Reklama

Chyba Heartbleed Heartbleed - Čo môžete urobiť, aby ste zostali v bezpečí? Čítaj viac bol predmetom mnohých krútiacich sa rúk a bol nazývaný jedným najzávažnejších porušení bezpečnosti počítača všetkých čias Masívna chyba v OpenSSL kladie veľa internetu na rizikoAk ste jedným z tých ľudí, ktorí vždy verili, že kryptografia s otvoreným zdrojom je najbezpečnejším spôsobom komunikácie online, ste na chvíľu prekvapení. Čítaj viac . Ale niektorí ľudia nie sú presvedčení - koniec koncov, kto skutočne poškodil Heartbleed? Bolo zaznamenaných niekoľko útokov na to, že sa Heartbleed používal na skutočné poškodenie. Ak si myslíte, že Heartbleed je všetko humbuk, zamyslite sa znova.

Odcudzených 900 SIN od kanadskej agentúry pre príjmy

V Kanade útočník použil chybu Heartbleed proti Kanadskej daňovej agentúre a zachytil asi 900 čísel sociálneho poistenia (SIN) patriacich ľuďom, ktorí podali daň z príjmu. Je to v podstate kanadský ekvivalent s útočníkom, ktorý zachytáva čísla sociálneho zabezpečenia (SSN) z IRS v USA. Ukradnuté boli aj niektoré údaje týkajúce sa kanadských podnikov.

instagram viewer

Útočník bol zatknutý za zachytenie týchto čísel, ale nevieme, či útočník predal SIN alebo ich odovzdal niekomu inému. Podobne ako čísla sociálneho zabezpečenia v USA, tieto čísla sa vo všeobecnosti nemenia - môžu sa zmeniť iba vtedy, ak preukážete, že ste sa stali obeťou podvodu. Dotknutí daňoví poplatníci sa budú musieť prihlásiť na odber služby sledovania kreditov a sledovať ľudí, ktorí sa pokúšajú otvoriť bankové účty a kreditné karty v ich mene. Krádež identity 6 Výstražné znaky krádeže digitálnej identity, ktoré by ste nemali ignorovaťKrádež identity nie je v dnešnej dobe príliš zriedkavá, ale často sa dostávame do pasce myslenia, že vždy sa stane „niekomu inému“. Nevšímajte si výstražných značiek. Čítaj viac je tu vážne znepokojenie.

heartbleed

Mumsnet a iné krádeže hesiel

Spoločnosť Mumsnet nedávno oznámila, že núti všetkých používateľov meniť svoje heslá. Nejde len o preventívne opatrenie - Mumsnet mala dôvod tomu veriť útočníci získali prístup k heslám a súkromným správam ktoré patria do 1,5 milióna používateľov.

Pravdepodobne to nie je jediný web, z ktorého boli ukradnuté citlivé heslá. Ak sú ľudia urobiť veľkú chybu pri opakovanom použití rovnakého hesla na viacerých webových stránkach Sprievodca správou hesielNecítite sa zahltení heslami, alebo ich jednoducho nepoužívajte na všetkých stránkach, aby ste si ich pamätali: navrhnite si vlastnú stratégiu správy hesiel. Čítaj viac , sa útočník môže dostať na iné účty. Napríklad, ak niekto používa rovnaké heslo ako pre svoj účet Mumsnet, tak pre e-mailový účet viazaný na svoje konto Mumsnet, útočník sa môže dostať do tohto e-mailového účtu. Odtiaľ môže útočník resetovať ďalšie heslá a dostať sa na iné účty

Ak ste dostali e-mail od služby, ktorá vám odporúča zmeniť heslo a ubezpečiť sa, že ho nepoužívate heslo inde, je možné, že službe boli ukradnuté heslá - alebo mohli mať ukradnuté heslá a nie sú samozrejme.

Mumsnet-heartbleed-password-reset

Zneužitie VPN a krádeže súkromných kľúčov

Bezpečnostná spoločnosť Mandiant to oznámila Útočníci použili Heartbleed na narušenie vnútornej podnikovej VPNalebo virtuálna súkromná sieť patriaca jednému z ich klientov. VPN používala viacfaktorové overovanie Čo je dvojfaktorové overenie a prečo by ste ho mali používaťDvojfaktorová autentifikácia (2FA) je bezpečnostná metóda, ktorá vyžaduje dva rôzne spôsoby preukázania vašej identity. Bežne sa používa v každodennom živote. Napríklad platenie kreditnou kartou si vyžaduje nielen kartu, ... Čítaj viac , ale na tom nezáležalo - - útočník mohol ukradnúť súkromné ​​šifrovacie kľúče zo zariadenia VPN útokom Heartbleed a potom bol schopný uniesť aktivované relácie VPN.

