reklama

Srdeční chyba Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Přečtěte si více byl předmětem hodně ručních ždímání a byl nazýván jedním nejzávažnějších narušení počítačové bezpečnosti všech dob Masivní chyba v OpenSSL staví hodně internetu v ohroženíPokud jste jedním z těch lidí, kteří vždy věřili, že kryptografie s otevřeným zdrojovým kódem je nejbezpečnějším způsobem komunikace online, jste na trochu překvapení. Přečtěte si více . Ale někteří lidé nejsou přesvědčeni - kdo nakonec Heartbleed skutečně poškodil? Bylo zaznamenáno několik útoků na Heartbleed, který byl použit ke skutečnému poškození. Pokud si myslíte, že Heartbleed je všechno humbuk, zamyslete se znovu.

900 odcizených SIN od kanadské finanční agentury

V Kanadě útočník použil chybu Heartbleed proti kanadské finanční agentuře a zaznamenal asi 900 čísel sociálního pojištění (SIN) patřících lidem, kteří podávají daň z příjmu. Jde v podstatě o kanadský ekvivalent s útočníkem, který zachycuje čísla sociálního zabezpečení (SSN) z IRS v USA. Ukradena byla také některá data týkající se kanadských podniků.

Útočník byl zatčen za zachycení těchto čísel, ale nevíme, zda útočník SIN prodal nebo je předal někomu jinému. Stejně jako čísla sociálního zabezpečení v USA se tato čísla obecně nemění - lze je změnit, pouze pokud prokážete, že jste se stali obětí podvodu. Dotčení daňoví poplatníci se budou muset přihlásit k odběru služby sledování kreditů a sledovat lidi, kteří se pokoušejí otevřít bankovní účty a kreditní karty ve svém jménu. Krádež identity 6 Varovné příznaky krádeže digitální identity, které byste neměli ignorovatKrádež identity není v dnešní době příliš vzácná, přesto se často dostáváme do pasti myšlení, že se vždy stane „někomu jinému“. Nevšímejte si výstražných značek. Přečtěte si více je zde vážný problém.

srdce

Mumsnet a další krádeže hesel

Společnost Mumsnet nedávno oznámila, že nutí všechny uživatele ke změně hesla. Nebylo to jen preventivní opatření - Mumsnet měla důvod tomu uvěřit útočníci získali přístup k heslům a soukromým zprávám patřící až 1,5 milionu uživatelů.

Pravděpodobně to není jediný web, na kterém byly ukradeny citlivá hesla. Pokud jsou lidé udělat velkou chybu opakovaného použití stejného hesla na více webech Průvodce správou heselNecítíte se zahlceni hesly, ani jednoduše nepoužívejte stejné heslo na všech stránkách, abyste si pamatovali: navrhněte si vlastní strategii správy hesel. Přečtěte si více , může se útočník dostat na jiné účty. Pokud například někdo používá stejné heslo pro svůj účet Mumsnet i e-mailový účet svázaný s účtem Mumsnet, útočník se může do tohoto e-mailového účtu dostat. Odtud může útočník resetovat jiná hesla a dostat se na jiné účty

Pokud jste od služby obdrželi e-mail s doporučením změnit heslo a zajistit, abyste jej nepoužívali heslo jinde, je možné, že služba ukradla hesla - nebo mohla mít ukradena hesla a není Tak určitě.

mumsnet-heartbleed-reset hesla

Zneužití VPN a krádeže soukromých klíčů

Bezpečnostní společnost Mandiant to oznámila útočníci použili Heartbleed k porušení interní firemní VPNnebo virtuální privátní síť patřící jednomu z jejich klientů. VPN používala multifaktorové ověřování Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více , ale na tom nezáleželo - - útočník byl schopen ukrást soukromé šifrovací klíče ze zařízení VPN pomocí útoku Heartbleed a poté byl schopen unést aktivované relace VPN.

