วิธีการใช้อินเทอร์เน็ตในขณะที่ Heartbleed ได้รับการแก้ไขแล้ว?

มีเว็บไซต์จำนวนมากที่ไม่ได้รับความเสี่ยงอยู่ในขณะนี้ แต่ฉันไม่รู้ว่าพวกเขามีความเสี่ยงเมื่อไม่กี่วันที่ผ่านมา

ตัวอย่างเช่น:

• twitter.com: ไม่เสี่ยงในตอนนี้ แต่ใบรับรองมาจากพุธ 5 มีนาคม 00:00:00 UTC 2014
• google.com: ไม่อ่อนไหวในตอนนี้ แต่ใบรับรองมาจากพุธ 12 มีนาคม: 09: 40: 00 UTC 2014
• bankofamerica.com: ไม่เสี่ยงในตอนนี้ แต่ใบรับรองมาจากพฤ. 05 ธ.ค. 55 00:00:00 UTC

ฉันจะทำอย่างไร ไม่ใช้สิ่งเหล่านี้จนกว่าพวกเขาจะออกใหม่ ฉันจะรู้ได้อย่างไรว่าพวกเขาออกใบรับรองใหม่โดยใช้คีย์ใหม่ ดูเหมือนว่าฉันไม่ควรลงชื่อเข้าใช้เว็บไซต์เหล่านี้เพื่อเปลี่ยนรหัสผ่านของฉันเพราะไม่มีทางรู้ได้เลยว่าพวกเขาเป็นเว็บไซต์จริง

อัปเดต 2014-04-11

Cloudflare ตั้งค่าความท้าทายในการตรวจสอบว่าการดึงคีย์ส่วนตัวนั้นเป็นไปได้จริง มีการร้องขอประมาณ 100,000 ครั้งและยืนยันความกลัว มันไม่มีทางทฤษฎี แต่การพิสูจน์ คุณสามารถไปที่นี่เพื่ออ่านเกี่ยวกับมัน

นอกจากนี้บลูมเบิร์กรายงานว่าเอ็นเอสเอได้รู้จักกันเกี่ยวกับเรื่องนี้ใช้ประโยชน์สำหรับอย่างน้อยสองปี นี่เป็นเหตุผลที่ NSA มีทรัพยากรในการจ้างนักวิเคราะห์ที่มีหน้าที่เพียงอย่างเดียวในการหาช่องโหว่ในซอฟต์แวร์เช่นนี้ ตอนนี้เรารู้แล้วว่ารัฐบาลสหรัฐใช้ประโยชน์จากความน่าจะเป็นที่รัฐอื่น ๆ รู้จักและใช้ประโยชน์เป็นเวลานาน

TL; DR Watch สำหรับการประกาศจากองค์กรเกี่ยวกับสถานะของระบบเปลี่ยน รหัสผ่านทั้งหมดของคุณและดูการฉ้อโกง / กิจกรรมที่น่าสงสัยในบัญชีที่สำคัญเช่นธนาคารหรือระบบการเงินอื่น ๆ

เพื่อให้เข้าใจว่าเหตุใดสถานการณ์จึงเป็นอันตรายอันดับแรกเราต้องเข้าใจว่าการโจมตีนี้ทำอะไร CVE-2014-0160, AKA Heartbleed เป็นข้อผิดพลาดบัฟเฟอร์โอเวอร์เฮดที่ช่วยให้ผู้โจมตีได้รับหน่วยความจำมากถึง 64 kB จากเซิร์ฟเวอร์ที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่

