سؤال كيفية استخدام الإنترنت في حين يتم إصلاح Heartbleed؟


هناك العديد من مواقع الويب غير المعرضة حاليًا للخطر ، ولكن ليس لدي أي فكرة عما إذا كانت كانت ضعيف قبل بضعة أيام.

فمثلا:

  • twitter.com: غير معرض للخطر حاليًا ، ولكن الشهادة من Wed Mar 05 00:00:00 UTC 2014
  • google.com: غير معرض للخطر حاليًا ، ولكن الشهادة من Wed Mar 12 09:53:40 UTC 2014
  • bankofamerica.com: غير مستضعف حاليًا ، ولكن الشهادة من Thu Dec 05 00:00:00 UTC 2013

ماذا أفعل؟ لا تستخدم هذه حتى يتم إعادة إصدارها؟ كيف أعرف أنهم يقومون بإعادة إصدار الشهادة باستخدام مفاتيح جديدة؟ يبدو أنه لا ينبغي لي تسجيل الدخول إلى هذه المواقع لتغيير كلمة المرور الخاصة بي لأنه لا توجد طريقة لمعرفة أنهم الموقع الحقيقي.


119
2018-04-09 04:55


الأصل


ممكن نسخة من ما الذي يجب أن يفعله المستخدمون النهائيون بشأن Heartbleed؟على security.stackexchange.com - Philipp


الأجوبة:


تحديثات 2014-04-11

وضعت Cloudflare تحديا للتحقق من أن استخراج المفتاح الخاص كان في الواقع ممكن. لقد تم القيام به مع حوالي 100 ألف طلب ، ويتحقق من المخاوف. لم يعد من الناحية النظرية ، ولكن مؤكد. يمكنك الذهاب هنا لقراءة حول هذا الموضوع.

أيضا، بلومبرغ قد ذكرت أن NSA لقد عرفت عن هذا استغلال ل على الأقل سنتين. وهذا أمر منطقي لأن وكالة الأمن القومي تمتلك الموارد لتوظيف محللين مهمتهم الوحيدة هي العثور على مآثر في برامج مثل هذه. والآن بعد أن علمنا أن حكومة الولايات المتحدة تستغلها لفترة طويلة ، فإن احتمالية أن تكون الدول الأخرى قد عرفتها واستغلت الأمر لها أهمية كبيرة.


TL، DR مشاهدة الإعلانات من المنظمات بشأن حالة أنظمتها ، والتغيير الكل من كلمات المرور الخاصة بك ، ومشاهدة الاحتيال / نشاط مريب على حسابات مهمة مثل الخدمات المصرفية أو غيرها من النظم المالية.

ولفهم سبب خطورة الموقف ، علينا أولاً أن نفهم ما يفعله هذا الهجوم بالفعل. CVE-2014-0160 ، AKA Heartbleed ، هو علة عازلة فوق المخزن المؤقت تسمح للمهاجم بالحصول على ما يصل إلى 64 كيلو بايت من الذاكرة من خادم يقوم بتشغيل إصدار ضعيف من OpenSSL.

هذا يبدو سيئا حقا. كيف تعمل في الواقع العملي

أنت على حق ، إنه عيب خطير ، لكننا سنعود إلى ذلك بعد قليل. الآن دعونا نتحدث عن لماذا يعمل استغلالها. أمن طبقة النقل (TLS) يستخدم لتأمين المعلومات من خلال العديد من التطبيقات بما في ذلك HTTP (HTTPS) أو لتأمين SMTP إذا تم تمكينه على سبيل المثال. في RFC 5246 ، التي تحدد معايير TLS ، هناك دالة تُعرف باسم نبض القلب. يرسل العميل والخادم بعض البيانات ذهابًا وإيابًا للحفاظ على الاتصال نشطًا حتى يمكن استخدامه لاحقًا. الآن في الممارسة العملية ، سيُرسل العميل بعض البيانات وسيقوم الخادم بإرسالها مرة أخرى ، وكل شيء رائع. ولكن في إصدارات OpenSSL المتأثرة لا يوجد فحص لمعرفة ما إذا كان العميل قد أرسل بالفعل كمية البيانات التي قال أنها فعلتها. حتى إذا أرسلته 1 بايت وأخبر الخادم بأنني أرسلته بالفعل 64 كيلوبايت ، فسيتم إرساله بسعادة إلى 64 كيلوبايت. من أين تأتي تلك البايتات الأخرى؟ هذا هو مفتاح المشكلة هناك. سوف يقوم OpenSSL بإرسال 64 كيلو بايت - 1 بايت من الذاكرة التي تصل إليها العملية والتي لم ترسلها في الأصل ، وذلك حسب مكان تخزين 1 بايت. هذه البايتات الإضافية من الذاكرة هي المشكلة لأنها يمكن أن تحتوي على معلومات قيمة مثل مواد المفتاح الخاص والمعلومات التي يفك الخادم استخدامها. ومن أمثلة ذلك: كلمات المرور ومعلومات بطاقة الائتمان و / أو دبابيس.

