पूछे जाने वाले प्रश्न: Heartbleed भेद्यता और कैसे अपने आप को उससे बचाने के लिए क्या है
प्रौद्योगिकी के / / December 19, 2019
OpenSSL प्रोटोकॉल में एक हाल ही में खोज की दुर्बलताओं को करार दिया Heartbleed, और यहां तक कि अपना स्वयं का लोगो, वेबसाइटों की एक किस्म पर उपयोगकर्ता का पासवर्ड के लिए एक संभावित खतरा रहता है। हम शुष्क अवशेषों में इसके चारों ओर प्रचार और इसके बारे में बात करते हैं के लिए इंतजार करना है, तो बात करने के लिए, का फैसला किया।
यह CNET, का एक लोकप्रिय संस्करण के लिए हमें मदद मिलेगी जो इकट्ठा इस विषय पर अक्सर पूछे जाने वाले प्रश्नों की एक सूची। हम निम्नलिखित जानकारी आप Heartbleed बारे में अधिक जानने और स्वयं को सुरक्षित रखने में मदद मिलेगी उम्मीद है। सबसे पहले, याद करने के लिए Heartbleed समस्या के साथ तारीख को पूरी तरह से हल नहीं किया गया है।
Heartbleed क्या है?
Heartbleed - OpenSSL सॉफ्टवेयर पुस्तकालय में सुरक्षा भेद्यता (SSL / TLS एन्क्रिप्शन प्रोटोकॉल के खुले कार्यान्वयन) कि हैकर्स की अनुमति देता है स्मृति सर्वर, जो इस बिंदु पर विभिन्न उपयोगकर्ताओं की निजी डेटा हो सकता है की सामग्री का उपयोग करने के लिए वेब सेवाओं। अनुसंधान फर्म नेटक्राफ़्ट के अनुसार, इस जोखिम के बारे में 500 हजार वेबसाइटों से अवगत कराया जा सकता है।
इस का मतलब है इन साइटों पर संभावित खतरे में उन उपयोगकर्ताओं की निजी डेटा, उपयोगकर्ता नाम, पासवर्ड, क्रेडिट कार्ड डेटा, आदि की तरह थे कि
जोखिम भी डिजिटल कुंजी है, जो कंपनियों की एक किस्म में उदाहरण के लिए उपयोग किया जाता है,, एन्क्रिप्शन पत्राचार और आंतरिक दस्तावेजों के लिए करने के लिए हमलावरों की अनुमति देता है।
OpenSSL क्या है?
के SSL प्रोटोकॉल है, जो सिक्योर सॉकेट लेयर (सिक्योर सॉकेट लेयर) के लिए खड़ा है के साथ शुरू करते हैं। उन्होंने यह भी टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) के अपने नए नाम से जाना जाता है। आज यह नेटवर्क है कि आप संभव से बचाता ओर से "जासूसी" में डेटा एन्क्रिप्शन का सबसे आम तरीकों में से एक है। (HTTPS पर लिंक की शुरुआत का संकेत है कि आपके ब्राउज़र और साइट में खोलने SSL का उपयोग कर रहा है के बीच संचार, अन्यथा आप ब्राउज़र सिर्फ http में देखेंगे)।
OpenSSL - खुला स्रोत सॉफ्टवेयर के एसएसएल कार्यान्वयन। कमजोरियों 1.0.1f को प्रोटोकॉल संस्करण 1.0.1 का शिकार हुए। OpenSSL भी लिनक्स ऑपरेटिंग सिस्टम में इस्तेमाल किया जाता है, यह दो सबसे लोकप्रिय वेब सर्वर अपाचे और Nginx, जो "रन" इंटरनेट का एक बड़ा हिस्सा का हिस्सा है। संक्षेप में, OpenSSL के दायरे बहुत बड़ा है।
कौन एक बग मिला?
