التعليمات: ما هو الضعف هارتبليد وكيفية حماية نفسك منه

ثغرة أمنية اكتشفت مؤخرا في البروتوكول بينسل، يطلق عليها اسم هارتبليد، وحتى الشعار الخاص بك، يحمل تهديدا محتملا لكلمة المرور الخاصة بالمستخدم على مجموعة متنوعة من المواقع. قررنا الانتظار لهذه الضجة حوله، والحديث عن ذلك، إذا جاز التعبير، في بقايا جافة.

وهذا يساعدنا على طبعة شعبية من CNET، التي تجمع قائمة من الأسئلة المتداولة حول هذا الموضوع. نأمل أن المعلومات التالية تساعدك على معرفة المزيد عن هارتبليد وحماية نفسك. أولا وقبل كل شيء، تذكر أن موعد مع مشكلة هارتبليد لم تحل تماما.

ما هو هارتبليد؟

ثغرة أمنية في مكتبة البرامج بينسل (تنفيذ المفتوح للبروتوكول التشفير SSL / TLS) الذي يسمح للقراصنة - هارتبليد للوصول إلى محتويات خوادم الذاكرة، والتي يمكن أن تحتوي على بيانات خاصة من مختلف المستخدمين في هذه المرحلة خدمات ويب. وفقا لشركة أبحاث نيتكرافت، وهذا الضعف يمكن أن تتعرض لحوالي 500 ألف المواقع.

وهذا يعني أن على هذه المواقع يحتمل أن تكون في خطر كانت البيانات الشخصية هؤلاء المستخدمين، مثل أسماء المستخدمين وكلمات السر وبيانات بطاقات الائتمان، الخ

كما يسمح ضعف المهاجمين إلى مفاتيح رقمية، والتي تستخدم، على سبيل المثال، للمراسلة التشفير وثائق داخلية في مجموعة متنوعة من الشركات.

ما هو بينسل؟

دعونا نبدأ مع بروتوكول SSL، والتي تقف على طبقة مآخذ التوصيل الآمنة (طبقة مآخذ التوصيل الآمنة). وهو معروف أيضا تحت اسمها الجديد من TLS (أمان طبقة النقل). وهي اليوم واحدة من أكثر الطرق الشائعة لتشفير البيانات في الشبكة أن يحميك من الممكن "التجسس" على جزء. (HTTPS في بداية الارتباط إلى أن الاتصالات بين المتصفح وفتحه في الموقع باستخدام SSL، وإلا سوف ترى في المتصفح فقط المتشعب).

بينسل - تنفيذ SSL برمجيات المصدر المفتوح. تعرض مواطن الضعف لإصدار بروتوكول 1.0.1 ل1.0.1f. يستخدم بينسل أيضا في نظام التشغيل لينكس، بل هو جزء من اثنين الأكثر شعبية خادم الشبكة Apache و إنجن إكس، الذي "يعمل" جزء كبير من شبكة الإنترنت. وباختصار، فإن نطاق بينسل ضخمة.

الذي وجدت علة؟

هذا الاستحقاق ينتمي إلى العاملين في الشركة Codenomicon، والتعامل مع أمن الكمبيوتر، والتوظيف جوجل الباحث النيل ميتا (نيل ميهتا)، الذي اكتشف نقاط الضعف بشكل مستقل عن بعضها البعض، حرفيا يوم واحد.

تبرعت ميتا مكافأة قدرها 15 ألف. دولار. للكشف عن الخلل في حملة لتطوير أدوات التشفير للصحفيين العاملين مع مصادر المعلومات، والتي تأخذ حرية الصحافة مؤسسة (حرية المؤسسة الصحفية). تواصل ميتا في رفض أي حديث، ولكن صاحب العمل، وجوجل، وأعطى التعليق التالي: "إن سلامة المستخدمين لدينا هي أهم أولوياتنا. نحن نبحث باستمرار عن نقاط الضعف وتشجيع جميع لتقديم تقرير عنها في أقرب وقت ممكن حتى نتمكن من معالجتها قبل أن تصبح معروفة للمهاجمين ".

لماذا هارتبليد؟

وقد صاغ اسم من قبل هارتبليد اوسي Gerraloy (أوسي Herrala)، وCodenomicon مسؤول النظام. ومن أكثر انسجاما من الاسم التقني CVE-2014-0160، وهذا الضعف من حيث عدد تحتوي على خط من التعليمات البرمجية.