ฟังดูแย่มาก มันทำงานอย่างไรในทางปฏิบัติ

คุณพูดถูกมันเป็นข้อบกพร่องที่ร้ายแรง แต่เราจะกลับไปดูอีกครั้งในภายหลัง ตอนนี้เรามาพูดถึงสาเหตุของการหาประโยชน์ Transport Layer Security (TLS) ใช้เพื่อรักษาความปลอดภัยข้อมูลโดยแอปพลิเคชั่นมากมายรวมถึงHTTP ( HTTPS ) หรือเพื่อรักษาความปลอดภัยSMTPหากเปิดใช้งานเช่น ใน RFC 5246 ซึ่งกำหนดมาตรฐานสำหรับ TLS จะมีฟังก์ชันที่เรียกว่า heartbeat ไคลเอ็นต์และเซิร์ฟเวอร์ส่งข้อมูลไปมาเพื่อให้การเชื่อมต่อยังคงอยู่เพื่อให้สามารถใช้งานได้ในภายหลัง ในทางปฏิบัติลูกค้าจะส่งข้อมูลบางส่วนและเซิร์ฟเวอร์จะส่งกลับและทุกอย่างยอดเยี่ยม อย่างไรก็ตามในเวอร์ชัน OpenSSL ที่ได้รับผลกระทบจะไม่มีการตรวจสอบเพื่อดูว่าลูกค้าได้ส่งข้อมูลตามจำนวนที่ระบุไว้หรือไม่ ดังนั้นถ้าฉันส่งมัน 1 ไบต์และบอกเซิร์ฟเวอร์ว่าฉันส่ง 64 kB จริง ๆ แล้วมันจะส่ง 64 kB กลับมาอย่างมีความสุข ไบต์อื่นเหล่านั้นมาจากไหน นั่นคือกุญแจสำคัญของปัญหาที่นั่น OpenSSL กำลังส่งคุณกลับ 64 kB - หน่วยความจำ 1 ไบต์ที่กระบวนการมีการเข้าถึงและที่คุณไม่ได้ส่ง แต่เดิมขึ้นอยู่กับที่เก็บ 1 ไบต์ของคุณวัสดุคีย์ส่วนตัว information และข้อมูลที่เซิร์ฟเวอร์กำลังถอดรหัสเพื่อใช้งาน ตัวอย่างของเรื่องนี้จะเป็น: รหัสผ่านข้อมูลบัตรเครดิตและ / หรือPIN ของ

ตกลง. นั่นหมายความว่าเพื่อความปลอดภัยของข้อมูล? หากคุณเข้าใจวิธีการทำงานของการเข้ารหัสแบบอสมมาตรคุณก็รู้อยู่แล้วว่านี่เป็นเรื่องร้ายแรงเนื่องจากการเปิดเผยทำให้เกิดการเข้ารหัสไม่มากไปกว่าการทำให้งงงวย ซึ่งหมายความว่าแม้ว่าเซิร์ฟเวอร์อาจได้รับการแก้ไขและไม่มีหน่วยความจำรั่วอีกต่อไป แต่เซสชันก็อาจไม่ปลอดภัย อาจเป็นไปได้ว่าสิ่งนี้ถูกนำไปใช้ประโยชน์ก่อนที่จะมีการเปิดเผยต่อสาธารณชนหรือในขณะที่กำลังทำการปะแก้ไข แต่ขณะนี้ยังไม่มีวิธีการพิสูจน์ว่าแสดงให้เห็นว่ามีการโจมตีเกิดขึ้น เป็นไปได้ว่ากฎสำหรับIDSอาจพร้อมใช้งานแต่ ณ ตอนนี้ยังไม่เป็นจริง กฎ IDS ถูกเผยแพร่แล้ว ของตัวเองนั้นอันตรายอย่างยิ่งเพราะผู้ปฏิบัติงานไม่ทราบว่ากุญแจของพวกเขายังปลอดภัยอยู่หรือไม่

เราถูกบังคับให้สมมติว่าคีย์ถูกรั่วหมายความว่าเป็นไปได้ว่าทุกอย่างที่คุณส่งผ่านสายสามารถถูกถอดรหัสโดยบุคคลที่สาม วิธีเดียวในการลดปัญหานี้คือการสร้างคีย์และรับใบรับรองใหม่อีกครั้งในขณะที่เพิกถอนใบรับรองเก่า น่าเสียดายที่ต้องใช้เวลาเพราะCAsไม่ต้องสงสัยเลยว่าถูกน้ำท่วมด้วยคำขอเหล่านี้ในขณะนี้ ถึงกระนั้นสิ่งนี้ยังคงเป็นไปได้สำหรับการโจมตีคนกลางคนหรือโอกาสฟิชชิ่งอื่น ๆ