Nevieme, na čo bola spoločnosť napadnutá - Mandiant práve oznámil, že ide o „majora korporácie. " Útoky, ako je tento, by sa mohli použiť na odcudzenie citlivých podnikových údajov alebo infikovanie interných podnikové siete. Ak korporácie nezabezpečia, aby ich siete neboli zraniteľné voči Heartbleed, ich bezpečnosť sa dá ľahko obísť.

Jediným dôvodom, ktorý o tom počujeme, je to, že Mandiant chce povzbudiť ľudí, aby si ich zabezpečili Servery VPN Najlepšie VPN službyZostavili sme zoznam toho, čo považujeme za najlepších poskytovateľov služieb virtuálnej súkromnej siete (VPN), zoskupených podľa prémií, zadarmo a priateľských k torrentu. Čítaj viac . Nevieme, na čo bola spoločnosť napadnutá, pretože korporácie nechcú oznámiť, že boli ohrozené.

Toto nie je jediný potvrdený prípad použitia Heartbleedu na ukradnutie súkromného šifrovacieho kľúča z pamäte bežiaceho servera. CloudFlare pochybovala, že Heartbleed by sa mohol použiť na odcudzenie súkromných šifrovacích kľúčov a vydal výzvu - ak je to možné, pokúste sa získať súkromný šifrovací kľúč z nášho servera. Súkromný kľúč získal niekoľko ľudí v priebehu jedného dňa.

smerovač

Štátne dozorné agentúry

Kontroverzne mohli byť chyby Heartbleed objavené a zneužité štátnymi dozornými a spravodajskými agentúrami skôr, ako sa stali verejnými informáciami. Bloomberg to nahlásil NSA využíva Heartbleed najmenej dva roky. NSA a Biely dom to odmietli, ale riaditeľ národnej spravodajskej služby James Clapper skvele povedal, že NSA nezhromažďoval žiadne údaje o miliónoch Američanov, kým sa neoznámili dozorné činnosti NSA, niečo teraz vieme, že to nie je pravda Čo je PRISM? Všetko, čo potrebujete vedieťNárodná bezpečnostná agentúra v USA má prístup k všetkým údajom, ktoré ukladáte s poskytovateľmi služieb v USA, ako sú Microsoft Microsoft, Yahoo a Facebook. Pravdepodobne monitorujú väčšinu premávky tečúcej cez ... Čítaj viac . To tiež vieme chyby zabezpečenia zásob NSA na použitie skôr proti cieľom sledovania ako na ich oznamovanie, aby mohli byť stanovené.

Odhliadnuc od NSA existujú vo svete ďalšie agentúry štátneho dozoru. Je možné, že štátna dozorná agentúra v inej krajine túto chybu odhalila a používala ju proti cieľom sledovania, možno dokonca aj so sídlom v USA a vládnymi agentúrami. Tu nemôžeme s istotou nič vedieť, ale je možné, že sa Heartbleed použil na špionáž aktivity pred tým, ako boli zverejnené - určite sa na tieto účely použije teraz, keď je verejná znalosti!

Len to nevieme

Nevieme, koľko škody Heartbleed doteraz spôsobil. Podniky, ktoré skončia s porušením vďaka Heartbleed, sa často budú chcieť vyhnúť nepríjemným oznámeniam, ktoré by mohli poškodiť ich podnikanie alebo poškodiť ich ceny akcií. Vo všeobecnosti je ľahšie riešiť tento problém interne, ako informovať svet.

V mnohých ďalších prípadoch služby nebudú vedieť, že ich Heartbleed uštipla. Vďaka typu žiadosti, ktorú používa zraniteľnosť Heartbleed, sa útoky Heartbleed nezobrazia v mnohých protokoloch servera. Stále sa objaví v protokoloch sieťovej prevádzky, ak viete, čo hľadať, ale nie každá organizácia vie, čo hľadať.

Je tiež možné, že chyba Heartbleed bola zneužitá v minulosti skôr, ako sa stala verejnou informáciou. Je možné, že počítačoví zločinci alebo - pravdepodobnejšie - štátne dozorné agentúry chybu odhalili a používali ju. Príklady sú iba stručným prehľadom niekoľkých vecí, ktoré poznáme.

Humbuk je oprávnený - je dôležité, aby sme služby a zariadenia aktualizovali čo najrýchlejšie, aby sme pomohli znížiť škody a vyhnúť sa horším útokom v budúcnosti.

Obrázok Kredit: snoopsmas na Flickri, ChrisDag na Flickri

Chris Hoffman je technologický bloger a všestranný závislý na technológiách, ktorý žije v Eugene v štáte Oregon.