Heartbleed, Running the Code - Computerphile
Isi kandungan:
Hampir 70 peratus daripada lalu lintas di Internet menggunakan OpenSSL untuk mengamankan pemindahan data. Itu diterjemahkan ke hampir semua pelayan utama (baca: laman web) menggunakan OpenSSL untuk mengamankan data anda seperti kelayakan login. Bagaimanapun, seseorang dari Google mendapati pepijat dalam OpenSSL - kesilapan pengaturcaraan kecil tetapi cukup besar untuk menyampaikan data anda kepada penggodam - orang yang bersedia menggunakan data anda untuk tujuan mereka. Kesalahan OpenSSL ini dinamakan Heartbleed kerana ia berkait rapat dengan beberapa lapisan HeartBeat OpenSLL.
Apa itu Heartbleed Bug
Kebanyakan pelayan menerima data yang disulitkan, decode menggunakan kunci enkripsi dan ke hadapan ia diproses. Oleh kerana kebanyakan pelayan menggunakan kaedah FIFO (First in First Out) untuk berkhidmat kepada pengguna akhir, seringkali, data (selepas penyahsulitan) terletak di memori pelayan untuk sementara waktu sebelum pelayan mengambilnya untuk diproses selanjutnya.
Bug Heartbleed satu kes bimbang untuk hampir semua laman web komersial berasaskan Internet dan beberapa jenis lain. Kesilapan pengaturcaraan ini membolehkan penggodam menyemak mana-mana pelayan yang menggunakan OpenSSL dan membaca / menyimpan / menggunakan data yang tidak disenkrit (data yang disahkrit). Hacker sekarang bukan sahaja mempunyai akses kepada data anda, mereka boleh mengeluarkan semula sijil laman web menjadikan Internet, tempat yang lebih berbahaya. Dengan salinan sijil laman web, penggodam boleh membuat laman web mimik: tapak yang kelihatan sama dengan tapak asal. Dengan itu, mereka boleh mengakses data anda lebih lanjut seperti butiran kad kredit, maklumat peribadi dan lain-lain.
Bunyi menakutkan, bukan? Ia sememangnya - kerana ia boleh mengakses maklumat anda dan maklumat itu boleh digunakan ke arah mana-mana.
Nota : Heartbleed juga mempunyai nama kod CVE-2014-0160. CVE bermaksud Kerentanan dan Pendedahan Biasa. Kod-kod ini berkaitan dengan kelemahan dan sebagainya diberikan oleh MITER, sebuah badan bebas yang menyimpan jejak pepijat dan isu-isu serupa.
Sekiranya saya menaik taraf Anti-Virus saya atau sesuatu
Bug Heartbleed di OpenSSL tidak mempunyai apa-apa yang perlu dilakukan dengan antivirus atau firewall anda. Ini bukan isu kelebihan pelanggan sehingga anda boleh melakukan sedikit tentangnya. Di sisi lain, pelayan perlu memohon patch ke sistem OpenSSL yang mereka gunakan. Yang dilakukan, laman web boleh dikatakan lebih selamat untuk berinteraksi.
Apa yang dapat anda lakukan sebagai pengguna adalah untuk mengurangkan jumlah kunjungan ke tapak perdagangan dan serupa. Bukannya bug hanya memberi kesan kepada tapak perdagangan. Ia sama dengan semua jenis laman web yang menggunakan OpenSSL. Saya katakan mengelakkan laman web perdagangan untuk sementara waktu kerana mereka akan menjadi sasaran utama bagi penggodam yang akan mahu maklumat kad anda dan lain-lain. Ini bermakna sasaran utama penggodam adalah laman e-dagang menggunakan OpenSSL.
Sebaik sahaja anda mendapat mesej / melaporkan bahwa bug itu diperbaiki, Anda dapat meneruskan seperti yang biasa Anda lakukan sebelum bug ditemukan. OpenSSL telah membuat patch dan telah mengeluarkannya untuk pemilik laman web untuk memastikan data pengguna mereka. Sehingga itu, cuba untuk mengelakkan laman web yang mana anda perlu memberi dalam data anda dalam sebarang bentuk - walaupun kelayakan login. Saya yakin hampir semua webmaster mesti masuk untuk patch tetapi masih ada masalah. Sebaik sahaja anda yakin bahawa tiada kerentanan atau kelemahan sedemikian telah ditambal, ia mungkin menjadi idea yang baik untuk menukar kata laluan anda.
Sementara itu, gunakan sambungan pelayar ini untuk memberi amaran kepada anda mengenai laman web yang dipengaruhi oleh Heartbleed.
Sijil Tapak disalin melalui Heartbleed perlu ditangani
Terdapat peluang yang tinggi bahawa sijil keselamatan laman web mungkin telah disalin untuk membuat laman web yang berniat jahat. Oleh kerana sijil keselamatan sebagai salinan umum, pelayar anda tidak boleh memberitahu perbezaannya. Anda adalah orang yang perlu berhati-hati. Elakkan mengklik pautan dan sebaliknya, ketik URL tapak web dalam bar alamat supaya anda tidak dialihkan ke beberapa tapak palsu.
Masalah ini boleh diselesaikan dalam dua cara:
- Pelayar yang terdapat di pasaran perlu dibuat pintar untuk mengenal pasti sijil yang disalin dan memberi isyarat kepada anda.
- Para webmaster menukar sijil selepas menggunakan patch.
Dengan kata lain, ia akan mengambil sedikit masa untuk dilaksanakan di atas walaupun webmaster memohon patch. Saya ingin mengulangi yang tidak mengklik pautan dalam e-mel atau laman web yang tidak terkenal. Cukup, ketik URL ke dalam bar alamat atau jika mempunyai laman asal yang ditandai, gunakan penanda halaman.
Bahagian Rujukan di akhir artikel ini mengandungi senarai yang tidak komprehensif laman web yang terjejas.
Rujukan:
- Jantung Bleed: Laman Web
- OpenSSL: Penasihat Keselamatan Untuk Bleed Heart
- Git Hub: Senarai Laman Web yang Terkena
Apakah E-mel Spoofing & bagaimana melindungi diri anda & tetap selamat
Email Spoofing adalah satu bentuk Phishing. Pengirim menggunakan alamat orang lain sebagai umpan. Ketahui tentang pencegahan spoofing e-mel, bagaimana untuk menghentikannya, melindungi diri anda dan kekal selamat.
Bagaimana untuk melindungi diri anda dari NSA mengintip
Pengawasan prisma telah menimbulkan banyak masalah privasi. Ketahui cara menghalang, mengelakkan, menghalang, menghentikan & melindungi diri anda dari NSA mengintip & mengintip kerajaan.
Apa itu ransomware dan bagaimana melindungi diri anda daripada mereka
Pembimbing Tech Menjelaskan: Apakah Ransomware dan Bagaimana Anda Boleh Melindungi Diri Anda?