จะปลอดภัยเมื่อใด การรู้ว่าเมื่อไรจะปลอดภัยเป็นคำถามที่ยากลำบาก บางสิ่งที่ฉันขอแนะนำให้ดูคือการประกาศสาธารณะอธิบายว่าข้อผิดพลาดได้รับการแก้ไขในสภาพแวดล้อมของพวกเขาหรือว่าพวกเขาไม่เคยเสี่ยงเพราะพวกเขาไม่เคยใช้รุ่นที่ได้รับผลกระทบ เมื่อพวกเขาได้ประกาศว่าพวกเขาได้อัพเกรดเป็น OpenSSL เวอร์ชันใหม่ฉันจะตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้ใบรับรองใหม่ที่ลงนามหลังจากวันที่มีการวางจำหน่ายช่องโหว่ซึ่งเป็น 2014-04-07

** โปรดทราบว่าการรับส่งข้อมูลที่บันทึกไว้ก่อนหน้านี้อาจถูกถอดรหัสหากรหัสส่วนตัวถูกปล่อยออกมาในภายหลัง

ฉันสามารถทำอะไรได้บ้างในฐานะผู้ใช้เพื่อป้องกันตัวเอง

ในอีกไม่กี่วันข้างหน้าหากคุณสามารถหลีกเลี่ยงการใช้เว็บไซต์ที่สำคัญเช่นการธนาคารออนไลน์หรือการเข้าถึงแผนภูมิการแพทย์ออนไลน์ฉันขอแนะนำให้คุณทำเช่นนั้น หากคุณต้องทำความเข้าใจว่าเซสชันของคุณมีความเสี่ยงและพร้อมที่จะยอมรับผลที่ตามมา นอกจากนี้หลังจากที่องค์กรประกาศว่าพวกเขาจะไม่มีความเสี่ยงที่คุณควรเปลี่ยนรหัสผ่านของคุณ ; การใช้ตัวจัดการรหัสผ่านสามารถช่วยได้ คุณควรเตรียมพร้อมที่จะเปลี่ยนแปลงหรือตรวจสอบข้อมูลอื่น ๆ ที่คุณใช้เช่นรายละเอียดธนาคารหรือหมายเลขบัตรเครดิต

ประกาศพิเศษสำหรับนักกิจกรรม

สิ่งใดที่ใช้ OpenSSL อาจได้รับผลกระทบรวมทั้งทอร์ เป็นไปได้ว่ารัฐบาลสามารถใช้ข้อบกพร่องนี้ได้เนื่องจากการรวมอยู่ใน OpenSSL ออกมาเมื่อสองปีก่อนเพราะพวกเขาจะมีทรัพยากรมากมายที่จำเป็นสำหรับการหาช่องโหว่เช่นนี้และคุณควรเตรียมข้อมูลที่สามารถ ไม่เป็นส่วนตัวอีกต่อไป

** โปรดทราบว่าการรับส่งข้อมูลที่บันทึกไว้ก่อนหน้านี้อาจถูกถอดรหัสหากคีย์ส่วนตัวถูกปล่อยออกมาในภายหลังเว้นแต่ว่ามีการใช้การรักษาความปลอดภัยที่สมบูรณ์แบบไปข้างหน้า (PFS)

¹-มีการอ้างว่าเป็นไปได้ที่คีย์ส่วนตัวจะไม่อยู่ในหน่วยความจำ แต่ในเวลาเดียวกันก็มีการอ้างว่ามีการแยกคีย์ที่ประสบความสำเร็จ ณ จุดนี้มันไม่แน่ใจว่าด้านใดถูกต้อง

ความเสี่ยงที่เกิดจากช่องโหว่นี้กำลังมีความเสี่ยงสูงเกินไป ฉันพูดแบบนี้เพราะมีหลักฐานเป็นศูนย์ว่าช่องโหว่นี้เป็นที่รู้จักหรือถูกโจมตีก่อนที่จะมีการเผยแพร่โดยนักวิจัยเมื่อ 2 วันก่อน

ให้ฉันชัดเจนว่ามันเป็นเรื่องเร่งด่วนที่เว็บไซต์ที่มีช่องโหว่โดยเฉพาะอย่างยิ่งการทำธุรกรรมข้อมูลที่สำคัญผ่านอินเทอร์เน็ตจะได้รับการติดตั้ง เป็นเรื่องเร่งด่วนที่ลายเซ็นสำหรับการโจมตีนั้นจะถูกโหลดเข้าสู่ IDS และเครื่องมือป้องกันมัลแวร์ ภายในไอทีเราควรตอบสนองต่อช่องโหว่นี้โดยมีความสำคัญสูงสุด

