Как обычный пользователь Интернета вы ожидаете, что фоновая работа Интернета будет просто работать. Все, что происходит за кулисами, все шифрование, все рукопожатия и каждая небольшая транзакция должны обеспечить вам безопасный способ общения и ведения бизнеса в Интернете, не беспокоясь о хакерах, преследующих каждое ваше движение. К сожалению, Интернет работает не так, и ошибка OpenSSL «Heartbleed» является окончательным доказательством этого. Есть некоторые вещи, которые вам следует знать об этой ошибке, поскольку, по всей вероятности, она касается вас больше, чем вы думаете.
Что такое OpenSSL?!
Хорошо, я дважды упомянул OpenSSL и даже не объяснил вам это. Видите ли вы маленький значок замка рядом с «https://» в своем браузере, когда заходите на «защищенные» сайты? В веб-браузере Google Chrome это выглядит примерно так:
Когда вы видите это, вы используете специальную форму шифрования, извест
Что такое OpenSSL?!
окетов (SSL) или безопасность транспортного уровня (TLS). Чтобы предоставлять услуги с таким шифрованием, вам нужен алгоритм, который обеспечит шифрование/дешифрование пакетов, которыми вы обмениваетесь с сервером. Это означает, что у них должен быть способ перевести ваш текст в нечитаемую тарабарщину, а затем перевести его обратно в читаемую форму на своей стороне. Используя эту технологию, если хакеру каким-то образом удастся помешать вашему соединению с сервером, он прочитает лишь длинную цепочку лепетов.Теперь мы переходим к той части (наконец), где объясняем, что такое OpenSSL: это бесплатная реализация протоколов SSL/TLS с открытым исходным кодом. С помощью этой технологии любой может предоставить вам зашифрованные услуги. Многие компании, в которых у вас есть учетные записи, могут использовать OpenSSL для шифрования ваших данных.
Но что, если в OpenSSL есть ошибка, которая полностью противоречит цели шифрования?
Объяснение ошибки
10 апреля 2014 года сотрудники компании PerfectCloud, занимающейся защитой личных данных, сообщили об огромной дырев коде OpenSSL, известной как ошибка «Heartbleed». В течение двух лет мы не видели новой версии OpenSSL, и за это время в ее коде возникла проблема, которая обнажила часть серверной памяти. Этот фрагмент памяти может содержать закрытые ключи, которые используются для шифрования/дешифрования данных. Ой!
Это означает, что хакер может обнаружить криптографические ключи сервера и просто расшифровать все, что вы ему отправляете, включая ваше имя пользователя, пароль и все остальное, что вам важно и дорого.
Ошибка была исправлена 7 апреля 2014 года, но это не означает, что все выполнили обновление своих реализаций OpenSSL. Крупные интернет-компании, такие как Amazon и Yahoo, решили эту проблему, но это все ещене означает, что вы в безопасности! Хакер может прямо сейчас внести ваше имя пользователя и пароль в список, готовый использовать их для доступа к любым другим учетным записям, которые могут быть у вас где-то еще.
Что делать?
Таким образом, даже если компания перейдет на последнюю версию OpenSSL, вы все равно рискуете получить предыдущиеугрозы. Однако, если будут дальнейшие попытки взлома, они не увенчаются успехом. Что вы можете сдела
Объяснение ошибки
о сменить пароль везде. Не позволяйте этому ждать. Просто измените все, чтобы быть готовым, если хакер когда-нибудь решит проверить ваши учетные записи.Еще какие мысли?
Эта ошибка просто показывает, насколько хрупким и переплетенным является Интернет. Несмотря на растущую осведомленность о безопасности и нерегулируемую привлекательность, Интернет по-прежнему остается Интернетом, и он всегда будет в осаде. Какие рекомендации вы дадите компаниям, использующим OpenSSL? Как изменилось ваше понимание экосистем безопасности? Вы что-то запутались? Пишите свои мысли обо всем, что связано с OpenSSL, в комментариях ниже!
