С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
10 14 апр 2014, 16:34, 13008 прочитания

Какво трябва да знаем за пробивa Heartbleed в стандарта OpenSSL

Проблемът има своето отражение за интернет потребители и компании в целия свят

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg


Може би едно от най-важните послания при неспиращите разкрития за какви ли не проблеми със сигурността на личните данни в интернет е, че гаранция за тях няма и всеки потребител и компания трябва винаги да има едно наум. Въпреки това понякога проблемите се появяват от най-малко очакваните места.

Точно така се случи и миналата седмица, когато беше разкрит сериозен пробив в сигурността на иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL. Тъй като OpenSSL се използва от стотици хиляди интернет страници по света, веднага се сметна, че проблемът има много сериозни последици. След това обаче се появиха информации, че пробивът, наречен Heartbleed, е само за специфична версия на OpenSSL и мащабът не е чак толкова голям. Какво се случва в действителност? Ето няколко кратки отговора на най-често задаваните по този казус въпроси.


Какво е OpenSSL?
Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS), е метод за криптиране на информацията, която се прехвърля по интернет. Той се използва широко от много интернет компании и онлайн услуги, включително социални мрежи, търсачки, форуми, мейл услуги и др. Най-лесният начин да се забележи наличието на криптиране е, като се погледне адрес полето на браузъра. Ако преди домейна пише https:// вместо http://, значи стандартът е активен и работи. OpenSSL е отворена версия на SSL, която е една от най-използваните. Добрата новина е, че повечето банки и институции разчитат на други, по-специфични версии и така те останаха извън проблема Heartbleed.

Какво е Heartbleed?
Оказва се, че в OpenSSL има сериозен пропуск в сигурността. Чрез него практически всеки човек в интернет може да чете елементи от паметта на системите, които използват уязвимите версии на OpenSSL. "На практика хакерът може да вземе 64KB памет от сървъра и да прочете данните в тях. Атаката не оставя следи и може да бъде правена многократно, като се взимат различни 64KB късчета от паметта. Това означава, че всичко в паметта, SSL ключовете, потребителски пароли, всичко, е уязвимо. И трябва да приемате, че всичко е компрометирано", коментира специалистът по киберсигурност Брус Шнейер в своя сайт.

Реална ли е заплахата и колко е сериозна?
Това е големият въпрос, по който експертите се разединиха. Специалисти на компанията CloudFlare обявиха в петък, че техните тестове показват практическа невъзможност чрез Heartbleed да бъдат узнати SSL ключовете за декриптиране на информацията. Фирмата сподели, че след двуседмични тестове не са успели да използват Heartbleed, за да се сдобият с данни. Компанията беше толкова уверена в мнението си, че създаде тестова страница и призова всеки желаещ хакер да се пробва да вземе данни от нея чрез Heartbleed. В рамките на няколко часа поне двама хакери успяха да направят това и да докажат, че чрез този пробив в OpenSSL все пак защитите могат да бъдат преодолени.



Как да разбера дали съм засегнат?
Този отговор има две части. Първо за администраторите на интернет страници. Най-лесният начин е, като посетят сайта https://filippo.io/heartbleed/ и въведат IP адреса или домейна на страницата си. Алтернатива е https://lastpass.com/heartbleed/, която дава повече информация - например дали даден сайт е бил засегнат, но вече е поправен. По този начин и потребителите могат да разберат доколко техните пароли са били изложени на риск. Ако имате акаунт в сайт, който е бил засегнат от Heartbleed, тогава е силно препоръчително да смените паролата си в него. В случай че сайтът все още не е оправил проблема, няма смисъл да сменяте паролата, докато това не бъде направено.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

"Булпрос" придобива мажоритарен дял в софтуерния интегратор "Бийм" "Булпрос" придобива мажоритарен дял в софтуерния интегратор "Бийм"

"Бийм" ще запази бранда си и частична автономност

25 яну 2020, 2039 прочитания

Запали се ракетата на кандидата за "бронзов медал" при частните орбитални полети Запали се ракетата на кандидата за "бронзов медал" при частните орбитални полети

Космическата компания Firefly Aerospace вероятно няма да извърши премиерно изстрелване в през април, както планираше

24 яну 2020, 1839 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Технологии" Затваряне
Microsoft преобразява и Windows Phone

Новата версия ще направи мобилната платформа на софтуерния гигант по-конкурентна в борбата й срещу iOS и Android

Още от Капитал
Свинското: скъпо и дефицитно

Чумата по свинете в Азия вдигна световните цени, създаде дефицит и проблемите заразиха и България

БТК ще бъде купена почти изцяло с дълг

Купувачът на телекома пласира облигации за общо 1.2 млрд. евро, които ще бъдат усвоени преди финализирането на сделката

Ryanair става Buzz в София

Нискотарифната компания планира реорганизация и ребрандиране на част от поделенията си под марката Buzz. Сред тях е това в Полша, което ще поеме управлението на София

Реклама за слушане

Чрез подкаст рекламите компаниите могат да достигнат до нишова аудитория, фокусирана върху съдържанието.

Берлинска ръченица

Електронният артист Стефан Голдман за новаторския си поглед към музиката и защо винаги ще имаме нужда от човека в технологията

Ален де Ботон, писател, философ, основател на The School of Life: Ние сме любов и мрак

Ботон за емоционалната интелигентност, стоицизма и деструктивното в човешкия вид пред "Капитал"

X Остават ви 0 свободни статии
0 / 10