Video: Luento: Sydämen vajaatoiminta (Lokakuu 2024)
Tämän viikon uutisia ovat hallinneet keskustelut Heartbleed-virheestä, jonka avulla hakkerit voivat etsiä tietoja suoraan vaikutusalaan kuuluvien suojattujen palvelimien muistista. Kaapattu tieto voi sisältää salausavaimia, salasanoja ja kaiken väitetysti turvallisen HTTPS-kanavan kautta lähetetyn tiedon. Vika on ollut läsnä yli kaksi vuotta, ja koska hyökkäys ei jätä jälkeä, meillä ei ole aavistustakaan, kuinka paljon sitä on käytetty hyväksi.
Kuka haavoittuva?
LastPassin salasanan velhot ovat lisänneet uuden rypyn tuotteen turvallisuustarkistusraporttiin. Nyt, heikkojen ja päällekkäisten salasanojen merkitsemisen lisäksi, se sisältää kaikki tallennetut sivustot, jotka ovat alttiita Heartbleedille. Pyysin useita LastPass-käyttäjiä lähettämään minulle raportin tulokset vain saadaksesi tuntemaan, mitä siellä on.
Minulla on itse LastPassiin tallennettu yli 200 salasanaa. Heistä vain kuusi ilmoitettiin haavoittuviksi ja kaksi oli jo paikallaan. Lisäämällä kollegoideni tuloksia, näin 50 haavoittuvaa sivustoa, joista 30 ei vieläkään ole laastari.
LastPass-raportti suosittelee salasanan vaihtamista sivustoille, jotka on korjattu virheen korjaamiseksi. Muille se ehdottaa odottavan, kunnes sivusto ilmoittaa päivityksen, koska uusi salasanasi olisi silti haavoittuvainen. Oman puolestani ehdotan, että otat Heartbleedin herätyskutsuksi vaihtaaksesi kaikki salasanasi ja varmistamalla, että jokainen niistä on vahva ja että kukaan kaksi sivustoa ei käytä samaa salasanaa. Sinun on vaihdettava edelleen haavoittuvien sivustojen salasanat uudelleen, kun ne on korjattu, mutta niiden kaikkien muuttaminen minimoi altistumismahdollisuudet.
Parhaat kaupat
Toista näkökulmaa varten otin Alexan 20 suosituinta ostospaikkaa ja suoritin ne muutaman online-testin avulla. Tutkija Filippo Valsorda loi testin pian Heartbleed-uutisten rikkoutumisen jälkeen. LastPass isännöi myös on-test-testiä
Löysin Valsordan testitulokset vähän hämmentäviä. Koe antoi virheilmoituksen, kuten "rikki putki" tai "i / o-aikakatkaisu" viidelle 20: stä kokeilustani sivustosta. Yhdeksällä sivustolla oli puhdas terveyslasku, koska testi ilmoitti, että ne olivat "kiinteitä tai muuttumattomia". Jäljelle jääneet kuusi palasivat virheviestin, koska yhteys luovuttiin sisällönjakeluverkkoon eikä CDN-varmenne vastannut syöttämääni verkkotunnusta. Valintaruudun ohittaminen varmenteiden saamiseksi sai kaikki nämä "kiinteän tai muuttumattoman" tuloksen, mutta testisivu varoittaa, että tämä voi olla väärä tulos.
LastPassin toimittama testisivu antaa paljon lisätietoja. Se ilmoitti kymmenestä sivustoista olevan mahdollisesti vaarallisia. Tämä tarkoittaa, että testi ei pystynyt selvittämään, käyttääkö sivusto OpenSSL: ää, salauskirjastoa, johon Heartbleed-virhe on vaikuttanut. Neljä sivustoista oli todennäköisesti haavoittuvia, koska ne käyttävät OpenSSL: ää, ja kaksi näistä on nyt turvallisia. Neljä muuta aluetta ei ehdottomasti ollut haavoittuvia, ja yksi, joka oli ehdottomasti haavoittuvainen, on nyt turvallinen. Se jättää vain yhden sivuston, jota ei voida analysoida yhteysvirheen vuoksi.
LastPass Heartbleed -testeri raportoi myös, kuinka äskettäin kunkin sivuston SSL-varmenne muutettiin. Todistus, joka muutettiin pian sen jälkeen, kun Heartbleedin rikkoutumisesta oli uutisia, on melko hyvä osoitus siitä, että sivusto on vaikuttanut siihen, mutta on nyt turvallinen.
Kaikkien niiden sivustojen kohdalla, joiden tila on epäselvä, kannattaa odottaa ilmoitusta sivustolta. Ole kuitenkin varovainen. Älä napsauta mitään salasanan palautuslinkkiä, jonka saat sähköpostiviestissä, koska jotkut niistä ovat petoksia. Siirry suoraan sivustoon, vaihda salasanasi ja varmista, että salasanasi hallintaohjelma ottaa muutoksen käyttöön.
Pysy ajan tasalla PCMagin jatkuvasta Heartbleed-virheestä.