حسنا. ماذا يعني ذلك لأمن المعلومات؟ إذا فهمت كيف يعمل التشفير غير المتماثل فإنك تعلم بالفعل أن هذا أمر خطير مثل الكشف لا يجعل التشفير أكثر من التشويش. هذا يعني أنه على الرغم من أنه قد يتم تصحيح الخوادم ولم تعد تسرّب الذاكرة ، فقد لا تزال الجلسات غير آمنة. من الممكن أن يكون هذا قد تم استغلاله قبل أن يكون معروفًا بشكل عام أو أثناء حدوث الترقيع ، ولكن لا يوجد حاليًا أي طريقة أثبتت أن الهجوم قد وقع. من الممكن أن قواعد ل فاعلية النظام قد تصبح متاحة ، لكن حتى الآن ليس هذا هو الحال.  لقد تم إصدار قواعد IDS. هذا في حد ذاته خطير للغاية ، لأن المشغلين لا يعرفون ما إذا كانت مفاتيحهم لا تزال آمنة.

نحن مضطرون إلى افتراض أن المفاتيح قد تسربت ، وهذا يعني أنه من الممكن أن يتم فك تشفير كل ما ترسله عبر السلك من قبل طرف ثالث. الطريقة الوحيدة للتخفيف من ذلك هي عن طريق تجديد المفاتيح والحصول على شهادات جديدة تم إعادة إصدارها مع إبطال الشهادات القديمة. لسوء الحظ ، هذا يستغرق وقتا طويلا المصدقة مما لا شك فيه تغمرها هذه الطلبات في الوقت الحالي. لا يزال هذا يترك إمكانية ل رجل في منتصف الهجومأو غيرها من فرص التصيّد الاحتيالي.

متى ستكون آمنة؟ إن معرفة متى ستكون آمنة سؤال صعب. بعض الأشياء التي قد أقترح مشاهدتها هي إعلانات عامة تشرح أن الخطأ قد تم تصحيحه في بيئاتهم أو أنهم لم يكونوا عرضة للخطر ، لأنهم لم يستخدموا الإصدارات المتأثرة. عندما أعلنوا أنهم قاموا بالترقية إلى إصدار جديد من OpenSSL ، فإنني أضمن أنهم يستخدمون شهادة جديدة موقعة بعد تاريخ الإفراج العام عن استغلال الذي كان 2014-04-07.

** لاحظ أنه قد يتم فك تشفير حركة المرور المسجلة مسبقًا إذا تم تسريب المفتاح الخاص لاحقًا.

ماذا يمكنني أن أفعل كمستخدم لحماية نفسي

خلال الأيام القليلة القادمة إذا كنت تستطيع تجنب استخدام المواقع الحساسة مثل الخدمات المصرفية عبر الإنترنت أو الوصول إلى المخطط الطبي عبر الإنترنت ، أقترح عليك القيام بذلك. إذا كان يجب عليك فهم ذلك ، فمن المحتمل أن تكون جلستك في خطر وأن تكون مستعدًا لقبول عواقب ذلك. أيضا ، بعد المنظمات تعلن أنها لم تعد عرضة للخطر غير كلمة المرور الخاصة بك. باستخدام مدير كلمة المرور يمكن أن يساعد. يجب أيضًا أن تكون مستعدًا لتغيير أو مراقبة أي معلومات أخرى استخدمتها مثل التفاصيل المصرفية أو أرقام بطاقات الائتمان.

