Напоследък не минава и ден, без в интернет да гръмне поредният скандал, свързан с поредната открита слабост в корпоративната защита на една или друга голяма компания, довела до изтичането на огромни масиви лични данни на нейните потребители в уеб пространството. Последната подобна издънка беше на Adobe и благодарение на нея стотици хиляди пароли и други персонални данни се оказаха публично достъпни.
Откритият в понеделник Heartbleeding бъг обаче е нещо доста по-различно и уви, много, много по-опасно. Вместо един отделен сайт или конкретна корпоративна мрежа той засяга близо 2/3 от използващите OpenSSL система за криптиране сайтове в уеб, в това число банки, кредитни компании, услуги за електронна поща.

Опасно, по-опасно, най-опасно, Heartbleeding bug

При повечето пробиви в сигурността като цитирания в мрежата на Adobe например, проблемът е повече или по-малко локален – става дума за сайтовете на компания Х и нейните клиенти, които съответно са изложени на риск.
В такива случаи обикновено решението е промяна на паролата, която използвате за идентификация към съответния сайт, и стискане на палци междувременно да не сте един от „късметлиите”, с чиито лични данни, изтекли в уеб, е било злоупотребено.

За съжаление откритият в началото на седмицата Heartbleeding бъг е значително по-голяма заплаха, която спокойно може да прерасне в катастрофа за милиони интернет потребители.
Проблемът тук е изключително сериозен, тъй като става дума за пробив в сигурността на един от най-масово използваните протоколи за криптографска защита, за който се предполагаше, че гарантира изключително високо ниво на анонимност за всички данни, които потребителите на онлайн услуги обменят в мрежата. Тук говорим за неща от класа на банкови и картови парични транзакции, съобщения по електронна поща, публикуване на лични данни в различни правителствени и административни сайтове (например тези на НАП и различните данъчни дирекции).
Забавно, нали?

 



На практика Heartbleeding пробивът позволява на всеки въоръжен с нужните инструменти и минимално ниво на компютърни познания да открадне информация, защитена с SSL/TSL криптиране – алгоритъм за шифроване, който допреди дни се смяташе за практически непробиваем.
Звучи доста зле, нали? Почакайте – това не е всичко. Нещата изглеждат още по-грозни, след като си дадете сметка, че въпросният OpenSSL алгоритъм се използва от 2/3 от сайтовете в интернет, а въпросната дупка в сигурността датира от вече близо две години, но е открита едва преди дни.

И макар до момента да няма конкретни данни Heartbleeding бъгът да е бил масово известен и използван от определени злонамерени групи в интернет пространството, всеки от нас е добре да е наясно, че личната му информация е изложена на значителен риск.

Какво да се прави?

В. И. Ленин вероятно би отговорил: „Как какво? Революция!”, но нашият съвет засега е да се въздържате от резки движения и драматични промени. Обичайната контрамярка при открити подобни заплахи в сигурността е промяна на паролите, които използвате. Това обаче не е добра идея по една основна причина: тъй като пробивът беше открит в началото на седмицата, а броят на засегнатите сайтове е огромен, шансовете и до момента една голяма част от тях все още да не са преминали към по-новата версия на OpenSSL (която закърпва проблема) никак не е малък.

 



Така че, ако още днес започнете паникьосано да променяте паролите си за достъп във всеки сайт, който използвате – от предпочитаната от вас услуга за онлайн банкиране до акаунта ви в PayPal, твърде е възможно тази мярка да има нулев ефект, ако въпросния сайт все още не е преминал през процедура за ъпгрейд.

Разбира се, в момента, в който проблемът стана широкоизвестен, по-голяма част от засегнатите компании незабавно стартираха процедура за преход към новата OpenSSL версия, но междувременно добре е първо да проверите дали сайтът, за който става дума, е засегнат и дали проблемът е закърпен, преди да промените паролата си за достъп.
За целта може да използвате ето този онлайн инструмент, наречен Heartbleeding тест.

Като допълнителна предпазна мярка можете да проверите също така дали съответният сървър, хостващ сайта, работи с най-новата, коригирана версия на протокола SSL. За това ще ви е нужен LastPass’s SSL date checker. Ако датата на последния ъпдейт е след 7 април 2014, това определено е добър знак.

След всичко казано изглежда задаващият се уикенд ще е изключително подходящо време да преосмислите цялостната си лична политика по отношение на онлайн паролите за достъп и идентификация, които използвате.

В този ред на мисли – припомняме някои от най-основните правила за генериране на максимално защитени и сигурни пароли.

Дължината на символния низ, който използвате за парола, е добре винаги да е по-дълъг от минимума, който изисква съответният сайт. Ако примерно минималният размер е 6 символа, изберете колкото може по-дълъг низ – 10-15, че и повече знака – колкото повече смятате, че можете да запомните, толкова по-добре.

 

 



Избягвайте да използвате думи, които могат да бъдат открити в речника. Никога не включвайте в паролата части от името си или лична информация, като рождената си дата, адреса, на който живеете, или друг вид лесни за откриване персонални данни. В никакъв случай не разчитайте на тривиални клавишни поредици като qwerty или asdf.
Ако се налага да боравите с повече от 3-4 различни пароли, най-сигурният и добър начин за генерирането на наистина случайни пароли, които ще затруднят максимално всеки недоброжелател, е да използвате мениджър за пароли, като LastPass например.

Ако пък това не ви е по-вкуса, добра идея е да разчитате на цяла фраза като парола, а не просто на случаен низ от символи. За вашия Amazon акаунт например можете да изберете нещо в стил: I Love Books, a след това да трансформирате фразата в низ от вида: !luv2ReadBkz – относително лесна за запомняне, но в същото време доста трудна за разбиване парола.

Тагове: