Preguntas frecuentes: ¿Qué es la vulnerabilidad heartbleed y cómo protegerse de él

Una vulnerabilidad recientemente descubierta en el protocolo OpenSSL, apodado heartbleed, e incluso su propio logotipo, lleva una amenaza potencial para la contraseña del usuario en una variedad de sitios web. Decidimos esperar a que el bombo alrededor de ella y hablar de ello, por así decirlo, en el residuo seco.

Esto nos ayudará a una edición popular de CNET, el cual reunido una lista de las preguntas más frecuentes sobre este tema. Esperamos que la siguiente información le ayudará a aprender más sobre heartbleed y protegerse a sí mismo. En primer lugar, recuerda la fecha con un problema heartbleed no se ha resuelto completamente.

¿Cuál es heartbleed?

vulnerabilidad de seguridad en la biblioteca de software OpenSSL (abierta aplicación del protocolo de cifrado SSL / TLS) que permite a los piratas informáticos - heartbleed acceder a los contenidos de los servidores de memoria, que en este punto podría contener información privada de los diferentes usuarios Los servicios Web. Según la firma de investigación de Netcraft, esta vulnerabilidad puede estar expuesto a alrededor de 500 mil sitios web.

Esto significa que en estos sitios potencialmente en riesgo eran los datos personales de los usuarios, como nombres de usuario, contraseñas, datos de tarjetas de crédito, etc.

La vulnerabilidad también permite a los atacantes claves digitales, que se utilizan, por ejemplo, para la correspondencia y los documentos internos de cifrado en una variedad de compañías.

¿Cuál es OpenSSL?

Vamos a empezar con el protocolo SSL, que significa Secure Sockets Layer (Secure Sockets Layer). También se le conoce con el nuevo nombre de TLS (Transport Layer Security). Hoy en día es uno de los métodos comunes de la mayoría de cifrado de datos en la red que le protege de posibles "espiar" en la pieza. (Https al principio de la relación indica que la comunicación entre el navegador y abrirlo en el sitio está utilizando SSL, de lo contrario se verá desde el browser http).

OpenSSL - implementación de SSL de software de código abierto. Las vulnerabilidades se sometieron a protocolo versión 1.0.1 a 1.0.1f. OpenSSL también se utiliza en el sistema operativo Linux, que es parte de los dos más populares servidor Web Apache y Nginx, que "corre" una gran parte de la Internet. En resumen, el alcance de OpenSSL es enorme.

Que encontró un error?

Este mérito pertenece a los empleados de la empresa Codenomicon, que trata de la seguridad informática, y la dotación de personal Google investigador del Nilo Meta (Neel Mehta), que descubrió vulnerabilidades de forma independiente el uno del otro, literalmente, un día.

Meta donó la recompensa, de 15 mil. dólares. para la detección de un error en la campaña para el desarrollo de herramientas de cifrado para los periodistas que trabajan con fuentes de información, que tiene una prensa libre Foundation (Fundación Libertad de Prensa). Meta sigue rechazando cualquier entrevista, pero su empleador, Google, dio el siguiente comentario: "La seguridad de nuestros usuarios es nuestra prioridad más alta. Estamos constantemente en busca de vulnerabilidades y animar, a informar sobre ellos tan pronto como sea posible para que podamos corregirlos antes de que sean conocidas por los atacantes ".

¿Por heartbleed?

El nombre fue acuñado por heartbleed Ossie Gerraloy (Ossi Herrala), el Codenomicon administrador del sistema. Es más armoniosa que el nombre técnico CVE-2.014-0.160, esta vulnerabilidad mediante el número que contiene la línea de código.

Heartbleed (literalmente - "corazón sangrante") - un juego de palabras que contienen una referencia a la expansión de OpenSSL llama "el latido del corazón" (palpitaciones). Protocolo mantiene la conexión abierta, incluso si entre los participantes no intercambian datos. Gerrala considera que heartbleed describe a la perfección la esencia de la vulnerabilidad que permitió la fuga de información confidencial de la memoria.

El nombre parece ser muy exitoso para el error, y esto no es casual. Codenomicon equipo utilizó deliberadamente eufónico (prensa) el nombre, lo que ayudaría tanto tanto como sea posible, tan pronto como sea posible para notificar a las personas sobre la vulnerabilidad encontrada. Dándole el nombre del error, Codenomicon pronto compró un dominio Heartbleed.com, que puso en marcha el sitio en una forma elocuente accesible sobre heartbleed.

¿Por qué algunos sitios no afectados por heartbleed?

A pesar de la popularidad de OpenSSL, hay otra implementación de SSL / TLS. Además, algunos sitios utilizan una versión anterior de OpenSSL, que este error está ausente. Y algunos no incluyen una función de latido del corazón, que es una fuente de vulnerabilidad.

En parte para reducir el daño potencial hace uso de PFS (Confidencialidad directa perfecta - el secreto perfectamente recta), Propiedad del protocolo SSL, que garantiza que si un atacante recuperar de la memoria clave de seguridad de un servidor, que no será capaz de descifrar todo el tráfico y el acceso al resto de llaves. Muchas empresas (pero no todos) ya utilizan PFS - por ejemplo, Google y Facebook.

¿Cómo funciona heartbleed?

