัสเนื่องจากขณะนี้มีรหัสส่วนตัวพวกเขาจะยังคงต้องสร้างตัวเองเป็นคนที่อยู่ตรงกลางของเซสชัน . ไม่ใช่ทุกคนบนอินเทอร์เน็ตเท่านั้นที่สามารถทำได้

ความเข้าใจของฉันคือพวกเขายังคงต้องสกัดกั้นทราฟฟิกไม่ว่าจะอยู่บน LAN ในพื้นที่ของคุณและการปลอมแปลงARPหรือสามารถจี้ / เปลี่ยนเส้นทางการจราจรโดยการโฆษณาเส้นทางเท็จไปยังเราเตอร์อินเทอร์เน็ต การโจมตีประเภทนี้เป็นไปได้เสมอแม้ไม่มีช่องโหว่นี้


2
ไม่จำเป็นต้องเป็นจริงกับ Heartbleed ข้อผิดพลาดเกิดขึ้นเนื่องจากข้อมูล (ข้อมูลที่ควรเข้ารหัส) สามารถถูกเปิดเผยได้โดยการเข้าถึง RAM ดังนั้นพวกเขาไม่จำเป็นต้องดักจับ / ดมการรับส่งข้อมูลเพื่อหาช่องโหว่นี้ อย่างไรก็ตามจะต้องมีซอฟต์แวร์ที่เป็นอันตรายติดตั้งอยู่บนเซิร์ฟเวอร์หรือไคลเอนต์และจะต้องมีการเข้าถึงที่เหมาะสมเพื่อเข้าถึง RAM
ub3rst4r

ไม่เช่นนั้น มันอาจถูกโจมตีจากการโจมตีแบบ Man-In-The-Middle เช่นกัน นอกจากนี้การถ่ายโอนข้อมูลหน่วยความจำที่ไม่เพียง แต่ส่งผลกระทบต่อเซสชั่นที่มันเป็นไปได้ (ขึ้นอยู่กับเนื้อหาของบล็อกหน่วยความจำ) เพื่อดูชื่อผู้ใช้ที่ไม่ได้เข้ารหัสและรหัสผ่านของผู้ใช้งานอื่นที่นอกเหนือไปจากกุญแจส่วนตัวถึง facilite ถอดรหัสการจราจร [ผ่านการโจมตี MITM]
davidgo

ฉันเดาว่าฉันควรจะชัดเจนกว่าเล็กน้อยว่าฉันอ้างอิงถึงการใช้คีย์ที่ถูกบุกรุกหลังจากที่เซิร์ฟเวอร์ได้รับการแก้ไข
PeterJ

0

คุณสามารถป้อน URL สำหรับไซต์ได้ที่LastPass Heartbleed Checkerและจะแจ้งให้คุณทราบว่าไซต์ดังกล่าวหรือยังมีช่องโหว่และเมื่อใบรับรองนั้นได้รับการอัปเดต

นอกจากนี้ยังมีส่วนขยายของ Chrome ที่เรียกว่าChromebleedซึ่งจะเตือนคุณหากคุณกำลังเยี่ยมชมไซต์ที่ได้รับผลกระทบจาก Heartbleed

Mashable.comมีรายชื่อของเว็บไซต์ที่รู้จักกันดีว่าพวกเขาได้รับผลกระทบและไม่ว่าคุณควรเปลี่ยนรหัสผ่านของคุณ น่าสนใจไม่มีเว็บไซต์ใดในรายการธนาคารและนายหน้าที่ได้รับผลกระทบ



-1

โดยรวมแล้วฉันจะบอกว่าอย่าให้คนหวาดระแวงมาหาคุณ ความเป็นจริงเพียงแค่สามารถถอดรหัสปริมาณการใช้งานและรับรหัสผ่านของคุณไม่เหมือนกับที่ทำจริง

หากคุณใช้การรับรองความถูกต้องด้วยสองปัจจัย (และคุณควร) ในเว็บไซต์เช่น Twitter, Facebook, Gmail และธนาคารของคุณคุณไม่ควรกังวลเกินไปจนเกินไปและแม้ว่าคุณจะไม่เป็นเช่นนั้นก็ตาม