ต้องบอกว่าฉันไม่รู้สึกว่าระดับความเสี่ยงที่เกี่ยวข้องกับช่องโหว่นี้โดยสื่อสาธารณะเป็นธรรม

บุคคลควรทำอะไรเพื่อป้องกันตนเอง อย่าใช้ไซต์ที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่

จนกระทั่งและหากไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้ประโยชน์การกระทำใด ๆ เพิ่มเติมนั้นไม่มีจุดหมายและเป็นแรงบันดาลใจโดยไม่มีอะไรมากไปกว่า FUD คุณไม่เห็นด้วยหรือ พิจารณาช่องโหว่จำนวนมากที่วางจำหน่ายในแต่ละเดือนหรือทุกไตรมาสที่อนุญาตให้มีการใช้รหัสโดยอำเภอใจ ผู้ที่ให้สิทธิ์รูตของผู้โจมตีหรือระดับระบบหรือที่ซึ่งผู้โจมตีสามารถได้รับสิทธิเหล่านั้นจากการเพิ่มระดับสิทธิ์มีความเสี่ยงต่อความปลอดภัยของข้อมูลทั้งหมดที่จัดการโดยระบบที่มีช่องโหว่ดังกล่าว

ในหลายกรณีช่องโหว่เหล่านี้ถูกค้นพบโดยผู้จำหน่ายซอฟต์แวร์หรือนักวิจัยที่แจ้งผู้ขาย ผู้ผลิตจัดทำแพตช์และเผยแพร่สู่ตลาดโดยไม่ต้องเผยแพร่รายละเอียดของช่องโหว่ ในบางกรณีมีการเผยแพร่รายละเอียดและการหาประโยชน์จากชุมชนความปลอดภัยเพื่อใช้ในเครื่องมือทดสอบ เราไม่ตอบสนองต่อช่องโหว่เหล่านี้โดยกล่าวว่า "ความลับทั้งหมดของเราอาจได้รับการเปิดเผย!"

หากมีหลักฐานการแสวงประโยชน์เราจะต้องตอบสนองต่อสิ่งนั้นอย่างเหมาะสม ฉันเห็นความเสี่ยงอย่างมากในการทำปฏิกิริยาเกินจริงของนักวิจัยที่ประกาศช่องโหว่นี้และในสื่อที่ขยายการพูดคุยที่หลวมของนักวิจัย พวกเขากำลังร้องไห้หมาป่า

- El viejo

ไม่ใช่ทุกเว็บไซต์ที่ใช้ไลบรารี OpenSSL สำหรับ HTTPS (เช่น GnuTLS และ PolarSSL เป็นต้น) และ OpenSSL ทุกเวอร์ชันไม่ได้รับความเสี่ยง (ไม่ใช่รุ่นเก่า) ซึ่งหมายความว่ามีโอกาสพอสมควรที่เว็บไซต์ที่คุณกล่าวถึงไม่ได้เปลี่ยนใบรับรองเพราะพวกเขาไม่ต้องการ เพียงแค่ดูวันที่ออกใบรับรองก็ไม่ได้บอกอะไรพอ

มีเครื่องมือและเว็บไซต์จำนวนมากที่สามารถช่วยคุณตรวจสอบว่าเว็บไซต์มีความเสี่ยงหรือไม่ตัวอย่างเช่น: - http://filippo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - https: / /www.ssllabs.com/ssltest/

น่าเสียดายที่คุณได้ระบุไว้แล้วสิ่งนี้ไม่ได้บอกคุณว่าเป็นแบบนั้นหรือไม่ ฉันเกรงว่าประเด็นสำคัญที่นี่คือความน่าเชื่อถือ: ไม่มีทางที่จะยืนยันว่าห้องสมุด SSL ใดที่พวกเขาใช้และใช้โดยไม่มีข้อมูลภายใน คุณต้องหวังว่าพวกเขาจะทำสิ่งที่พวกเขาต้องทำ (เพราะมันเป็นสิ่งที่ถูกต้องหรือเพราะพวกเขากลัวความอัปยศอดสูสาธารณะ) และหากพวกเขาทำคุณก็หวังได้ว่าพวกเขาจะเปิดกว้างเกี่ยวกับเรื่องนี้