اشعار خاص للناشطين

اى شى التي تستخدم OpenSSL قد تتأثر ، بما في ذلك تور. من الممكن أن تكون الحكومات قادرة على استخدام هذا الخلل منذ إدراجها في إصدارات OpenSSL منذ أكثر من عامين ، حيث سيكون لديها الموارد الهائلة المطلوبة للبحث عن مآثر مثل هذا ، وبالتالي يجب أن تكون مستعدًا لأن المعلومات لم تعد خاصة.

** لاحظ أنه قد يتم فك تشفير حركة المرور المسجلة مسبقًا إذا تم تسريب المفتاح الخاص فيما بعد الأمن إلى الأمام الكمال تم تنفيذ (PFS).

There- كانت هناك ادعاءات بأن من المحتمل ألا تكون المفاتيح الخاصة في الذاكرة ، ولكن في نفس الوقت كانت هناك ادعاءات حول نجاح استخراج المفتاح.  في هذه المرحلة ، من غير المؤكد أي جانب صحيح.


201
2018-04-09 07:17



هذا إلى حد بعيد الجزء الأكثر إفادة من النص الذي قرأته حول هذا الهجوم الجديد القاسي الحار والمجنون (جميع المقالات / المدونات / المنشورات الإخبارية الأخرى تحتوي فقط على أجزاء صغيرة من المعلومات). عمل رائع :) . - Radu Murzea
كيف يمكننا معرفة أنه يتم إنشاء شهادات جديدة باستخدام مفتاح جديد؟
Note that previously recorded traffic may be decrypted if the private key was later leaked.   ليس إذا كان الخادم يستخدم شفرات بسرية تامة. - Wes
أنت على صواب أن PFS على الأرجح سيبقي حركة المرور آمنة. كنت أحاول السير على خط رفيع من شرح الوضع دون إرباك الناس. للأسف لم يتم نشر PFS على نطاق واسع. - Jacob
لنلخص what is heartbleed bug  xkcd.com/1354 - GoodSp33d


يتم تجاوز المخاطر التي تشكلها هذه الثغرة الأمنية. أقول ذلك لأنه لا يوجد دليل على أن هذه الثغرة معروفة أو مستغلة قبل نشرها من قبل الباحثين منذ يومين.

اسمحوا لي أن أكون واضحا ، فمن الملح أن يتم تصحيح المواقع الضعيفة على شبكة الإنترنت ، ولا سيما تلك التي تتعامل مع البيانات الحساسة عبر الإنترنت. ومن الأمور الملحة بنفس القدر أن يتم تحميل توقيعات الهجوم على أدوات حماية IDS والبرامج الضارة. داخل تكنولوجيا المعلومات ، يجب أن نرد على هذه الثغرة مع أعلى أولوية.

بعد قولي هذا ، لا أشعر أن مستوى المخاطر المرتبطة بهذه الضعف من جانب الصحافة العامة له ما يبرره.

ماذا يفعل الأفراد لحماية أنفسهم؟  لا تستخدم المواقع التي تقوم بتشغيل إصدارات ضعيفة من OpenSSL.

وإلى حين ما لم يكن هناك دليل على أن هذه الثغرة قد تم استغلالها ، فإن أي إجراء آخر لا معنى له ولا يحركه أكثر من FUD. أنت لاتوافق؟ النظر في العديد من نقاط الضعف التي تطلق كل شهر أو ربع ذلك السماح بتنفيذ تعليمات برمجية عشوائية. تلك التي تمنح امتيازات الجذر أو المهاجم على مستوى المهاجم أو حيث يمكن للمهاجم أن يحصل عليها لاحقًا من خلال تصعيد الامتياز ، فإنها تعرض الكثير أو أكثر من المخاطر لأمن جميع البيانات التي تتعامل معها الأنظمة الضعيفة كما تظهر هذه الثغرة الأمنية.