Vulnerabilidades atacante obtener acceso al servidor 64 kilobytes de memoria y realizar el ataque una y otra vez hasta que la pérdida de datos completa. Esto significa que no sólo propensas a presentar fugas nombres de usuario y contraseñas, pero los datos de las cookies que los servidores web y sitios utilizan para rastrear la actividad del usuario y autorización simplificar. La Electronic Frontier Foundation organización afirma que los ataques periódicos pueden dar acceso a ambos más información seria, como claves de cifrado sitio privados utilizados para el cifrado el tráfico. El uso de esta clave, un atacante podría suplantar el sitio original y robar la mayor cantidad de tipos diferentes de datos personales como números de tarjetas de crédito o la correspondencia privada.

¿Debo cambiar mi contraseña?

Por una variedad de sitios de contestar "sí". PERO - que es mejor esperar a que el mensaje desde el sitio de administración, que esta vulnerabilidad ha sido eliminado. Naturalmente, su primera reacción - Cambiar todas las contraseñas de inmediato, pero si la vulnerabilidad a algunos de los sitios que no se limpian, el cambio insustancial contraseña - en un momento en que la vulnerabilidad es ampliamente conocido, que sólo aumenta las posibilidades de que un atacante conocer su nueva contraseña.

¿Cómo sé cuál de los sitios contienen vulnerabilidades y es lo arreglen?

Hay varios recursos que conectarse a Internet para la vulnerabilidad e informaron de su presencia / ausencia. se recomienda recurso Compañía LastPass, un desarrollador de software de gestión de contraseñas. A pesar de que da una respuesta bastante clara a la pregunta de si es vulnerable o ese sitio, pensar en los resultados de la auditoría con precaución. Si la vulnerabilidad del sitio encontró con precisión - trate de no visitarla.

Lista de las vulnerabilidades más populares sitios expuestos, también se puede explorar la enlace.

Lo importante más antes de cambiar la contraseña - para tener una confirmación oficial del sitio de administración, que fue descubierto heartbleed, que ya había sido eliminado.

Muchas empresas ya han publicado las entradas relevantes en sus blogs. Si no hay - no dude en remitir el asunto al apoyo.

¿Quién es responsable de la aparición de la vulnerabilidad?

De acuerdo con el periódico The Guardian, se escribe el nombre de código "con errores" del programador - Zeggelman Robin (Robin Seggelmann). Trabajó en el proyecto OpenSSL en el proceso de obtención de un título de doctorado 2008-2012. dramática situación se suma al hecho de que el código ha sido enviado al repositorio, 31 de Diciembre de 2011 a las 23:59, aunque el Zeggelman Sostiene que no importa, "Soy responsable por el error, como he escrito el código y lo hice todo lo necesario cheques ".

Al mismo tiempo, ya que OpenSSL - un proyecto de código abierto, es difícil culpar a alguien el error de uno. Código del proyecto es complejo y contiene un gran número de funciones complejas, y en concreto del latido del corazón - no el más importante de ellos.

¿Es cierto que maldición del Departamento de Estado El gobierno de Estados Unidos se utiliza para espiar heartbleed dos años antes de la publicidad?

No está claro. La agencia de noticias Bloomberg conocida informó que este es el caso, y sale toda la NSA niega. En cualquier caso, el hecho es - heartbleed sigue siendo una amenaza.

¿Debo preocuparme por mi cuenta bancaria?

La mayoría de los bancos no utilizan OpenSSL, prefiriendo solución de encriptación propietario. Pero si usted está plagada de dudas - acaba de ponerse en contacto con su banco y les haga la pregunta relevante. En cualquier caso, es mejor seguir la evolución de la situación, y los informes oficiales de los bancos. Y no se olvide de mantener un ojo sobre las transacciones en su cuenta - en el caso de las transacciones desconocidas a usted, tome la acción apropiada.

¿Cómo sé si va a utilizar los piratas informáticos ya heartbleed robar mis datos personales?

Por desgracia, no - utilizar esta vulnerabilidad no dejar ningún rastro del servidor registra la actividad de los intrusos.

Si se debe utilizar el programa para almacenar sus contraseñas, y qué?

Por un lado, heartbleed plantea de nuevo la pregunta sobre el valor de una contraseña segura. Como consecuencia de las contraseñas de cambio de masa, usted puede preguntarse cómo se puede incluso mejorar su seguridad. Por supuesto, gestores de contraseña son de confianza asistentes en este caso - que puede automáticamente generar y almacenar contraseñas seguras para cada sitio por separado, pero hay que recordar una sola contraseña maestra. Línea administrador de contraseñas LastPass, por ejemplo, insiste en que no se somete a la vulnerabilidad heartbleed, y los usuarios no pueden cambiar su contraseña maestra. Además de LastPass, se recomienda prestar atención a este tipo de soluciones probadas como RoboForm, Dashlane y 1Password.

Además, se recomienda utilizar una autenticación de dos pasos siempre que sea posible (Gmail, Dropbox y Evernote son compatibles con ella) - luego, cuando autorización, además de la contraseña, el servicio le pedirá un código de un solo uso que se le da a usted en una aplicación móvil especial o enviada a través SMS. En este caso, incluso si su contraseña es robado, un atacante puede no sólo utilizarlo para iniciar sesión.