William Charles
0 
3175
377
Błąd Heartbleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? był przedmiotem wielu prac ręcznych i został uznany za jedno z najpoważniejszych naruszeń bezpieczeństwa komputerowego wszechczasów Ogromny błąd w OpenSSL stawia znaczną część Internetu Zagrożony Ogromny błąd w OpenSSL naraża wiele Internetu Zagrożony Jeśli jesteś jednym z ci ludzie, którzy zawsze wierzyli, że kryptografia open source jest najbezpieczniejszym sposobem komunikacji online, czeka cię niespodzianka. . Ale niektórzy ludzie nie są przekonani - w końcu kto tak naprawdę skrzywdził Heartbleed? Zgłoszono kilka ataków wykorzystywania Heartbleed do wyrządzenia prawdziwej krzywdy. Jeśli uważasz, że Heartbleed to tylko szum, pomyśl jeszcze raz.
900 SIN skradzionych z kanadyjskiej agencji podatkowej
W Kanadzie atakujący wykorzystał błąd Heartbleed przeciwko Canadian Revenue Agency, przechwytując około 900 numerów ubezpieczenia społecznego (SIN) należących do osób składających podatki dochodowe. Jest to w zasadzie kanadyjski odpowiednik osoby atakującej przechwytującej numery ubezpieczenia społecznego (SSN) z IRS w USA. Niektóre dane dotyczące kanadyjskich przedsiębiorstw również zostały skradzione.
Atakujący został aresztowany za przechwycenie tych liczb, ale nie wiemy, czy atakujący sprzedał SIN, czy przekazał je komuś innemu. Podobnie jak numery ubezpieczenia społecznego w USA, numery te zasadniczo nie podlegają zmianie - można je zmienić tylko wtedy, gdy udowodnisz, że padłeś ofiarą oszustwa. Poszkodowani podatnicy będą musieli zapisać się do usługi monitorowania kredytu i śledzić osoby próbujące otworzyć konta bankowe i karty kredytowe w ich imieniu. Kradzież tożsamości 6 znaków ostrzegawczych przed kradzieżą tożsamości cyfrowej 6 znaków ostrzegawczych przed kradzieżą tożsamości cyfrowej nie należy ignorować Kradzież tożsamości nie jest zbyt rzadkim zjawiskiem w dzisiejszych czasach, ale często wpadamy w pułapkę myślenia, że to „Zawsze spotka mnie„ ktoś inny ”. Nie ignoruj znaków ostrzegawczych. jest poważnym problemem tutaj.
Mumsnet i inne kradzieże haseł
Mumsnet ogłosił niedawno, że zmusza wszystkich użytkowników do zmiany haseł. To nie był tylko środek zapobiegawczy - Mumsnet miał powody sądzić, że napastnicy uzyskali dostęp do haseł i prywatnych wiadomości należących do 1,5 miliona użytkowników.
Prawdopodobnie nie jest to jedyna strona internetowa, na której skradziono poufne hasła. Jeśli ludzie popełniają duży błąd przy ponownym użyciu tego samego hasła na wielu stronach internetowych, osoba atakująca może dostać się na inne konta. Na przykład, jeśli ktoś używa tego samego hasła zarówno do swojego konta Mumsnet, jak i konta e-mail powiązanego z kontem Mumsnet, osoba atakująca może uzyskać dostęp do tego konta e-mail. Stamtąd atakujący może zresetować inne hasła i uzyskać dostęp do innych kont
Jeśli otrzymałeś wiadomość e-mail z serwisu z zaleceniem zmiany hasła i upewnienia się, że nie używasz tego samego hasła w innym miejscu, możliwe, że usługa została skradziona lub może zostać skradziona i nie jest pewna.
Porwanie VPN i kradzieże kluczy prywatnych
Firma ochroniarska Mandiant ogłosiła, że osoby atakujące wykorzystały Heartbleed do naruszenia wewnętrznej korporacyjnej sieci VPN lub wirtualnej sieci prywatnej należącej do jednego z ich klientów. Sieć VPN używała uwierzytelniania wieloskładnikowego Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Uwierzytelnianie dwuskładnikowe (2FA) to metoda zabezpieczeń, która wymaga dwóch różnych sposobów udowodnienia Twoja tożsamość. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty…, ale to nie miało znaczenia - atakujący był w stanie ukraść prywatne klucze szyfrujące z urządzenia VPN za pomocą ataku Heartbleed, a następnie mógł przejąć aktywację sesji VPN.
