Làm cách nào để sử dụng Internet trong khi Heartbleed đang được sửa?

Có nhiều trang web hiện không dễ bị tổn thương, nhưng tôi không biết liệu chúng có dễ bị tấn công vài ngày trước không.

Ví dụ:

• twitter.com: Không dễ bị tổn thương ngay bây giờ, nhưng chứng chỉ là từ Thứ tư 05:00 00:00:00 UTC 2014
• google.com: Không dễ bị tổn thương ngay bây giờ, nhưng chứng chỉ là từ Thứ tư 12 tháng 3 09:53:40 UTC 2014
• bankofamerica.com: Không dễ bị tổn thương ngay bây giờ, nhưng chứng chỉ là từ Thu Dec 05 00:00:00 UTC 2013

Tôi làm gì? Không sử dụng chúng cho đến khi họ phát hành lại? Làm thế nào để tôi biết rằng họ cấp lại chứng chỉ với các khóa mới? Có vẻ như tôi thậm chí không nên đăng nhập vào các trang web này để thay đổi mật khẩu của mình vì không có cách nào biết rằng chúng là trang web thực sự.

Cập nhật 2014-04-11

Cloudflare đặt ra một thách thức để xác minh rằng việc trích xuất khóa riêng trên thực tế là có thể. Nó đã được thực hiện với khoảng 100 nghìn yêu cầu, và nó xác minh những nỗi sợ hãi. Nó không còn là lý thuyết, nhưng đã được chứng minh . Bạn có thể vào đây để đọc về nó.

Ngoài ra, Bloomberg đã báo cáo rằng NSA đã biết về khai thác này trong ít nhất hai năm . Điều này có ý nghĩa khi NSA có các nguồn lực để thuê các nhà phân tích, công việc duy nhất của họ là tìm kiếm các khai thác trong phần mềm như thế này. Bây giờ chúng tôi biết rằng chính phủ Hoa Kỳ đã khai thác nó trong một thời gian dài, xác suất mà các quốc gia khác đã biết và khai thác nó là rất đáng kể.

TL; DR Theo dõi các thông báo từ các tổ chức liên quan đến trạng thái hệ thống của họ, thay đổi TẤT CẢ mật khẩu của bạn và theo dõi hoạt động gian lận / đáng ngờ trên các tài khoản quan trọng như ngân hàng hoặc các hệ thống tài chính khác.

Để hiểu tại sao tình hình nguy hiểm như vậy trước tiên chúng ta phải hiểu cuộc tấn công này thực sự làm gì. CVE-2014-0160, AKA Heartbleed, là một lỗi đọc quá mức bộ đệm cho phép kẻ tấn công lấy tới 64 kB bộ nhớ từ máy chủ chạy phiên bản OpenSSL dễ bị tấn công.

Nghe thật tệ. Nó hoạt động như thế nào trong thực tế

Bạn nói đúng, đó là một lỗ hổng nghiêm trọng, nhưng chúng ta sẽ quay lại vấn đề đó một lát sau. Ngay bây giờ hãy nói về lý do tại sao khai thác hoạt động. Bảo mật lớp vận chuyển (TLS) được sử dụng để bảo mật thông tin bởi nhiều ứng dụng bao gồm HTTP ( HTTPS ) hoặc để bảo mật SMTPnếu được kích hoạt chẳng hạn. Trong RFC 5246, thiết lập các tiêu chuẩn cho TLS, có một chức năng được gọi là nhịp tim. Máy khách và máy chủ gửi một số dữ liệu qua lại để giữ kết nối tồn tại để có thể sử dụng sau này. Bây giờ trong thực tế, khách hàng sẽ gửi một số dữ liệu và máy chủ sẽ gửi lại và mọi thứ đều tuyệt vời. Tuy nhiên, trong các phiên bản OpenSSL bị ảnh hưởng, không có kiểm tra xem khách hàng có thực sự gửi số lượng dữ liệu mà họ nói hay không. Vì vậy, nếu tôi gửi cho nó 1 byte và nói với máy chủ rằng tôi thực sự đã gửi nó 64 kB thì nó sẽ vui vẻ gửi lại cho tôi 64 kB. Những byte khác đến từ đâu? Đó là chìa khóa của vấn đề ngay tại đó. OpenSSL sẽ gửi lại cho bạn 64 kB - 1 byte bộ nhớ mà quá trình có quyền truy cập và ban đầu bạn không gửi, tùy thuộc vào nơi 1 byte của bạn được lưu trữ.tài liệu khóa riêng¹ và thông tin mà máy chủ đang giải mã để sử dụng. Ví dụ về điều này sẽ là: mật khẩu, thông tin thẻ tín dụng và / hoặc mã PIN .