هارتبليد (حرفيا - "نزيف القلوب") - لعب على الكلام يحتوي على إشارة إلى توسيع بينسل يسمى "القلب النابض" (خفقان). أبقى بروتوكول العراء الصدد، حتى لو كان بين المشاركين لا تبادل البيانات. تعتبر Gerrala أن هارتبليد يصف تماما جوهر الضعف التي سمحت للتسرب بيانات حساسة من ذاكرة.

يبدو أن اسم لتكون ناجحة جدا لعلة، وهذا ليس من قبيل الصدفة. فريق Codenomicon تستخدم عمدا رخيم (الصحافة) الاسم الذي من شأنه أن يساعد كلا قدر الإمكان في أقرب وقت ممكن لإعلام الناس عن العثور على الضعف. ويعطيها اسم علة، Codenomicon قريبا اشترى مجال Heartbleed.com، التي أطلقت الموقع في شكل رواية الوصول إليها عن هارتبليد.

لماذا بعض المواقع التي لا تتأثر هارتبليد؟

وعلى الرغم من شعبية بينسل، هناك تنفيذ SSL / TLS الآخرين. وبالإضافة إلى ذلك، بعض المواقع تستخدم إصدار سابق من بينسل، التي هذا الخطأ غير موجودة. والبعض لم تشمل وظيفة ضربات القلب، الذي هو مصدر الضعف.

جزئيا للحد من الأضرار المحتملة يجعل من استخدام PFS (السرية إلى الأمام الكمال - السرية مستقيمة تماما)، خاصية بروتوكول SSL، والتي تضمن أنه إذا كان المهاجم استرجاع من الذاكرة الخادم مفتاح أمان واحد، وقال انه لن تكون قادرة على فك رموز كل حركة المرور والوصول إلى بقية مفاتيح. العديد من الشركات (وليس كل) بالفعل استخدام PFS - على سبيل المثال، وجوجل والفيسبوك.

كيف هارتبليد؟

نقاط الضعف مهاجمين للوصول إلى ملقم 64 كيلو بايت من الذاكرة وأداء الهجوم مرارا وتكرارا حتى فقدان البيانات كاملة. يعني ذلك أن لا تتعرض فقط لتسريب أسماء المستخدمين وكلمات السر، ولكن البيانات الكعكة التي خوادم الويب والمواقع تستخدم لتتبع نشاط المستخدم والترخيص تبسيط و. تنظيم مؤسسة الحدود الإلكترونية تنص على أن الهجمات الدورية يمكن أن تعطي الوصول إلى كل مزيد من المعلومات الخطيرة، مثل مفاتيح التشفير الموقع خاصة تستخدم لتشفير حركة المرور. باستخدام هذا المفتاح، يمكن للمهاجمين محاكاة ساخرة الموقع الأصلي وسرقة معظم أنواع مختلفة من البيانات الشخصية مثل أرقام بطاقات الائتمان أو المراسلات الخاصة.

يجب أن أغير كلمة السر؟

لمجموعة متنوعة من المواقع الإجابة ب "نعم". ولكن - من الأفضل لانتظار رسالة من موقع الإدارة، أن هذا الضعف قد تم القضاء عليها. وبطبيعة الحال، رد فعلك الأول - تغيير جميع كلمات السر على الفور، ولكن إذا لم يتم تنظيفها الضعف في بعض المواقع، وتغير كلمة لا معنى له - في الوقت الذي يعرف على نطاق واسع الضعف، وأنك يؤدي إلا إلى زيادة فرص للمهاجمين لمعرفة الجديد الخاص بك كلمة السر.

كيف لي أن أعرف أي من مواقع تحتوي على نقاط الضعف وهو ثابت؟

هناك العديد من الموارد التي تحقق في الإنترنت عن الضعف وذكرت وجودها / الغياب. نوصي مورد شركة لاست باس، مطور برامج إدارة كلمة المرور. على الرغم من أنه يعطي إجابة واضحة إلى حد ما على سؤال عما اذا كان عرضة أو ذلك الموقع، والتفكير في نتائج المراجعة بحذر. إذا تعرض للموقع وجدت بدقة - حاول أن لا أزوره.

قائمة نقاط الضعف معظم المواقع شعبية المكشوفة، ويمكنك أيضا استكشاف صلة.