इस योग्यता कंपनी Codenomicon के कर्मचारियों के अंतर्गत आता है, कंप्यूटर सुरक्षा, और स्टाफ के साथ काम गूगल अनुसंधानकर्ता नील मेटा (नील मेहता), जो एक दूसरे से स्वतंत्र रूप से संभावित खतरों की खोज की, सचमुच एक दिन।
मेटा 15 हजार का इनाम का दान दिया। डॉलर। सूचना के स्रोतों के साथ काम करने वाले पत्रकारों के लिए एन्क्रिप्शन उपकरणों के विकास है, जो एक मुक्त प्रेस फाउंडेशन (प्रेस फाउंडेशन की स्वतंत्रता) लेता है के लिए अभियान पर एक बग का पता लगाने के लिए। मेटा किसी भी साक्षात्कार मना करने के लिए जारी है, लेकिन अपने नियोक्ता, गूगल, निम्नलिखित टिप्पणी दे दी है: "हमारे उपयोगकर्ताओं की सुरक्षा हमारी सर्वोच्च प्राथमिकता है। हम लगातार कमजोरियों के लिए देख रहे हैं और सभी जितनी जल्दी हो सके, ताकि हम उन्हें ठीक कर सकते हैं इससे पहले कि वे हमलावरों को ज्ञात हो के रूप में उन्हें रिपोर्ट करने के लिए प्रोत्साहित करते हैं। "
क्यों Heartbleed?
नाम Heartbleed Ossie Gerraloy (Ossi Herrala), सिस्टम प्रशासक Codenomicon द्वारा गढ़ा गया था। यह तकनीकी नाम CVE-2014-0160, कोड की अपनी लाइन युक्त संख्या से इस जोखिम की तुलना में अधिक सामंजस्यपूर्ण है।
Heartbleed (शाब्दिक - "खून बह रहा दिल") - OpenSSL के विस्तार के लिए एक संदर्भ युक्त शब्दों पर एक नाटक "दिल की धड़कन" (धड़कन) कहा जाता है। भले ही बीच में प्रतिभागियों डेटा विनिमय नहीं है प्रोटोकॉल, कनेक्शन खुला रखा। Gerrala माना जाता है कि Heartbleed पूरी तरह से जोखिम है कि स्मृति से संवेदनशील डेटा के रिसाव की अनुमति का सार वर्णन करता है।
नाम बग के लिए काफी सफल हो रहा है, और यह कोई संयोग नहीं है। Codenomicon टीम जानबूझकर euphonic (प्रेस) नाम, जो दोनों जहां तक संभव हो मदद मिलेगी जल्द से जल्द के रूप में जोखिम के बारे में पाया लोगों को सूचित करते थे। यह बग का नाम देते हुए Codenomicon जल्द ही एक डोमेन Heartbleed.com, जो Heartbleed के बारे में एक सुलभ रूप कह में साइट शुरू की खरीदी।
क्यों कुछ साइटों Heartbleed से प्रभावित नहीं करते हैं?
OpenSSL की लोकप्रियता के बावजूद, वहाँ अन्य SSL / TLS कार्यान्वयन कर रहे हैं। इसके अलावा, कुछ साइटों OpenSSL, जो इस बग अनुपस्थित है के पिछले संस्करण का उपयोग करें। और कुछ एक दिल की धड़कन समारोह है, जो जोखिम का एक स्रोत है शामिल नहीं किया।
आंशिक रूप से संभावित नुकसान बनाता PFS का उपयोग करें (सही आगे गोपनीयता कम करने के लिए - पूरी तरह से सीधे गोपनीयता), SSL प्रोटोकॉल के संपत्ति है, जो यह सुनिश्चित करता है कि एक हमलावर स्मृति से पुनः प्राप्त करता है, तो सर्वर एक सुरक्षा कुंजी, वह के आराम करने के सभी यातायात और पहुँच को डिकोड करने में सक्षम नहीं होगा चाबियाँ। उदाहरण के लिए, गूगल और फेसबुक - कई (लेकिन सभी नहीं) कंपनियों को पहले से ही PFS का उपयोग करें।
कैसे Heartbleed करता है?