ĐỒNG Ý. Điều đó có nghĩa gì cho bảo mật thông tin? Nếu bạn hiểu làm thế nào mật mã bất đối xứng hoạt động thì bạn đã biết rằng điều này là nghiêm trọng vì tiết lộ làm cho mã hóa không hơn obfuscation. Điều này có nghĩa là mặc dù các máy chủ có thể được vá và không còn bị rò rỉ bộ nhớ, các phiên vẫn có thể không an toàn. Có thể điều này đã được khai thác trước khi nó được biết đến công khai hoặc trong khi việc vá lỗi đang diễn ra, nhưng hiện tại không có phương pháp nào được chứng minh cho thấy rằng một cuộc tấn công đã diễn ra. Có thể các quy tắc cho IDS có thể trở nên khả dụng, nhưng cho đến nay thì không phải vậy. Quy tắc IDS đã được phát hành . Điều đó rất nguy hiểm, bởi vì các nhà khai thác không biết liệu các khóa của họ có còn an toàn hay không.

Chúng tôi buộc phải cho rằng các khóa đã bị rò rỉ, có nghĩa là có thể mọi thứ bạn gửi qua dây có thể được giải mã bởi bên thứ ba. Cách duy nhất để giảm thiểu điều này là bằng cách tạo lại các khóa và nhận lại các chứng chỉ mới trong khi các khóa cũ bị thu hồi. Thật không may, điều này cần có thời gian vì các CA chắc chắn đang tràn ngập những yêu cầu này ngay bây giờ. Tuy nhiên, điều này để lại khả năng cho một cuộc tấn công trung gian hoặc các cơ hội lừa đảo khác.

Khi nào nó sẽ an toàn? Biết khi nào nó sẽ an toàn là một câu hỏi khó. Một số điều tôi khuyên bạn nên xem là thông báo công khai giải thích rằng lỗi đã được vá trong môi trường của họ hoặc họ không bao giờ bị tổn thương, vì họ không bao giờ sử dụng các phiên bản bị ảnh hưởng. Khi họ thông báo rằng họ đã nâng cấp lên phiên bản OpenSSL mới, tôi sẽ đảm bảo rằng họ đang sử dụng chứng chỉ mới được ký sau ngày phát hành công khai khai thác vào 2014-04-07.

** Lưu ý rằng lưu lượng được ghi lại trước đó có thể được giải mã nếu khóa riêng sau đó bị rò rỉ.

Tôi có thể làm gì để bảo vệ chính mình

Trong vài ngày tới nếu bạn có thể tránh sử dụng các trang web quan trọng như ngân hàng trực tuyến hoặc truy cập biểu đồ y tế trực tuyến, tôi sẽ đề nghị bạn làm như vậy. Nếu bạn phải làm như vậy hãy hiểu rằng phiên của bạn có khả năng gặp rủi ro và sẵn sàng chấp nhận hậu quả của điều đó. Ngoài ra, sau khi các tổ chức thông báo rằng họ không còn dễ bị tổn thương nữa, bạn nên thay đổi mật khẩu của mình ; sử dụng một trình quản lý mật khẩu có thể giúp đỡ. Bạn cũng nên sẵn sàng thay đổi hoặc theo dõi bất kỳ thông tin nào khác mà bạn đã sử dụng, chẳng hạn như chi tiết ngân hàng hoặc số thẻ tín dụng.

