Ano ang Heartbleed Bug at Paano Protektahan ang iyong sarili at Manatiling Ligtas?

Halos 70 porsiyento ng trapiko sa Internet ang gumagamit ng OpenSSL upang ma-secure ang paglilipat ng data. Na sinasalin sa halos lahat ng mga pangunahing server (read: websites) gamitin ang OpenSSL upang ma-secure ang iyong data tulad ng mga kredensyal sa pag-login. Gayunpaman, nakakita ang isang tao mula sa Google ng isang bug sa OpenSSL - isang menor de edad programming error ngunit sapat na malaki upang mabigyan ang iyong data sa mga hacker - mga tao na gustong gamitin ang iyong data para sa kanilang mga layunin. Ang OpenSSL bug ay pinangalanang Heartbleed dahil ito ay malapit na nauugnay sa ilang HeartBeat layer ng OpenSLL.

Ano ang Heartbleed Bug

Karamihan sa mga server ay tumatanggap ng naka-encrypt na data, mabasa ito gamit ang mga key ng pag-encrypt at ipasa ito para sa pagproseso. Dahil ang karamihan sa mga server ay gumagamit ng FIFO (Unang sa First Out) na paraan upang maghatid ng mga end user, kadalasan, ang data (pagkatapos ng decryption) ay nakaupo sa memorya ng server sa loob ng ilang sandali bago makuha ito ng server para sa karagdagang pagproseso. isang kaso ng pag-aalala para sa halos lahat ng mga komersyal na website na nakabatay sa Internet at ilang iba pang mga uri. Ang error sa programming na ito ay nagbibigay-daan sa mga hacker na suriin ang anumang server na gumagamit ng OpenSSL at basahin / i-save / gamitin ang unencrypted data (decrypted data). Ang mga Hacker ngayon ay hindi lamang magkaroon ng access sa iyong data, maaari nilang kopyahin ang sertipiko ng website na ginagawa ang Internet, mas mapanganib na lugar. Gamit ang kopya ng sertipiko ng website, ang mga hacker ay maaaring lumikha ng mga site na may gayuma: mga site na katulad ng mga orihinal na site. Sa gayon, maaari nilang higit pang ma-access ang iyong data tulad ng mga detalye ng credit card, personal na impormasyon atbp

Ang mga tunog ay nakakatakot, hindi ba? Ito ay - sa katunayan - dahil maaari itong ma-access ang iyong impormasyon at ang impormasyon na maaaring magamit sa anumang dulo.

Tandaan

: Ang Heartbleed ay mayroon ding isang code name CVE-2014-0160. Ang ibig sabihin ng CVE ay para sa Mga Karaniwang Kahinaan at Mga Pagkalantad. Ang mga kodigong ito na may kaugnayan sa mga kahinaan atbp ay ibinigay ng MITER, isang malayang katawan na nagpapanatili ng mga track ng mga bug at katulad na mga isyu. Dapat ko bang i-upgrade ang aking Anti-Virus o isang bagay

Ang Heartbleed bug sa OpenSSL ay walang anumang gagawin gamit ang iyong antivirus o firewall. Ito ay hindi isang isyu sa panig ng kliyente upang maaari mong gawin ang kaunti tungkol dito. Sa kabilang panig, kailangang mag-aplay ang mga server ng isang patch sa sistema ng OpenSSL na ginagamit nila. Na tapos na, ang website ay maaaring sinabi na mas ligtas para sa pakikipag-ugnay.

Ang maaari mong gawin bilang isang gumagamit ay upang bawasan ang bilang ng mga pagbisita sa commerce at katulad na mga site. Ito ay hindi na ang bug ay nakakaapekto lamang sa mga site ng commerce. Ito ay pantay para sa lahat ng uri ng mga website na gumagamit ng OpenSSL. Sinasabi ko na maiwasan ang mga site ng commerce para sa isang habang bilang ang magiging pangunahing target para sa mga hacker na nais ang mga detalye ng iyong card atbp Ito ay nangangahulugan na ang pangunahing target ng mga hacker ay magiging e-commerce na site gamit ang OpenSSL.

Sa sandaling makakuha ka ng mensahe / ulat na ang bug ay naayos, maaari kang magpatuloy tulad ng iyong ginagamit upang gawin bago ang bug ay natuklasan. Ang OpenSSL ay lumikha ng isang patch at inilabas ito para sa mga may-ari ng website upang ma-secure ang data ng kanilang mga gumagamit. Hanggang sa panahong iyon, subukang iwasan ang mga site kung saan kailangan mong ibigay sa iyong data sa anumang anyo - kahit na mga kredensyal sa pag-login. Sigurado ako na halos lahat ng mga webmaster ay dapat pumunta para sa patch ngunit mayroon pa ring problema. Sa sandaling sigurado ka na walang mga kahinaan o ang mga kahinaan na ito ay nai-patched, maaari itong maging isang magandang ideya upang baguhin ang iyong mga password.

Samantala, gamitin ang mga extension ng browser upang balaan ka sa mga website na naapektuhan ng Heartbleed.

Mga Certificate ng Site na kinopya sa pamamagitan ng Heartbleed kailangang matugunan

May mga mataas na pagkakataon na ang mga sertipiko ng seguridad ng website ay maaaring nakopya para sa paglikha ng mga nakakahamak na website. Dahil ang mga sertipiko ng seguridad bilang pangkalahatang mga kopya, ang iyong mga browser ay hindi maaaring sabihin ang pagkakaiba. Ikaw ang dapat manatiling maingat. Iwasan ang pag-click sa mga link at sa halip, i-type ang URL ng website sa address bar upang hindi ka ma-redirect sa ilang mga pekeng site.

Ang suliraning ito ay maaaring malutas sa dalawang paraan:

Ang mga browser na makukuha sa merkado ay dapat na maging sapat na matalino upang matukoy ang mga kinopyang sertipiko at alertuhan ka.

1. Ang mga webmaster ay nagbago ng mga sertipiko pagkatapos ng paglalapat ng patch.
2. Sa ibang salita, magkakaroon ng ilang oras upang maipatupad sa itaas kahit na magamit ng mga webmaster ang patch. Gusto kong ulitin na huwag i-click ang mga link sa mga email o di-ipinalalagay na mga website. Sa simple, i-type ang URL sa address bar o kung may naka-bookmark na ang orihinal na site, gamitin ang bookmark.

Ang seksyon ng Mga Sanggunian sa dulo ng artikulong ito ay naglalaman ng isang hindi kasamang listahan ng mga apektadong website.

Mga sanggunian:

Puso Bleed: Website

• OpenSSL: Security Advisory For Heart Bleed
• Git Hub: Listahan ng mga Naapektuhan Websites