หากคุณรู้สึกว่าจำเป็นต้องเปลี่ยนรหัสผ่านทั้งหมดของคุณคุณจะต้องไปข้างหน้าและทำตามที่คุณรู้สึกว่าคุณต้องการ นั่นคือทั้งหมดที่มีให้มันจริงๆ


1
การรับรองความถูกต้องด้วยสองปัจจัยจะไม่หยุดฝ่ายที่ประสงค์ร้ายไม่ให้ทำสิ่งใด ๆ ที่เป็นไปได้โดยรอบการหาประโยชน์นี้ ฉันไม่แน่ใจว่าเหตุผลที่คุณนำมันมา การเข้าถึงบัญชีโซเชียลของคุณไม่ได้เป็นเรื่องที่น่ากังวลสำหรับใครบางคนที่อาจใช้ประโยชน์จากการหาประโยชน์ใน OpenSSL ได้ตลอดไป
Ramhound

1
@ramhound ฉันพูดถึงในความคิดเห็นก่อนที่ความคิดเห็นจะถูกลบออกสองปัจจัยช่วยเพราะเมื่อไซต์มีใบรับรองใหม่ที่ออกรหัสผ่านใด ๆ ที่ผู้โจมตีอาจจะไม่มีประโยชน์อีกต่อไป เนื่องจากไม่มีจุดเปลี่ยนรหัสผ่านจนกว่าจะมีการออกใบรับรองใหม่ (และเซิร์ฟเวอร์ได้รับการแก้ไข) สิ่งที่คุณได้รับคือการรักษาความปลอดภัยบัญชีใหม่ทันทีจากการรั่วไหลของข้อมูลรับรองที่อาจเกิดขึ้นในขณะที่ผู้โจมตีมีรหัสส่วนตัว นอกจากนี้ยัง, Twitter และ Facebook เป็นสิ่งสำคัญที่พวกเขาสามารถใช้เป็นเครื่องหมายเดียวบนเว็บไซต์อื่น ๆ อีกมากมาย (รวมถึงคนนี้ผมเชื่อว่า?)
Sirex

รหัสผ่านยังคงมีประโยชน์เพราะผู้ใช้รหัสผ่านเดียวกันใช่แม้กระทั่งผู้ที่ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย ตราบใดที่ผู้โจมตีสามารถทิ้งข้อมูลเซสชันที่พวกเขาสามารถทำการโจมตี MiTM กับคุณได้
Ramhound

ใช่ แต่การใช้รหัสผ่านซ้ำเป็นความล้มเหลวแยกต่างหากจริงๆ ประเด็นของฉันคือสองปัจจัยช่วยลดความรุนแรงและอายุยืนของควันหลงที่เกิดขึ้นจริง แต่ก็ใช่ว่ามันจะไม่ช่วยในเรื่องข้อผิดพลาดที่เกิดขึ้นจริง
Sirex

@Sirex เท่าที่ฉันสามารถบอกได้ว่าไม่มีไซต์ใดที่ฉันเข้าสู่ระบบโดยใช้การตรวจสอบสองปัจจัยทำให้การยกเลิกคุกกี้ในเครื่องของฉันไม่ถูกต้อง แน่นอนว่านี่เป็นความล้มเหลวในส่วนของพวกเขา แต่ประเด็นของฉันคือในขณะนี้การตรวจสอบสองปัจจัยไม่ใช่ผู้ช่วยให้รอด ผู้โจมตีสามารถสกัดกั้นคุกกี้ได้ง่ายและใช้ตามคำขอของตนเอง นอกจากนี้เนื่องจากไม่มีวิธีที่จะรู้ว่าใครใช้ประโยชน์จากข้อผิดพลาดนี้ (แม้สำหรับผู้ดูแลระบบ) ข้อสันนิษฐานที่ปลอดภัยเพียงอย่างเดียวก็คือมันถูกเอาเปรียบ ฉันรู้ว่าตัวอย่างเช่น chase.com ยังคงมีความเสี่ยง ณ เช้าวันพุธ ไม่น่าที่ผู้โจมตีจะพลาดสิ่งนั้นไป
CrazyCasta
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.