Thông báo đặc biệt cho các nhà hoạt động

Bất cứ điều gì sử dụng OpenSSL đều có thể bị ảnh hưởng, kể cả Tor . Có thể các chính phủ đã có thể sử dụng lỗ hổng này kể từ khi đưa vào các bản phát hành OpenSSL từ hơn hai năm trước vì họ sẽ có nguồn lực lớn cần thiết để tìm kiếm các khai thác như thế này, và như vậy bạn nên chuẩn bị rằng thông tin có thể không còn riêng tư

** Lưu ý rằng lưu lượng được ghi lại trước đó có thể được giải mã nếu khóa riêng sau đó bị rò rỉ trừ khi bảo mật chuyển tiếp hoàn hảo (PFS) được triển khai.

-Đã có những tuyên bố rằng có khả năng các khóa riêng sẽ không có trong bộ nhớ, nhưng đồng thời cũng có những tuyên bố về việc trích xuất khóa thành công. Tại thời điểm này không chắc chắn bên nào là chính xác.

Rủi ro gây ra bởi lỗ hổng này đang được kiểm soát. Tôi nói điều này bởi vì có bằng chứng ZERO rằng lỗ hổng này đã được biết hoặc khai thác trước khi được các nhà nghiên cứu công bố 2 ngày trước.

Hãy để tôi rõ ràng, điều cấp bách là các trang web dễ bị tổn thương, đặc biệt là các trang web giao dịch dữ liệu nhạy cảm trên Internet, phải được vá. Điều khẩn cấp không kém là chữ ký cho cuộc tấn công được tải vào IDS và các công cụ bảo vệ phần mềm độc hại. Trong CNTT, chúng ta nên đáp ứng lỗ hổng này với mức độ ưu tiên cao nhất.

Có nói rằng, tôi không cảm thấy rằng mức độ rủi ro liên quan đến lỗ hổng này của báo chí công cộng là hợp lý.

Cá nhân nên làm gì để tự bảo vệ mình? Không sử dụng các trang web đang chạy các phiên bản dễ bị tổn thương của OpenSSL.

Cho đến khi và trừ khi có bằng chứng cho thấy lỗ hổng này đã bị khai thác, bất kỳ hành động nào khác là vô nghĩa và được thúc đẩy bởi không gì khác hơn FUD. Bạn không đồng ý? Xem xét nhiều lỗ hổng được phát hành mỗi tháng hoặc quý cho phép thực thi mã tùy ý . Những người cung cấp đặc quyền gốc cho kẻ tấn công hoặc cấp hệ thống hoặc nơi kẻ tấn công sau đó có thể có được chúng thông qua việc leo thang đặc quyền có nhiều rủi ro đối với sự bảo mật của tất cả dữ liệu được xử lý bởi các hệ thống dễ bị tổn thương do lỗ hổng này xuất hiện.

Trong nhiều trường hợp, những lỗ hổng này được phát hiện bởi nhà cung cấp phần mềm hoặc nhà nghiên cứu đã thông báo cho nhà cung cấp. Nhà cung cấp sản xuất một bản vá và phát hành ra thị trường mà không công bố các chi tiết về lỗ hổng. Trong một số trường hợp, các chi tiết được công bố và khai thác được công bố bởi cộng đồng bảo mật để sử dụng trong các công cụ kiểm tra. Chúng tôi không phản ứng với nhiều lỗ hổng này bằng cách nói "Tất cả bí mật của chúng tôi CÓ THỂ đã bị lộ!"

Nếu có bằng chứng khai thác, chúng ta phải phản ứng với điều đó một cách thích hợp. Tôi thấy nguy cơ lớn trong phản ứng thái quá của các nhà nghiên cứu đã công bố lỗ hổng này và trên báo chí đã khuếch đại cuộc nói chuyện lỏng lẻo của các nhà nghiên cứu. Họ đang khóc sói.

- El viejo

Không phải mọi trang web đều sử dụng các thư viện OpenSSL cho HTTPS (chẳng hạn có cả GnuTLS và PolarSSL), và không phải mọi phiên bản OpenSSL đều dễ bị tổn thương (các phiên bản cũ hơn). Điều này có nghĩa là có một cơ hội công bằng mà các trang web bạn đề cập không thay đổi chứng chỉ vì chúng không cần. Chỉ cần nhìn vào giấy chứng nhận ngày được cấp không cho bạn biết đủ.

