Внимание: Heartbleed бъг! Подробно за най-сериозния пробив в интернет сигурността напоследък и няколко съвета как да се справим с него.

2

Откакто беше открит в понеделник, около така нареченият Heartbleed бъг се шуми доста и то с основание. За разлика от множеството предходни пробиви в сигурността на отделни сайтове – в това число и на големи корпорации като Sony и Adobe, излагащи на опасност личните данни на техните потребители, опубличеният в началото на седмицата проблем е много, много по сериозен.

Причините за това са основно две: първо той засяга над 2/3 от сайтовете в световната мрежа (т.е. пробивът е глобален) и второ касае изключително чувствителен кръг от услуги, сред които обмен на съобщения през електронна поща, интернет банкиране и онлайн транзакции.

Става дума за опасна дупка в сигурността на така наречените OpenSSL библиотеки – част от най-масово използвания протокол за криптографска защита на обменяната в уеб информация – SSL/TSL. И за да станат нещата още по-„забавни“, се оказва, че въпросният проблем датира от цели две години, а е открит едва преди броени дни.

До момента няма официални данни за отделни хакери или хакерски групи, които да са се възползвали от Heatrbleeding бъга, но това в никакъв случай не означава, че той не е бил вече известен на отделни хора.

heartbleed-openssl-bug

Иначе казано – най-добре е да приемете, че личните ви данни, които до момента сте смятали за надлежно защитени с пароли в различни сайтове са изложени на изключително сериозна опасност и да предприемете необходимите мерки.

Преди това обаче трябва да се запасите с търпение, понеже случая с  Heartbleed бъга е доста по-различен от всички подобни, локални пробиви с които интернет се е сблъсквал до момента.

Обикновено, когато става дума за локална слабост на конкретен сайт или корпоративна мрежа (както се случи с изтеклите милиони пароли, лични данни и прочее информация от сайта на Adobe), решението е незабавна промяна на паролата, която използвате.
С Heartbleed това няма да реши проблема, ако преди това собственикът на съответния сайт не е ъпдейтнал версията на OpenSSL библиотеките, които той използва – дори и да промените паролата си при това положение вашите лични данни ще продължат да бъдат изложени на риск.

1

Затова първата стъпка, която следва да предприемете е да се уверите, че съответният сайт не е засегнат от Heartbleed bug. За целта можете да използвате този интернет инструмент.

Тъй като той не е 100 процента съвършен обаче, като допълнителна (или алтернативна) мярка можете да проверите за актуалната версия на OpenSSL протоколите които сайта използва. Тук ще ви е нужен LastPass’s SSL date checker. Ако датата на последният ъпдейт която ви покаже той е след 7 април 2014 (когато беше установен пробива), спокойно можете да пристъпите към следващата логична стъпка, а именно промяна на паролите които използвате.

Разбира се най-добрият вариант за генериране на наистина случайни символни низове, които да използвате като пароли за различни сайтове е така нареченият мениджър за пароли – програма от типа на споменатия LastPass.

Тя е особено полезна, ако използвате активно множество различни акаунти и искате максимално сигурна парола за всеки един от тях.

Ако пък не желаете да се доверявате на подобен софтуер ето няколко универсални съвета за създаване на максимално устойчива на пробив парола.

Винаги подбирайте символни низове с по-голяма от минимално изискуемата от сайта дължина. Ако примерно става дума за 5 символа, използвайте 10-20 или повече – колкото повече смятате, че можете да запомните толкова по добре.

heartbleed_padlock-578-80

Избягвайте да използвате думи, които имат смисъл т.е. които могат лесно да бъдат намерени в речник. Много лоша практика е използването на символни низове съдържащи лесно откриваема лична информация като вашето име, рождена дата, адреса, на който живеете. Избягвайте „случайни“ клавишни комбинации от типа на “qwerty” или “asdf”.

Научете се да използвате за пароли не отделни думи, а цяла фраза. Например за акаунта си във Facebook можете да изберете фразата „I Love To Have Friends”, a след това да я преобразувате в нещо като „1l0ve2haVEfri3nds” – относително лесно за запомняне и сравнително трудно за разбиване.

Author: Драгомир Дончев

Share This Post On

Submit a Comment

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *