Τι είναι το OpenSSL Heartbleed Bug και γιατί πρέπει να σας ενδιαφέρει;
Ως τακτικός χρήστης του Διαδικτύου, αναμένετε ότι το φόντο του Internet θα λειτουργήσει απλά. Όλα όσα συμβαίνουν πίσω από τη σκηνή, όλη η κρυπτογράφηση, όλες οι χειραψίες και κάθε μικρή συναλλαγή θα πρέπει να είναι σε θέση να σας παρέχει έναν ασφαλή τρόπο επικοινωνίας και να κάνετε την επιχείρησή σας στο διαδίκτυο χωρίς να ανησυχείτε για τους χάκερ που διασκεδάζουν σε κάθε σας κίνηση. Δυστυχώς αυτό δεν είναι το πώς λειτουργεί το Διαδίκτυο, και το σφάλμα OpenSSL "Heartbleed" αποτελεί την απόδειξη αυτής της απόδειξης. Υπάρχουν ορισμένα πράγματα που πρέπει να γνωρίζετε για αυτό το σφάλμα, διότι, κατά πάσα πιθανότητα, αφορά σε σας περισσότερο από ό, τι νομίζετε.
Τι είναι το OpenSSL ;!
Εντάξει, έτσι ανέφερα δύο φορές το OpenSSL και δεν σας το εξήγησα. Βλέπετε το εικονίδιο μικρής κλειδαριάς δίπλα στο " https: // " στο πρόγραμμα περιήγησής σας όταν εισάγετε "ασφαλείς" τοποθεσίες; Μοιάζει με κάτι τέτοιο στο πρόγραμμα περιήγησης ιστού Chrome του Google:
Όταν βλέπετε αυτό, χρησιμοποιείτε μια ειδική μορφή κρυπτογράφησης γνωστή ως ασφαλές επίπεδο socket (SSL) ή ασφάλεια στρώματος μεταφοράς (TLS). Για να παρέχετε υπηρεσίες με αυτήν την κρυπτογράφηση, χρειάζεστε έναν αλγόριθμο που θα παρέχει την κρυπτογράφηση / αποκρυπτογράφηση για τα πακέτα που ανταλλάσσετε με το διακομιστή. Αυτό σημαίνει ότι πρέπει να έχουν έναν τρόπο να μεταφράσουν το κείμενό σας σε ακατανόητη πικρία και στη συνέχεια να μεταφράσουν το πίσω από αυτό στην αναγνώσιμη μορφή στο δικό τους τέλος. Χρησιμοποιώντας αυτήν την τεχνολογία, εάν ένας χάκερ κατά κάποιον τρόπο κατορθώσει να επηρεάσει τη σύνδεσή σας με το διακομιστή, το μόνο που θα διαβάσει είναι μια μακρά σειρά φωνής.
Τώρα, φτάνουμε στο μέρος (τέλος) όπου εξηγούμε τι είναι το OpenSSL: Είναι μια ελεύθερη και ανοιχτού κώδικα εφαρμογή των πρωτοκόλλων SSL / TLS. Με αυτήν την τεχνολογία, ο καθένας μπορεί να σας παρέχει κρυπτογραφημένες υπηρεσίες. Πολλές εταιρείες που έχετε λογαριασμούς με μπορούν να χρησιμοποιήσουν το OpenSSL για την κρυπτογράφηση των δεδομένων σας.
Αλλά τι γίνεται αν το OpenSSL έχει ένα σφάλμα που καταστρέφει εντελώς τον σκοπό της κρυπτογράφησης;
Το σφάλμα εξηγείται
Στις 10 Απριλίου 2014, οι άνθρωποι της PerfectCloud, μιας εταιρείας ασφάλειας ταυτότητας, έχουν αναφέρει σε μια τεράστια τρύπα στην κωδικοποίηση του OpenSSL που είναι γνωστή ως σφάλμα "Heartbleed". Για δύο χρόνια, δεν έχουμε δει μια νέα έκδοση του OpenSSL, και κατά τη διάρκεια αυτού του χρόνου είχε ένα πρόβλημα στον κώδικα του που εξέθεσε ένα κομμάτι της μνήμης του διακομιστή. Αυτό το κομμάτι μνήμης μπορεί να περιέχει τα ιδιωτικά κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση / αποκρυπτογράφηση δεδομένων. Ωχ!
Αυτό σημαίνει ότι ένας χάκερ θα μπορούσε να ανακαλύψει τα κρυπτογραφικά κλειδιά του διακομιστή και απλά να αποκρυπτογραφήσει όλα όσα στείλατε, συμπεριλαμβανομένου του ονόματος χρήστη, του κωδικού πρόσβασής σας και οτιδήποτε άλλο είναι σημαντικό και αγαπητό για εσάς.
Το σφάλμα διορθώθηκε στις 7 Απριλίου 2014, αλλά αυτό δεν σημαίνει ότι όλοι ακολούθησαν με μια ενημέρωση για τις υλοποιήσεις του OpenSSL. Μεγάλες εταιρείες του Διαδικτύου όπως το Amazon και το Yahoo έχουν φροντίσει το θέμα, αλλά αυτό ακόμα δεν σημαίνει ότι είσαι σαφής! Ένας χάκερ θα μπορούσε να έχει το όνομα χρήστη και τον κωδικό πρόσβασης σε μια λίστα τώρα έτοιμη να χρησιμοποιηθεί για να προσπαθήσει να αποκτήσει πρόσβαση σε άλλους λογαριασμούς που μπορεί να έχετε αλλού.
Τι πρέπει να κάνεις?
Επομένως, ακόμα και αν μια εταιρεία αναβαθμίζει την τελευταία εφαρμογή του OpenSSL, εξακολουθείτε να κινδυνεύετε για προηγούμενες εκθέσεις. Ωστόσο, αν υπάρχουν περαιτέρω προσπάθειες hacking, δεν θα πετύχουν. Αυτό που μπορείτε να κάνετε σε αυτή την κατάσταση είναι να αλλάξετε τον κωδικό σας παντού. Μην το αφήσετε να περιμένει. Απλά αλλάξτε τα πάντα για να είστε προετοιμασμένοι εάν ένας χάκερ αποφασίσει ποτέ να δοκιμάσει τους λογαριασμούς σας.
Οποιαδήποτε άλλη σκέψη;
Αυτό το σφάλμα δείχνει απλώς πόσο λεπτό και συνυφασμένο με το Διαδίκτυο είναι. Παρά την αυξανόμενη συνειδητοποίηση της ασφάλειας και την άναρχη εμπιστοσύνη, το Διαδίκτυο εξακολουθεί να είναι το Διαδίκτυο και θα είναι πάντοτε υπό πολιορκία. Ποιες συστάσεις έχετε για εταιρείες που χρησιμοποιούν το OpenSSL; Πώς άλλαξε η κατανόησή σας για τα οικοσυστήματα ασφάλειας; Είστε μπερδεμένοι για κάτι; Δημοσιεύστε τις σκέψεις σας σε οτιδήποτε σχετίζεται με το OpenSSL στην περιοχή σχολίων παρακάτω!