Có một số công cụ và trang web có thể giúp bạn kiểm tra xem một trang web có dễ bị tấn công hay không, ví dụ: - http://filippo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - https: / /www.ssllabs.com/ssltest/

Thật không may, như bạn đã nêu, điều này không cho bạn biết nếu họ đã. Tôi e rằng vấn đề chính ở đây là niềm tin: không có cách nào khách quan để xác minh thư viện SSL nào họ sử dụng và sử dụng mà không có thông tin bên trong. Bạn phải hy vọng họ đã làm những gì họ cần làm (vì đó là điều đúng đắn, hoặc thậm chí vì họ sợ sự sỉ nhục công khai) và nếu họ làm bạn chỉ có thể hy vọng họ cởi mở về điều đó.

Tất nhiên, bạn luôn có thể hỏi các trang web này nếu chúng bị ảnh hưởng, tôi đã thấy một số trang web đưa ra tuyên bố công khai về điều này. Yêu cầu công khai sử dụng phương tiện truyền thông xã hội như Twitter hoặc Facebook thường hoạt động.

Vì vậy, lời khuyên tốt nhất tôi có thể đưa ra là một lời khuyên chung: hãy cẩn thận với những gì bạn để lại trên internet và trang web nào bạn tin tưởng với thông tin cá nhân của mình.

Về các khóa riêng tư bị lộ, điều đáng nói là, trong khi ai đó có thể giải mã dữ liệu trong một phiên được mã hóa, vì giờ họ đã có khóa riêng, họ vẫn sẽ cần phải thiết lập mình là người đàn ông ở giữa phiên . Không phải bất cứ ai trên Internet cũng có thể làm điều này.

Tôi hiểu rằng họ vẫn sẽ cần phải chặn lưu lượng bằng cách giả mạo mạng LAN và ARP cục bộ của bạn hoặc có thể chiếm quyền điều khiển / chuyển hướng lưu lượng truy cập bằng cách quảng cáo các tuyến sai đến bộ định tuyến Internet. Những kiểu tấn công này luôn có thể xảy ra ngay cả khi không có lỗ hổng này.

Bạn có thể nhập URL cho một trang web tại LastPass Heartbleed Checker và nó sẽ cho bạn biết liệu trang web đó có còn bị tổn thương hay không và khi nào chứng chỉ của nó được cập nhật.

Ngoài ra còn có tiện ích mở rộng Chrome có tên Chromebleed sẽ cảnh báo bạn nếu bạn đang truy cập trang web bị ảnh hưởng bởi Heartbleed.

Mashable.com có một danh sách các trang web nổi tiếng, cho dù chúng có bị ảnh hưởng hay không và liệu bạn có nên thay đổi mật khẩu của mình hay không. Thật thú vị, không có trang web nào trong danh sách Ngân hàng và Môi giới bị ảnh hưởng.

Tôi cũng sẽ truy cập trang web sau:

https://www.ivpn.net/blog/lovebleed-passwords-change

Họ có một danh sách các trang web phổ biến đã bị ảnh hưởng và khi nào và nơi bạn nên thay đổi mật khẩu của mình

Nhìn chung, tôi sẽ nói đừng để hoang tưởng đến với bạn. Thực tế chỉ có thể giải mã được lưu lượng truy cập và có được mật khẩu của bạn không giống như thực sự đã làm điều đó.

Nếu bạn sử dụng xác thực hai yếu tố (và bạn nên) trên các trang web như Twitter, Facebook, Gmail và ngân hàng của mình thì bạn không nên quá lo lắng và ngay cả khi bạn có thể không ổn.

Nếu bạn cảm thấy cần phải thay đổi tất cả mật khẩu của mình, bạn sẽ phải tiếp tục và thực hiện nó ở nơi bạn cảm thấy cần. Đó là tất cả để có nó, thực sự.