Как защитить себя от ошибки "Heartbleed"

Относится к категориям: Web, Security
Владимир Ш.
Важная новая уязвимость сайтов, названная Heartbleed, была раскрыта в понедельник вечером с тяжелыми последствиями для всей сети. Злоумышленник, использующий эту ошибку может сканировать память сервера, где хранятся чувствительные данные пользователей, в том числе личные данные, такие как имена пользователей, пароли и номера кредитных карт.



Это чрезвычайно серьёзный вопрос, затрагивающий около 500000 серверов, согласно интернет-исследовательской фирме Netcraft. Вот, что вы можете сделать, чтобы убедиться, что ваш информация защищена:

Не входите аккаунты пострадавших сайтов, пока не будете уверены, что компания исправила проблему. Если от компании не поступают подтверждения об исправлении или о процессе, обратитесь к их команде техподдержки.

Некоторые из пострадавших веб-сайтов: Yahoo и OkCupid, хотя компании заявили, что их сайты все или частично исправлены (подробнее см. ниже). Вы можете проверить сайты по адресу здесь, надпись SSL Certificate:  Possibly Unsafe говорит о возможной опасности, хотя даже если "SSL Certificate: all clear" всё равно нужно быть осторожным. Если вы увидели тут красную подсветку, на заходите на этот сайт, пока ситуация не улучшится.

Естественным советом может быть немедленно изменить пароли, но эксперты по безопасности предполагают, что надо дожидаться подтверждения исправления ошибки, потому что дальнейшая активность на уязвимом сайте может усугубить проблему.

Как только вы получили подтверждение об исправлении ошибки, измените пароли на важных аккаунтах, сайты банков проверьте в первую очередь. Даже если вы реализовали двухфакторную аутентификацию, которая в дополнение к паролю запрашивает другую часть идентифицирующей информации вроде кода, который присылается на телефон, всё равно рекомендуется сменить пароль.

Не стесняйтесь контактов с простыми сайтами, которые хранят ваши данные, чтобы убедиться, что они находятся в безопасности. Хотя такие крупные компании, как Yahoo и Imgur, конечно, знают о проблеме, небольшие могут даже не знать об этой ошибке. Будьте активны о том, чтобы уберечь свои данные в безопасности.

Пристально следите за финансовой отчетностью следующие несколько дней. Потому что злоумышленники могут получить доступ к памяти сервера для поиска информации о кредитной карте, не мешало бы поискать незнакомые переводы на своих банковских счетах.

Даже после следования этим указаниям, есть еще некоторая вероятность опасности в веб-серфинга в период действия этой ошибки. Heartbleed даже может влиять на куки-файлы браузера, которые позволяют отслеживать активность пользователей на сайте, так что даже посещение уязвимого сайта без входа в аккаунт может быть рискованным. Проект "Тор", в котором подчеркивается анонимность и конфиденциальность, пишет в своем блоге, что пользователи, использующие его "возможно, захотят держаться подальше от интернета в течение следующих нескольких дней, пока всё не уляжется".

Yahoo, кажется, самый крупный веб-сайт, который был уязвим к этой ошибке (предварительные испытания Фейсбука, Гугл и Твиттер показали, что они, кажется, в безопасности). Компания заявила, что она успешно сделала соответствующие поправки на: главной странице, поиске, почте, финансах, спорте, продуктах питания, техническом ресурсе, Фликре и Тумблере. Тем не менее, представитель Yahoo заявил, что компания по-прежнему работает над внедрением исправлений на остальных сайтах компании.

"Я призываю пользователям не входить в [Yahoo] и другие сервисы, которые затронуты, так как учётные данные, могли быть украдены", сказал Хайме Бласко, директор AlienVault Labs, фирмы по исследованию безопасности. "Как только Yahoo решит проблему, будет полезно сменить свои пароли, на всякий случай".

У Yahoo уже были некоторые проблемы в сфере безопасности. В январе компания отправляла пароли некоторых пользователей по электронной почте, после попытки нападения на сторонние базы данных. В ответ на ошибку Heartbleed, некоторые пользователи уже выразили свое возмущение в Твиттере.

Вопрос, который встаёт в связи с последствиями на такие угрозы: "Будут ли веб-компании реформировать свои методы обеспечения безопасности?". Многие из основных веб-компаний перешли на использование Perfect Forward Secrecy (PFS), но не все из них внедрили эту практику. PFS означает, что ключи шифрования получают очень короткий срок годности и не будут использоваться бесконечно. Люди хотят сохранить безопасность своих коммуникаций насколько это возможно. PFS является одним из альтернативных вариантов этого в будущем.
Комментариев - 0
Рейтинг - 647 баллов
 
Похожие статьи на сайте:
 
Комментариев: 0
 
Имя *:

E-mail:

Текст комментария *: