Keselamatan

Apa itu Heartbleed Bug dan Bagaimana Melindungi diri dan Tetap Selamat?

Apa itu Heartbleed Bug dan Bagaimana Melindungi diri dan Tetap Selamat?

Hampir 70 peratus lalu lintas di Internet menggunakan OpenSSL untuk menjamin pemindahan data. Itu diterjemahkan ke hampir semua pelayan utama (baca: laman web) menggunakan OpenSSL untuk mengamankan data anda seperti bukti kelayakan masuk. Namun, seseorang dari Google menemui bug dalam OpenSSL - kesalahan pengaturcaraan kecil tetapi cukup besar untuk memberikan data anda kepada penggodam - orang yang bersedia menggunakan data anda untuk tujuan mereka. Bug OpenSSL ini diberi nama Pedih hati kerana ia berkait rapat dengan beberapa lapisan HeartBeat OpenSLL.

Apa itu Bug Heartbleed

Sebilangan besar pelayan menerima data yang dienkripsi, menyahkodnya menggunakan kunci penyulitan dan meneruskannya untuk diproses. Oleh kerana kebanyakan pelayan menggunakan kaedah FIFO (First in First Out) untuk melayani pengguna akhir, selalunya, data (setelah penyahsulitan) berada dalam memori pelayan untuk sementara waktu sebelum pelayan menggunakannya untuk pemprosesan selanjutnya.

Bug Heartbleed adalah masalah yang membimbangkan hampir semua laman web komersial berasaskan Internet dan beberapa jenis lain. Kesalahan pengaturcaraan ini membolehkan penggodam untuk memeriksa mana-mana pelayan yang menggunakan OpenSSL dan membaca / menyimpan / menggunakan data yang tidak disulitkan (data yang didekripsi). Peretas sekarang tidak hanya mempunyai akses ke data anda, mereka juga dapat menghasilkan semula sijil laman web menjadikan Internet, bahkan menjadi tempat yang lebih berbahaya. Dengan salinan sijil laman web, penggodam dapat membuat laman tiruan: laman web yang kelihatan serupa dengan laman web asal. Dengan itu, mereka dapat mengakses data anda dengan lebih lanjut seperti butiran kad kredit, maklumat peribadi dll.

Bunyinya menakutkan, bukan? Ia - sememangnya - kerana dapat mengakses maklumat anda dan maklumat itu dapat digunakan hingga akhir.

Nota: Heartbleed juga mempunyai nama kod CVE-2014-0160. CVE bermaksud Kerentanan dan Pendedahan Umum. Kod-kod ini berkaitan dengan kelemahan dll. diberikan oleh MITER, badan bebas yang mengawasi pepijat dan masalah serupa.

Sekiranya saya menaik taraf Anti-Virus saya atau sebagainya

Bug Heartbleed di OpenSSL tidak ada kaitan dengan antivirus atau firewall anda. Ini bukan masalah sisi pelanggan sehingga anda tidak dapat berbuat apa-apa. Di sisi lain, pelayan harus menerapkan patch ke sistem OpenSSL yang mereka gunakan. Setelah selesai, laman web boleh dikatakan lebih selamat untuk berinteraksi.

Apa yang boleh anda lakukan sebagai pengguna adalah mengurangkan jumlah lawatan ke perdagangan dan laman web serupa. Bukan bahawa bug hanya mempengaruhi laman web perdagangan. Ia sama untuk semua jenis laman web yang menggunakan OpenSSL. Saya katakan mengelakkan laman web perdagangan untuk sementara waktu kerana ia akan menjadi sasaran utama penggodam yang menginginkan butiran kad anda dll. Ini bermaksud bahawa sasaran utama penggodam adalah laman e-dagang yang menggunakan OpenSSL.

Sebaik sahaja anda mendapat mesej / laporan bahawa bug telah diperbaiki, anda dapat meneruskannya seperti yang biasa anda lakukan sebelum bug itu ditemui. OpenSSL telah membuat patch dan telah melepaskannya untuk pemilik laman web untuk mengamankan data pengguna mereka. Sehingga itu, cubalah mengelakkan laman web di mana anda harus memasukkan data anda dalam bentuk apa pun - walaupun bukti kelayakan masuk. Saya pasti hampir semua webmaster mesti menggunakan patch tersebut tetapi masih ada masalah. Setelah anda yakin bahawa tidak ada kerentanan atau kerentanan seperti itu telah ditambal, mungkin ada baiknya menukar kata laluan anda.

Sementara itu, gunakan pelanjutan penyemak imbas ini untuk memberi amaran kepada anda mengenai laman web yang terkena Heartbleed.

Sijil Laman web yang disalin melalui Heartbleed perlu diberi perhatian

Ada kemungkinan besar sijil keselamatan laman web mungkin disalin kerana membuat laman web berbahaya. Oleh kerana sijil keselamatan sebagai salinan umum, penyemak imbas anda mungkin tidak akan membezakannya. Anda harus tetap berhati-hati. Elakkan mengklik pautan dan sebaliknya, taipkan URL laman web di bar alamat supaya anda tidak diarahkan ke beberapa laman web palsu.

Masalah ini dapat diselesaikan dengan dua cara:

  1. Penyemak imbas yang tersedia di pasaran harus dibuat cukup pintar untuk mengenal pasti sijil yang disalin dan memberi amaran kepada anda.
  2. Webmaster menukar sijil setelah menggunakan patch.

Dengan kata lain, akan memerlukan sedikit masa untuk melaksanakannya di atas walaupun webmaster menggunakan patch tersebut. Saya ingin mengulangi bahawa jangan mengklik pautan dalam e-mel atau laman web yang tidak terkenal. Cukup, taipkan URL ke bar alamat atau jika mempunyai laman web yang asli ditanda buku, gunakan penanda halaman.

Bahagian Rujukan di akhir artikel ini mengandungi senarai laman web yang terjejas yang tidak lengkap. Tidak lengkap kerana mungkin terdapat lebih banyak laman web yang terjejas daripada yang disenaraikan di sana.

Rujukan:

Permainan Shadow of the Tomb Raider untuk Tutorial Linux
Shadow of the Tomb Raider untuk Tutorial Linux
Shadow of the Tomb Raider adalah penambahan kedua belas untuk siri Tomb Raider - francais permainan aksi-pengembaraan yang dibuat oleh Eidos Montreal....
Permainan Cara Meningkatkan FPS di Linux?
Cara Meningkatkan FPS di Linux?
FPS bermaksud Bingkai sesaat. Tugas FPS adalah mengukur kadar bingkai dalam pemutaran video atau persembahan permainan. Dengan kata mudah bilangan gam...
Permainan Permainan Makmal Apl Oculus Teratas
Permainan Makmal Apl Oculus Teratas
Sekiranya anda adalah pemilik alat dengar Oculus, maka anda mesti mengetahui tentang memuatkan sideload. Sideloading adalah proses memasang kandungan ...