في العديد من الحالات ، يتم اكتشاف هذه الثغرات من قبل بائع البرامج أو الباحثين الذين يقومون بإبلاغ البائع. ينتج البائع رقعة ويطلقها إلى السوق دون نشر تفاصيل الثغرة الأمنية. في بعض الحالات ، يتم نشر التفاصيل ويتم نشر الاستغلال من قبل مجتمع الأمان لاستخدامها في أدوات الاختبار. نحن لا نرد على هذه الثغرات الكثيرة بقولنا "لقد تم كشف جميع أسرارنا!"

إذا كان هناك دليل على الاستغلال ، يجب أن نرد على ذلك بشكل مناسب. أرى مخاطرة كبيرة في رد الفعل المبالغ فيه للباحثين الذين أعلنوا عن هذه الثغرة والصحافة الذين زادوا من حديث الباحثين. انهم يبكون الذئب.

- فيجو


14
2018-04-09 22:35



يجب أن تصوت هذه الإجابة أكثر IMO. هناك وفرة من نقاط الضعف التي يتم نشرها كل شهر والتي من شأنها أن تسمح للناس بسرقة مفاتيح الخوادم الخاصة ، وليس هناك الكثير من الجلبة حولها. هذا هو أكثر خطورة من المتوسط ​​بسبب انتشار OpenSSL ، ولكن لا يزال يجري المبالغة. - alastair
"حتى وإن لم يكن هناك دليل على أن هذا الضعف قد تم استغلاله" "إذا كان هناك دليل على الاستغلال ، يجب أن نرد على ذلك بشكل مناسب". أنت تتحدث كثيرا عن أدلة الاستغلال. ومع ذلك ، فإن أحد الأشياء المخيفة حول خلل Heartbleed هو ذلك الاستغلال الناجح غير قابل للكشف بعد الحقيقة (إلا إذا كنت تخزين رسالة ضربات القلب واردة في كامل في كل مرة إلى الأبد، وحتى ذلك الحين انها ليست مضمونة أن الاستغلال الناجح أدى إلى الإخلال بالأمن). كيف تقترح أن نؤسس بعد حقيقة دليل الاستغلال الناجح للحشرة؟ - α CVn
-1 لأن هذا المؤلف لا يفهم حقاً طبيعة الهجمات التي لا أعتقدها. لأحد ، المهاجمين الذين لديهم هذا النوع من الوصول سيعملون بجد للحفاظ على سريته وعدم السماح للأدلة على تطفلهم للخروج. إن خلل من هذا النوع يقطع في أمن حوالي نصف حركة المرور الآمنة على الإنترنت لا يبكي على الإطلاق. إنها مسألة خطيرة للغاية أعتقد. - Eliptical View
أنا أمسك بروس شناير في أعلى الصدد ، عندما يتعلق الأمر بأمن تكنولوجيا المعلومات. يقتبس عن مدونته حول ثغرة هارتبليد: "الكارثية" هي الكلمة الصحيحة. على مقياس من 1 إلى 10 ، هذا هو 11. هذا وحده يكفي لي أن أختلف بشدة مع التقليل من شأنك. - abstrask
يجب تخفيض هذه المشاركة. لم يتم ovehyped المشكلة، بل هو فشل ذريع بينسل، فضلا عن أي حتى لو لم تستخدم المواقع حتى أعلن على الملأ، ومشغلات سيئة وخطر بالتأكيد معها في وقت لاحق. ومن المرجح أيضا أن يعرف NSA عن ذلك (ولكن هذا لا يمكن أن يثبت). هناك نظريات مقنعة تشير إلى أن هذا هو حل وسط متعمد على الرغم من أن المؤلف ينكر ذلك. - davidgo


لا يستخدم كل موقع ويب مكتبات OpenSSL لـ HTTPS (هناك أيضًا GnuTLS و PolarSSL على سبيل المثال) ، وليس كل إصدار من OpenSSL ضعيفًا (الإصدارات القديمة لم تكن). هذا يعني أن هناك فرصة عادلة لم تقم مواقع الويب التي ذكرتها بتغيير الشهادات لأنها لا تحتاج إلى ذلك. مجرد النظر في شهادات التواريخ التي تم إصدارها لا يخبرك بما يكفي.