कमजोरियों स्मृति के 64 किलोबाइट सर्वर तक पहुँचने में और पूरा डेटा हानि जब तक बार-बार हमले प्रदर्शन करने के लिए हमलावर से। यह है कि केवल लीक उपयोगकर्ता नाम और पासवर्ड, लेकिन कुकी डेटा होने का खतरा नहीं का मतलब है कि वेब सर्वर और साइटों उपयोगकर्ता गतिविधि और सरल प्राधिकरण ट्रैक करने के लिए इस्तेमाल करते हैं। संगठन इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन कहा गया है कि समय-समय पर हमलों दोनों पर पहुंच सकते हैं इस तरह के निजी साइट एन्क्रिप्शन एन्क्रिप्शन के लिए इस्तेमाल कुंजी के रूप में और अधिक गंभीर जानकारी, यातायात। इस कुंजी का उपयोग करना, एक हमलावर मूल साइट धोखा और क्रेडिट कार्ड नंबर या निजी पत्राचार के रूप में व्यक्तिगत डेटा के सबसे विभिन्न प्रकार चुरा सकते हैं।
मैं अपना पासवर्ड बदलना चाहिए?
साइटों की एक किस्म के लिए जवाब "हाँ।" लेकिन - यह बेहतर प्रशासन साइट से संदेश के लिए प्रतीक्षा करने के लिए कि इस जोखिम समाप्त कर दिया गया है। स्वाभाविक रूप से, अपने पहली प्रतिक्रिया - परिवर्तन सभी पासवर्ड तुरंत, लेकिन अगर साइटों में से कुछ पर भेद्यता साफ नहीं कर रहे हैं, परिवर्तन पासवर्ड व्यर्थ - एक समय था जब भेद्यता व्यापक रूप से जाना जाता है, कि आप केवल अपने नए पता करने के लिए एक हमलावर के अवसरों में वृद्धि पर पासवर्ड।
मुझे कैसे पता चलेगा कि कौन सी साइट की कमजोरियों होते हैं और यह तय हो गई है?
वहाँ कई संसाधनों है कि जोखिम के लिए इंटरनेट की जाँच करें और अपनी उपस्थिति / अनुपस्थिति की सूचना दी है। हम अनुशंसा करते हैं संसाधन कंपनी LastPass, पासवर्ड प्रबंधन की एक सॉफ्टवेयर डेवलपर। हालांकि यह सवाल करने के लिए एक काफी स्पष्ट उत्तर नहीं देता है कि क्या वह कमजोर है या फिर साइट है, सावधानी के साथ लेखा परीक्षा के परिणाम के बारे में सोच। यदि साइट के जोखिम को सटीक रूप में पाया गया है - यह यात्रा करने के लिए नहीं की कोशिश करो।
सबसे लोकप्रिय साइटों उजागर कमजोरियों की सूची, आप भी तलाश कर सकते हैं लिंक.
पासवर्ड बदलने से पहले सबसे महत्वपूर्ण बात - प्रशासन साइट है, जो Heartbleed की खोज की थी, कि वह पहले से ही समाप्त कर दिया गया था से एक अधिकारी पुष्टि प्राप्त करने।
कंपनियों का एक बहुत पहले से ही अपने ब्लॉग पर प्रासंगिक प्रविष्टियों प्रकाशित किया है। अगर वहाँ नहीं हैं - समर्थन करने के लिए बात का उल्लेख करने में संकोच नहीं करते।
कौन असुरक्षा की उपस्थिति के लिए कौन जिम्मेदार है?
अखबार द गार्जियन के अनुसार, नाम लिखा है "गाड़ी" प्रोग्रामर का कोड - Zeggelman रॉबिन (रॉबिन Seggelmann)। उन्होंने कहा कि 2008 से 2012 तक एक डॉक्टरेट की उपाधि प्राप्त करने की प्रक्रिया में परियोजना OpenSSL पर काम किया। नाटकीय स्थिति, तथ्य यह है कि कोड 23:59 बजे भंडार, 31 दिसंबर, 2011 तक भेज दिया गया है करने के लिए कहते हैं, हालांकि Zeggelman उनका तर्क है कि यह मामले के रूप में मैं कोड लिखा था और सभी आवश्यक किया नहीं है, "मैं गलती के लिए जिम्मेदार हूँ, जाँच करता है। "
इसी समय, OpenSSL के बाद से - एक ओपन सोर्स प्रोजेक्ट, यह मुश्किल है किसी एक की त्रुटि इसके लिए जिम्मेदार है। परियोजना कोड जटिल है और जटिल कार्य की एक बड़ी संख्या में शामिल है, और विशेष रूप हार्टबीट - उनमें से सबसे महत्वपूर्ण नहीं।
यह सच है कि है विदेश विभाग लानत अमेरिकी सरकार के लिए प्रयोग किया जाता Heartbleed प्रचार से पहले दो साल जासूसी करने के लिए?
