Oglas
Srček hrošč Srčno srce - kaj lahko storite, da ostanete varni? Preberi več je bil predmet številnih ročnih rok in je bil imenovan eden najhujših kršitev računalniške varnosti vseh časov Masivna napaka v OpenSSL ogroža veliko internetaČe ste eden tistih ljudi, ki ste vedno verjeli, da je kriptografija odprtega koda najbolj varen način za komunikacijo prek spleta, vas čaka nekoliko presenečenje. Preberi več . Toda nekateri niso prepričani - navsezadnje, kdo je dejansko poškodoval Heartbleeda? No, bilo je več poročil o napadih Heartbleed-a, ki so resnično škodovali. Če menite, da je Heartbleed vsega hype, premislite še enkrat.
900 SIN ukradenih od kanadske agencije za prihodke
V Kanadi je napadalec uporabil hrošča Heartbleed proti Kanadski agenciji za prihodke in zajel približno 900 številk socialnega zavarovanja (SIN), ki pripadajo ljudem, ki vlagajo dohodnino. To je v bistvu kanadski ekvivalent napadalcu, ki zajame številke socialnega zavarovanja (IRS) iz IRS v ZDA. Ukradeni so bili tudi nekateri podatki, povezani s kanadskimi podjetji.
Napadalec je bil aretiran zaradi zajetja teh številk, ne vemo pa, ali je napadalec prodal SIN ali jih posredoval nekomu drugemu. Tako kot številke socialnega zavarovanja v ZDA tudi teh številk na splošno ni mogoče spremeniti - spremeniti jih je mogoče le, če dokažete, da ste bili žrtev goljufij. Prizadeti zavezanci se bodo morali naročiti na storitev spremljanja kreditne sposobnosti in spremljati ljudi, ki poskušajo v svojem imenu odpreti bančne račune in kreditne kartice. Kraja identitete 6 Opozorilni znaki kraje digitalne identitete, ki je ne smete prezretiKraja identitete v teh dneh ni preveč redka pojavnost, vendar pogosto pademo v past misli, da se bo vedno zgodilo "nekomu drugemu". Ne prezrite opozorilnih znakov. Preberi več je resna skrb tukaj.
Mumsnet in druge kraje gesla
Mumsnet je nedavno sporočil, da sili vse uporabnike, da spremenijo gesla. To ni bil le preventivni ukrep - Mumsnet je imel razlog za to verjeti napadalci so dobili dostop do gesla in zasebnih sporočil ki pripadajo do 1,5 milijona uporabnikom.
To verjetno ni edino spletno mesto, ki so mu z njega ukradli občutljiva gesla. Če so ljudje kar je velika napaka pri uporabi istega gesla na več spletnih mestih Vodnik za upravljanje geslaNe gnajte z gesli ali preprosto uporabite isto na vsakem spletnem mestu, samo da si jih boste zapomnili: oblikujte svojo strategijo upravljanja gesla. Preberi več , napadalec lahko poseže v druge račune. Na primer, če nekdo uporablja isto geslo za svoj račun Mumsnet in za e-poštni račun, vezan na račun Mumsnet, lahko napadalec vstopi v ta e-poštni račun. Od tam lahko napadalec ponastavi druga gesla in vstopi v druge račune
Če ste prejeli e-poštno sporočilo od službe, ki vam svetuje, da spremenite geslo in poskrbite, da ga ne uporabljate geslo drugje, možno je, da je služba ukradla gesla - ali pa so bila gesla ukradena in ni zagotovo.
Ugrabitev zasebnega ključa in kraje zasebnega ključa
Varnostno podjetje Mandiant je to sporočilo napadalci so uporabili Heartbleed za kršenje internega VPN podjetjaali navidezno zasebno omrežje, ki pripada eni od njihovih strank. Uporabljal se je VPN večfaktorna overitev Kaj je dvofaktorska overitev in zakaj jo morate uporabljatiDvofaktorska avtentikacija (2FA) je varnostna metoda, ki zahteva dva različna načina dokazovanja vaše identitete. Običajno se uporablja v vsakdanjem življenju. Na primer za plačilo s kreditno kartico ni potrebna samo kartica, ... Preberi več , vendar to ni bilo pomembno - - napadalec je z napravo VPN z napadom Heartbleed lahko ukradel zasebne šifrirne ključe in nato ugrabil aktiviranje sej VPN.
