Какво представлява OpenSSL Heartbleed Bug и защо трябва да се грижите за него?
Като обикновен потребител на интернет очаквате, че фонът на интернет просто ще работи . Всичко, което се случва зад кулисите, цялото криптиране, всички ръкостискания и всяка малка транзакция трябва да са в състояние да ви осигурят безопасен начин да общувате и да правите бизнеса си онлайн, без да се притеснявате от хакерите, които се занимават с всеки ход. За съжаление, това не е начинът, по който работи интернет, и OpenSSL "Heartbleed" бъг е окончателно доказателство за това. Има някои неща, които трябва да знаете за този бъг, защото по всяка вероятност той се отнася за вас повече, отколкото си мислите.
Какво е OpenSSL ?!
Добре, затова споменах OpenSSL два пъти и дори не ви обясних. Виждате ли малката икона за заключване до " https: // " в браузъра, когато влезете в "сигурни" сайтове? Изглежда нещо подобно в уеб браузъра на Chrome на Google:
Когато видите това, използвате специална форма на шифроване, известна като SSL (SSL) или защитен слой (TLS). За да предоставяте услуги с това шифроване, ви е необходим алгоритъм, който ще осигури криптиране / декриптиране за пакетите, които обменяте със сървъра. Това означава, че те трябва да имат начин да преведат текста ви в нечетливи безсмислици и след това да го преведат от това в четлива форма на своя край. Използвайки тази технология, ако някой хакер някак успее да се намеси във връзката ви със сървъра, всичко, което той ще прочете, е дълъг низ от бръмча.
Сега стигаме до частта (накрая), където обясняваме какво представлява OpenSSL: Това е свободно и отворено изпълнение на протоколи SSL / TLS. С тази технология всеки може да ви осигури криптирани услуги. Много компании, в които имате профили, могат да използват OpenSSL, за да шифроват вашите данни.
Но какво ще стане, ако OpenSSL има бъг, който напълно побеждава целта на криптирането?
Обяснението на бъговете
На 10 април 2014 г. хората в PerfectCloud, компания за сигурност на самоличността, съобщиха за огромна дупка в кодирането на OpenSSL, известно като "сърдечен" бъг. В продължение на две години не видяхме нова версия на OpenSSL и през това време имаше проблем в кода си, който разкри малко сървърна памет. Тази част от паметта може да съдържа частните ключове, които се използват за шифроване / декриптиране на данни. Ох!
Това означава, че хакерът може да открие криптографските ключове на сървъра и просто да декриптира всичко, което му изпращате, включително потребителското име, паролата и всичко останало, което е важно и скъпо за вас.
Грешката е била фиксирана на 7 април 2014 г., но това не означава, че всички са проследили с актуализация на внедряването на OpenSSL. Основните интернет компании като Amazon и Yahoo са се погрижили за проблема, но това все още не означава, че сте наясно! Един хакер може да има вашето потребителско име и парола в списък, който е готов да бъде използван, за да се опита да получи достъп до други сметки, които може да имате на други места.
Какво трябва да направиш?
Така че, дори ако една компания се надстрои до най-новата версия на OpenSSL, все още сте изложени на риск от предишни експозиции. Ако обаче има допълнителни опити за хакерство, те няма да успеят. Това, което можете да направите в тази ситуация, е да промените паролата си навсякъде. Не го оставяйте да чака. Просто променете всичко, така че да сте подготвени, ако някой хакер някога реши да изпробва сметките ви.
Още мисли?
Тази бъг просто показва колко деликатен и преплетен е интернет. Независимо от процъфтяващата си осведоменост за сигурността и нерегламентираната страхопочитание, интернет все още е интернет и винаги ще бъде обсаден. Какви препоръки имате за компании, които използват OpenSSL? Как се промени разбирането ви за екосистемите за сигурност? Вие сте объркани за нещо? Публикувайте вашите мисли за всичко свързано с OpenSSL в полето за коментари по-долу!