แน่นอนคุณสามารถถามเว็บไซต์เหล่านี้ได้เสมอหากพวกเขาได้รับผลกระทบฉันได้เห็นเว็บไซต์จำนวนมากที่ออกแถลงการณ์สาธารณะเกี่ยวกับเรื่องนี้ การถามต่อสาธารณชนโดยใช้โซเชียลมีเดียเช่น Twitter หรือ Facebook มักจะใช้งานได้

ดังนั้นคำแนะนำที่ดีที่สุดที่ฉันสามารถให้ได้คือคำแนะนำทั่วไป: ระวังสิ่งที่คุณทิ้งไว้บนอินเทอร์เน็ตและเว็บไซต์ที่คุณไว้วางใจด้วยข้อมูลส่วนบุคคลของคุณ

เกี่ยวกับกุญแจส่วนตัวที่ถูกเปิดเผยมันมีค่าเพิ่มที่ในขณะที่บางคนอาจถอดรหัสข้อมูลในเซสชันที่เข้ารหัสเนื่องจากขณะนี้มีรหัสส่วนตัวพวกเขาจะยังคงต้องสร้างตัวเองเป็นคนที่อยู่ตรงกลางของเซสชัน . ไม่ใช่ทุกคนบนอินเทอร์เน็ตเท่านั้นที่สามารถทำได้

ความเข้าใจของฉันคือพวกเขายังคงต้องสกัดกั้นทราฟฟิกไม่ว่าจะอยู่บน LAN ในพื้นที่ของคุณและการปลอมแปลงARPหรือสามารถจี้ / เปลี่ยนเส้นทางการจราจรโดยการโฆษณาเส้นทางเท็จไปยังเราเตอร์อินเทอร์เน็ต การโจมตีประเภทนี้เป็นไปได้เสมอแม้ไม่มีช่องโหว่นี้

คุณสามารถป้อน URL สำหรับไซต์ได้ที่LastPass Heartbleed Checkerและจะแจ้งให้คุณทราบว่าไซต์ดังกล่าวหรือยังมีช่องโหว่และเมื่อใบรับรองนั้นได้รับการอัปเดต

นอกจากนี้ยังมีส่วนขยายของ Chrome ที่เรียกว่าChromebleedซึ่งจะเตือนคุณหากคุณกำลังเยี่ยมชมไซต์ที่ได้รับผลกระทบจาก Heartbleed

Mashable.comมีรายชื่อของเว็บไซต์ที่รู้จักกันดีว่าพวกเขาได้รับผลกระทบและไม่ว่าคุณควรเปลี่ยนรหัสผ่านของคุณ น่าสนใจไม่มีเว็บไซต์ใดในรายการธนาคารและนายหน้าที่ได้รับผลกระทบ

ฉันจะไปที่ไซต์ต่อไปนี้ด้วย:

https://www.ivpn.net/blog/heartbleed-passwords-change

พวกเขามีรายชื่อของเว็บไซต์ยอดนิยมที่ได้รับผลกระทบและเมื่อใดและที่คุณควรเปลี่ยนรหัสผ่านของคุณ

โดยรวมแล้วฉันจะบอกว่าอย่าให้คนหวาดระแวงมาหาคุณ ความเป็นจริงเพียงแค่สามารถถอดรหัสปริมาณการใช้งานและรับรหัสผ่านของคุณไม่เหมือนกับที่ทำจริง

หากคุณใช้การรับรองความถูกต้องด้วยสองปัจจัย (และคุณควร) ในเว็บไซต์เช่น Twitter, Facebook, Gmail และธนาคารของคุณคุณไม่ควรกังวลเกินไปจนเกินไปและแม้ว่าคุณจะไม่เป็นเช่นนั้นก็ตาม

หากคุณรู้สึกว่าจำเป็นต้องเปลี่ยนรหัสผ่านทั้งหมดของคุณคุณจะต้องไปข้างหน้าและทำตามที่คุณรู้สึกว่าคุณต้องการ นั่นคือทั้งหมดที่มีให้มันจริงๆ