Ne vemo, katera korporacija je bila napadena tukaj - Mandiant je ravno sporočil, da je "glavni korporacija. " Napadi, kot je ta, bi se lahko uporabili za krajo občutljivih korporativnih podatkov ali okužbo notranjih korporativna omrežja. Če korporacije ne poskrbijo, da njihova omrežja niso izpostavljena Heartbleedu, je mogoče njihovo varnost zlahka zaobiti.
Edini razlog, ki ga slišimo o tem, je, ker želi Mandiant ljudi spodbuditi, da jih zaščitijo VPN strežniki Najboljše storitve VPNSestavili smo seznam najboljših ponudnikov storitev navideznega zasebnega omrežja (VPN), ki so združeni po premium, brezplačnih in hudourniku prijaznih storitvah. Preberi več . Ne vemo, katera korporacija je bila napadana tukaj, ker korporacije ne želijo sporočiti, da so ogrožene.
To ni edini potrjeni primer, da se Heartbleed uporablja za krajo zasebnega šifrirnega ključa iz pomnilnika delujočega strežnika. CloudFlare je podvomil, da bi Heartbleed lahko uporabili za krajo zasebnih šifrirnih ključev, in izdal izziv - poskusite dobiti zasebni šifrirni ključ z našega strežnika, če lahko. Več ljudi je zasebni ključ pridobilo v enem dnevu.
Agencije za državni nadzor
V nasprotju s tem bi hroščev Heartbleed lahko odkrili in izkoristili državni nadzorni in obveščevalni agenciji, preden je to postalo javno znano. Bloomberg je o tem poročal NSA je vsaj dve leti izkoriščala Heartbleed. The NSA in Bela hiša so to zanikali, vendar je direktor nacionalne obveščevalne službe James Clapper slavno rekel, da NSA ni zbrala nobenih podatkov o milijonih Američanov, še preden so postale znane nadzorne dejavnosti NSA, zdaj vemo, da ni res Kaj je PRISM? Vse, kar morate vedetiAgencija za nacionalno varnost v ZDA ima dostop do vseh podatkov, ki jih hranite pri ameriških ponudnikih storitev, kot so Google Microsoft, Yahoo in Facebook. Verjetno spremljajo tudi večino prometa, ki teče čez ... Preberi več . To tudi vemo NSA skladišči varnostne ranljivosti za uporabo proti ciljem nadzora, ne pa o poročanju, da jih je mogoče določiti.
Če NSA, na svetu obstajajo tudi druge državne nadzorne agencije. Mogoče je, da je državna nadzorna agencija druge države odkrila to hrošče in jo uporabljala za nadzorne cilje, morda celo ameriške korporacije in vladne agencije. Tukaj ne moremo vedeti ničesar, vendar je zelo mogoče, da so Heartbleed uporabili za vohunjenje dejavnosti, preden je bila javno razkrita - zagotovo se bo uporabljala v te namene zdaj, ko bo javnost znanje!
Samo ne vemo
Samo ne vemo, koliko škode je Heartbleed še storil. Podjetja, ki se zaradi Heartbleeda končajo s kršitvami, se bodo pogosto želela izogniti neprijetnim napovedim, ki bi lahko škodovale njihovemu poslovanju ali škodile njihovim delnicam. Na splošno je lažje reševati težavo, kot pa da svetu sporočite.
V mnogih drugih primerih storitve ne bodo vedele, da jih je ugriznil Heartbleed. Zahvaljujoč vrsti zahteve, ki jo uporablja ranljivost Heartbleed, napadi Heartbleed ne bodo prikazani v številnih dnevnikih strežnikov. Še vedno se bo pojavil v dnevnikih omrežnega prometa, če veste, kaj iskati, vendar vsaka organizacija ne ve, kaj naj išče.
Mogoče je tudi, da je bil hrošček Heartbleed že v preteklosti izkoriščen, preden je postal javno znan. Mogoče je, da so hroščevci ali - bolj verjetno - državne nadzorne agencije odkrili hrošča in ga tudi uporabljali. Primeri tukaj so le posnetek nekaj stvari, ki jih poznamo.
Hype je upravičen - pomembno je, da čim prej posodobimo storitve in naprave, da bomo v prihodnosti zmanjšali škodo in se izognili hujšim napadom.
Kreditna slika: snoopsmas na Flickr, ChrisDag na Flickr
Chris Hoffman je tehnološki bloger in vsestranski odvisnik od tehnologije, ki živi v Eugeneu v Oregonu.