الشيء الأكثر أهمية قبل تغيير كلمة المرور - للحصول على تأكيد رسمي من موقع الإدارة، الذي تم اكتشافه هارتبليد، وأنها قد خرجت بالفعل.

وهناك الكثير من الشركات قد نشرت بالفعل الإدخالات ذات الصلة على بلوق. إذا لم تكن هناك - لا تتردد في إحالة المسألة إلى الدعم.

من هو المسؤول عن ظهور الضعف؟

وفقا لصحيفة الجارديان، يتم كتابة الاسم الرمزي "عربات التي تجرها الدواب" مبرمج - Zeggelman روبن (روبن Seggelmann). وقال انه يعمل على بينسل المشروع في عملية الحصول على درجة الدكتوراه 2008-2012. ويضيف الوضع المأساوي إلى حقيقة أن تم إرسال رمز إلى مستودع، 31 ديسمبر 2011 في تمام الساعة 23:59، على الرغم من أن Zeggelman ويقول إن ذلك لا يهم، "أنا مسؤول عن هذا الخطأ، كما كتبت رمز وفعل كل ما يلزم الشيكات ".

وفي الوقت نفسه، منذ بينسل - مشروع مفتوح المصدر، فإنه من الصعب إلقاء اللوم على خطأ من شخص واحد. رمز المشروع معقد ويحتوي على عدد كبير من الوظائف المعقدة، وعلى وجه التحديد نبضات - وليس أهم منها.

هل صحيح أن لعنة وزارة الخارجية حكومة الولايات المتحدة تستخدم للتجسس هارتبليد قبل عامين الدعاية؟

انها ليست واضحة. ذكرت وكالة أنباء معروفة بلومبرج أن هذا هو الحال، لكنه يذهب تنفي كل NSA. بغض النظر، تظل الحقيقة - هارتبليد لا يزال يشكل تهديدا.

يجب أن تقلق بشأن حسابي المصرفي؟

معظم البنوك لا تستخدم بينسل، مفضلا حل التشفير الملكية. ولكن إذا كنت تعاني من الشكوك - فقط اتصل البنك الذي تتعامل معه ونطلب منهم هذا السؤال. في أي حال، فمن الأفضل لمتابعة تطور الوضع، والتقارير الرسمية من البنوك. و لا تنسى لإبقاء العين على المعاملات في حسابك - في حالة المعاملات غير مألوفة بالنسبة لك، واتخاذ الإجراء المناسب.

كيف لي أن أعرف ما إذا كان استخدام المتسللين هارتبليد بالفعل لسرقة البيانات الشخصية الخاصة بي؟

للأسف، لا - استخدام هذا الضعف لا يترك أي أثر لخادم سجلات النشاط الدخيل.

إذا كنت تريد استخدام برنامج لتخزين كلمات السر الخاصة بك، وماذا؟

من جهة، هارتبليد يثير مرة أخرى السؤال حول قيمة كلمة مرور قوية. ونتيجة لذلك من كلمات السر كتلة التغيير، قد نتساءل كيف يمكنك حتى تعزيز الأمن الخاصة بك. وبطبيعة الحال، عن ثقته مديري كلمة السر المساعدين في هذه الحالة - أنها يمكن أن تلقائيا توليد وتخزين كلمات مرور قوية لكل موقع على حدة، ولكن عليك أن تتذكر واحدة فقط كلمة سر رئيسية. على الانترنت مدير لاست باس كلمة المرور، على سبيل المثال، يصر على أنه لا يتعرض للضعف هارتبليد، ولا يمكن للمستخدمين تغيير كلمة السر الرئيسية. بالإضافة إلى لاست باس، نوصي الالتفات الى مثل هذه الحلول التي أثبتت جدواها مثل الدولية RoboForm، Dashlane و1Password.

وبالإضافة إلى ذلك، فإننا نوصي باستخدام مصادقة من خطوتين حيثما كان ذلك ممكنا (جي ميل، دروببوإكس وإيفرنوت دعم بالفعل) - ثم عندما إذن، بالإضافة إلى كلمة السر، وخدمة طلب رمز لمرة واحدة التي تعطى لك في تطبيقات الهاتف المتحرك الخاص أو إرسالها عبر SMS. في هذه الحالة، حتى إذا سرق كلمة المرور الخاصة بك، يمكن للمهاجم يست مجرد استخدامه للدخول.