هناك عدد من الأدوات والمواقع التي يمكن أن تساعدك في التحقق مما إذا كان أحد مواقع الويب ضعيفًا ، على سبيل المثال:  - http://filippo.io/Heartbleed- https://gist.github.com/mitsuhiko/10130454- https://www.ssllabs.com/ssltest/ 

لسوء الحظ ، كما ذكرت بالفعل ، هذا لا يخبرك ما إذا كانوا. أخشى أن المشكلة الرئيسية هنا هي الثقة: لا توجد طريقة موضوعية للتحقق من مكتبات SSL التي تستخدمها وتستخدمها بدون معلومات داخلية. عليك أن تأمل أن يفعلوا ما يحتاجون إلى فعله (لأنه الشيء الصحيح ، أو حتى لأنهم يخشون الإذلال العلني) وإذا فعلوا ذلك ، فلا يسعهم إلا أن يأملوا في أن يكونوا منفتحين عليه.

بالطبع ، يمكنك دائما أن تسأل هذه المواقع إذا تأثرت ، لقد رأيت عددا من المواقع التي تصدر بيانات عامة حول هذا الموضوع. غالبًا ما يسأل طلب استخدام وسائل التواصل الاجتماعي بشكل علني مثل Twitter أو Facebook.

لذا فإن أفضل نصيحة يمكنني تقديمها هي نصيحة عامة: كن حذرًا مما تتركه وراءك على الإنترنت وأي مواقع ويب تثق بها بمعلوماتك الشخصية.


5
2018-04-09 05:36



ينتظر لعلة PolarSSL لا مفر منه لتظهر (هو هو القادم في القائمة ...) - strugee


فيما يتعلق بالمفاتيح الخاصة التي يتم كشفها ، من الجدير إضافة أنه ، في حين قد يتمكن شخص ما من فك تشفير البيانات في جلسة مشفرة ، لأن لديهم الآن المفتاح الخاص ، سيظلون بحاجة إلى إثبات أنفسهم على أنهم رجل في الوسط من الدورة. لا يمكن لأي شخص على الإنترنت القيام بذلك.

أفهم أنهم سيظلون بحاجة إلى اعتراض حركة المرور إما عن طريق الشبكة المحلية الخاصة بك و ARP الانتحال أو القدرة على خطف / إعادة توجيه حركة المرور من خلال الإعلان عن طرق خاطئة إلى أجهزة توجيه الإنترنت. كان هذا النوع من الهجمات ممكنًا دائمًا حتى بدون هذه الثغرة الأمنية.


1
2018-04-10 04:34



ليس صحيحا بالضرورة مع Heartbleed. يوجد الخطأ لأن البيانات (التي من المفترض أن تكون مشفرة) يمكن كشفها عن طريق الوصول إلى ذاكرة الوصول العشوائي. لذلك ، لا تحتاج إلى اعتراض / sniff حركة المرور لاستغلال هذه الثغرة الأمنية. ومع ذلك ، قد تحتاج إلى تثبيت بعض البرامج الضارة على الخادم أو العميل ، كما ستحتاج إلى الوصول الصحيح للوصول إلى ذاكرة الوصول العشوائي. - ub3rst4r
ليس كذلك. يمكن اختراقه من قبل هجوم الرجل في الوسط كذلك. علاوة على أن تفريغ الذاكرة لا يؤثر فقط على تلك الجلسة ، فمن الممكن (بناءً على محتويات كتلة الذاكرة) رؤية أسماء المستخدمين وكلمات المرور الخاصة بالمستخدمين الآخرين غير المشفرة ، بالإضافة إلى مفاتيح خاصة لفك شفرة جميع الزيارات [عبر هجوم MITM] - davidgo
أعتقد أنني كان ينبغي أن يكون أكثر وضوحا قليلا أنني كنت في المقام الأول يشير إلى استخدام مفاتيح للخطر بعد أن يتم تصحيح الخادم. - PeterJ


يمكنك إدخال عنوان URL لموقع على LastPass Heartbleed مدقق وسوف يخبرك ما إذا كان الموقع ضعيفًا أم لا ، وعندما تم تحديث شهادته.