Nie wiemy, która korporacja została zaatakowana tutaj - Mandiant właśnie ogłosił, że to była “duża korporacja.” Tego rodzaju ataki można wykorzystać do kradzieży poufnych danych firmowych lub infekowania wewnętrznych sieci korporacyjnych. Jeśli korporacje nie upewnią się, że ich sieci nie są narażone na atak Heartbleed, ich zabezpieczenia można łatwo ominąć.
Jedynym powodem, dla którego o tym słyszymy, jest to, że Mandiant chce zachęcić ludzi do zabezpieczenia swoich serwerów VPN. Nie wiemy, która korporacja została zaatakowana tutaj, ponieważ korporacje nie chcą ogłosić, że zostały przejęte.
To nie jedyny potwierdzony przypadek użycia Heartbleed do kradzieży prywatnego klucza szyfrowania z pamięci uruchomionego serwera. CloudFlare wątpił, aby Heartbleed mógł zostać wykorzystany do kradzieży prywatnych kluczy szyfrujących, i podjął wyzwanie - spróbuj uzyskać prywatny klucz szyfrujący z naszego serwera, jeśli możesz. Kilka osób uzyskało klucz prywatny w ciągu jednego dnia.
Państwowe agencje nadzoru
Kontrowersyjnie błąd Heartbleed mógł zostać wykryty i wykorzystany przez państwowe agencje nadzoru i wywiadu, zanim stał się znany opinii publicznej. Bloomberg poinformował, że NSA wykorzystuje Heartbleed od co najmniej dwóch lat. NSA i Biały Dom zaprzeczyły temu, ale dyrektor wywiadu narodowego James Clapper powiedział, że NSA nie zebrała żadnych danych na temat milionów Amerykanów, zanim działania w zakresie nadzoru NSA stały się znane, co teraz wiemy, że nie jest prawdą. Czym jest PRISM? Wszystko, co musisz wiedzieć, czym jest PRISM? Wszystko, co musisz wiedzieć Agencja Bezpieczeństwa Narodowego w USA ma dostęp do wszelkich danych, które przechowujesz u amerykańskich dostawców usług, takich jak Google Microsoft, Yahoo i Facebook. Prawdopodobnie monitorują też większość ruchu przepływającego przez… Wiemy również, że NSA gromadzi luki w zabezpieczeniach do wykorzystania przeciwko celom nadzoru, zamiast zgłaszać je, aby można je było naprawić.
Poza NSA istnieją na świecie inne agencje nadzoru państwowego. Możliwe, że państwowa agencja nadzoru innego kraju wykryła ten błąd i wykorzystała go przeciwko celom inwigilacji, być może nawet korporacjom i agencjom rządowym z siedzibą w USA. Nie możemy tu niczego na pewno wiedzieć, ale jest bardzo możliwe, że Heartbleed był wykorzystywany do działań szpiegowskich, zanim został publicznie ujawniony - z pewnością będzie wykorzystywany do tych celów teraz, gdy jest publicznie znany!
Po prostu nie wiemy
Po prostu nie wiemy, ile szkód wyrządził Heartbleed. Firmy, które kończą się naruszeniami dzięki Heartbleed, często będą chciały unikać zawstydzających ogłoszeń, które mogłyby zaszkodzić ich działalności lub uszkodzić ceny akcji. Zasadniczo łatwiej jest poradzić sobie z problemem wewnętrznie, niż informować świat.
W wielu innych przypadkach serwisy nie będą wiedziały, że zostały ugryzione przez Heartbleed. Dzięki rodzajowi żądania, które wykorzystuje luka Heartbleed, ataki Heartbleed nie pojawią się w wielu logach serwera. Nadal będzie się pojawiał w dziennikach ruchu sieciowego, jeśli wiesz, czego szukać, ale nie każda organizacja wie, czego szukać.
Możliwe jest również, że błąd Heartbleed był wykorzystywany w przeszłości, zanim stał się znany publicznie. Możliwe, że cyberprzestępcy lub - co bardziej prawdopodobne - państwowe agencje nadzoru wykryły błąd i go wykorzystują. Przykłady tutaj są tylko migawką kilku rzeczy, które wiemy.
Ten szum jest uzasadniony - ważne jest, aby jak najszybciej aktualizować usługi i urządzenia, aby zmniejszyć szkody i uniknąć gorszych ataków w przyszłości.
Zdjęcie: snoopsmas na Flickr, ChrisDag na Flickr