यह स्पष्ट नहीं है। ज्ञात समाचार एजेंसी ब्लूमबर्ग की रिपोर्ट है कि यह मामला है, लेकिन यह सब एनएसए से इनकार करते हैं चला जाता है। भले ही, इस तथ्य रहता है - Heartbleed अभी भी एक खतरा है।
मैं अपने बैंक खाते के बारे में चिंता करनी चाहिए?
अधिकांश बैंकों OpenSSL का उपयोग नहीं करते, पसंद करते हैं स्वामित्व एन्क्रिप्शन समाधान। लेकिन अगर आप संदेह से ग्रस्त रहे हैं - सिर्फ अपने बैंक से संपर्क करें और उन्हें प्रासंगिक प्रश्न पूछें। किसी भी मामले में, यह बैंकों से स्थिति के विकास, और सरकारी रिपोर्टों का पालन करने के लिए बेहतर है। आप के लिए अपरिचित लेनदेन के मामले में उचित कार्रवाई भी - और अपने खाते में लेनदेन पर नजर रखने के लिए मत भूलना।
मुझे कैसे पता चलेगा कि मेरे व्यक्तिगत डेटा चोरी करने के लिए पहले से ही Heartbleed हैकर्स उपयोग कैसे करें?
दुर्भाग्य से, नहीं - इस जोखिम का उपयोग सर्वर के किसी भी निशान छोड़ नहीं करता है घुसपैठिया गतिविधि लॉग करता है।
चाहे प्रोग्राम का उपयोग करने के लिए अपने पासवर्ड, और क्या स्टोर करने के लिए?
एक तरफ, Heartbleed एक बार फिर से एक मजबूत पासवर्ड के मूल्य के बारे सवाल उठाती है। बड़े पैमाने पर परिवर्तन पासवर्ड का एक परिणाम के रूप में, आपको आश्चर्य हो सकता है कि कैसे आप भी अपनी सुरक्षा बढ़ा सकते हैं। स्वचालित रूप से वे कर सकते हैं - बेशक, पासवर्ड प्रबंधकों इस मामले में सहायक भरोसा कर रहे हैं पैदा करते हैं और व्यक्तिगत रूप से प्रत्येक साइट के लिए मजबूत पासवर्ड की दुकान है, लेकिन आप केवल एक ही याद मास्टर पासवर्ड। ऑनलाइन LastPass पासवर्ड प्रबंधक, उदाहरण के लिए, का कहना है कि वह Heartbleed भेद्यता के अधीन नहीं है, और उपयोगकर्ताओं को अपने मास्टर पासवर्ड नहीं बदल सकते। LastPass के अलावा, हम रोबोफार्म, Dashlane और 1Password की तरह इस तरह के सिद्ध समाधान पर ध्यान देने की सलाह देते हैं।
इसके अलावा, हम एक दो कदम प्रमाणीकरण का उपयोग जहाँ तक संभव हो (जीमेल, ड्रॉपबॉक्स और Evernote के पहले से ही इसे समर्थन) की सलाह देते हैं - फिर जब प्राधिकरण, पासवर्ड के अलावा, सेवा है कि एक विशेष मोबाइल आवेदन में आप के लिए दिया जाता है या के माध्यम से भेजा जाता है एक बार की कोड के लिए पूछेंगे एसएमएस। इस मामले में, भले ही आपका पासवर्ड चोरी हो, एक हमलावर बस इसे लॉगइन करने के लिए उपयोग नहीं कर सकते।