Nevíme, na co byla korporace zaútočena - Mandiant právě oznámil, že to byl „major korporace." Útoky jako je tento by mohly být použity k odcizení citlivých podnikových dat nebo k infikování interních firemní sítě. Pokud korporace nezajistí, že jejich sítě nejsou zranitelné vůči Heartbleed, lze jejich zabezpečení snadno obejít.

Jediný důvod, proč o tom slyšíme, je, že Mandiant chce povzbudit lidi, aby si své zabezpečili VPN servery Nejlepší VPN službySestavili jsme seznam toho, co považujeme za nejlepší poskytovatele služeb virtuální privátní sítě (VPN), seskupené podle prémií, zdarma a torrent-friendly. Přečtěte si více . Nevíme, na co byla společnost napadena, protože korporace nechtějí oznámit, že byly ohroženy.

Toto není jediný potvrzený případ použití Heartbleedu k odcizení soukromého šifrovacího klíče z paměti běžícího serveru. CloudFlare pochybovala, že Heartbleed lze použít k odcizení soukromých šifrovacích klíčů a vydal výzvu - pokuste se získat soukromý šifrovací klíč z našeho serveru, pokud můžete. Soukromý klíč získal několik lidí během jednoho dne.

směrovač vpn

Státní kontrolní agentury

Kontroverzně mohla být chyba Heartbleed objevena a zneužita státním dozorem a zpravodajskými agenturami dříve, než se stala veřejně známou. Bloomberg to nahlásil NSA využívá Heartbleed nejméně dva roky. NSA a Bílý dům to odmítly, ale ředitel národní zpravodajské služby James Clapper skvěle prohlásil, že NSA neshromažďovala žádná data o milionech Američanů, než se dozvěděly o dohledových činnostech NSA, něco nyní víme, že to není pravda Co je PRISM? Vše, co potřebujete vědětNárodní bezpečnostní agentura v USA má přístup ke všem datům, která ukládáte, s poskytovateli služeb v USA, jako jsou Google Microsoft, Yahoo a Facebook. Pravděpodobně také monitorují většinu provozu, který teče přes ... Přečtěte si více . To také víme slabiny zabezpečení zásob NSA pro použití proti cílům dozoru, nikoli k jejich hlášení, aby mohly být stanoveny.

Kromě NSA existují ve světě i další státní dozorové agentury. Je možné, že státní dozorová agentura jiné země tuto chybu objevila a použila ji proti cílům dozoru, možná dokonce i americkým společnostem a vládním agenturám. Tady nemůžeme nic vědět jistě, ale je možné, že Heartbleed byl použit pro špionáž činnosti před tím, než byly zveřejněny - určitě se pro tyto účely použije nyní, když je veřejná znalost!

Prostě to nevíme

Jen nevíme, jak velkou škodu Heartbleed dosud způsobil. Podniky, které skončí s porušením díky Heartbleed, se často budou chtít vyhnout nepříjemným oznámením, která by mohla poškodit jejich podnikání nebo poškodit jejich ceny akcií. Obecně je snazší řešit tento problém interně než informovat svět.

V mnoha dalších případech služby nevědí, že je Heartbleed kousl. Díky typu požadavku, který používá zranitelnost Heartbleed, se útoky Heartbleed nezobrazí v mnoha protokolech serveru. Stále se objeví v protokolech síťového provozu, pokud víte, co hledat, ale ne každá organizace ví, co hledat.

Je také možné, že chyba Heartbleed byla zneužita v minulosti, než se stala veřejnou známostí. Je možné, že počítačoví zločinci nebo - více pravděpodobně - státní dozorové agentury chybu objevili a používali ji. Příklady zde jsou pouze stručným popisem několika věcí, které známe.

Humbuk je oprávněný - je důležité, abychom služby a zařízení aktualizovali co nejrychleji, abychom snížili poškození a v budoucnu zabránili horším útokům.

Obrázek Kredit: snoopsmas na Flickru, ChrisDag na Flickru

Chris Hoffman je technologický blogger a všestranný závislý na technologii žijící v Eugene v Oregonu.