هناك أيضًا ملحق Chrome يسمى Chromebleed التي ستحذرك إذا كنت تزور موقعًا متأثرًا بجهاز Heartbleed.

Mashable.com يحتوي على قائمة بالمواقع المعروفة ، سواء كانت متأثرة ، وما إذا كان يجب عليك تغيير كلمة المرور الخاصة بك. ومن المثير للاهتمام ، أن أي من المواقع في قائمة البنوك والسمسرة قد تأثرت.


0
2018-04-11 20:23





أود أيضا زيارة الموقع التالي:

https://www.ivpn.net/blog/heartbleed-passwords-change

لديهم قائمة بالمواقع الشهيرة التي تأثرت ومتى وأين يجب تغيير كلمات المرور الخاصة بك


0
2018-04-13 12:39





عموما ، أود أن أقول لا تدع جنون العظمة تحصل لك. واقعيًا ، كونك قادرًا على فك تشفير حركة المرور وحصولك على كلمة المرور الخاصة بك ليس هو نفسه تمامًا.

إذا كنت تستخدم توثيق ذو عاملين (ويجب عليك) على مواقع مثل Twitter ، Facebook ، Gmail ، والخدمات المصرفية الخاصة بك ، ثم يجب أن لا تكون مفرطة في القلق ، وحتى لو لم تكن أنت على ما يرام كما هو الحال.

إذا كنت تشعر بالحاجة إلى تغيير جميع كلمات المرور الخاصة بك ، فستضطر إلى المضي قدمًا والقيام بذلك حيث تشعر أنك بحاجة إليه. هذا كل ما في الأمر ، حقا.


-1
2018-04-09 05:05



المصادقة الثنائية لن توقف طرفًا خبيثًا من القيام بأي شيء محتمل محاطًا بهذا الاستغلال. لست متأكدًا من سبب طرحك لها. إن الوصول إلى حساباتك الاجتماعية ليس في الحقيقة مصدر قلق لشخص قد يستفيد من هذا الاستغلال في OpenSSL على أي حال. - Ramhound
ramhound التي ذكرتها في التعليقات قبل إزالة التعليقات ، يساعد عاملين لأنه بمجرد حصول الموقع على شهادة جديدة تصدر أي كلمات مرور لم يكن لدى المهاجمين كانت مفيدة. نظرًا لعدم وجود أي تغيير في كلمة المرور إلى أن يتم إصدار شهادة جديدة (وتم تصحيح الخوادم) ، فإن ما تكتسبه هو إعادة تأمين الحساب الفوري من التسرب المحتمل لبيانات الاعتماد التي ربما حدثت أثناء حصول المهاجم على المفتاح الخاص. أيضا ، تويتر وفايسبوك مهمان حيث يمكن استخدامهما كعلامة واحدة على العديد من المواقع الأخرى (بما في ذلك تلك التي أؤمن بها؟) - Sirex
لا تزال كلمة المرور مفيدة لأن الأشخاص يستخدمون نفس كلمة المرور ، نعم ، حتى الأشخاص الذين يستخدمون المصادقة الثنائية. طالما كان المهاجم قادرًا بشكل أساسي على تفريغ بيانات الجلسة ، يمكنه تنفيذ هجوم MiTM عليك. - Ramhound
نعم ، ولكن إعادة استخدام كلمات المرور تفشل بشكل منفصل. كان نقطتي العامل الثاني يساعد على تخفيف حدة وطول العمر من أعقاب ، ولكن نعم لن يساعد في استغلال الأخطاء الفعلية. - Sirex
Sirex بقدر ما أستطيع أن أقول أي موقع بأنني سجل الدخول باستخدام aut-two auth قد أبطل ملفات تعريف الارتباط على جهازي. وهذا بالطبع فشل من جانبهم ، لكن النقطة التي أود أن أقولها هي ، في الوقت الحالي ، أن المصادقة الثنائية ليست منقذًا. يمكن للمهاجم بسهولة اعتراض ملفات تعريف الارتباط واستخدامها على طلباتهم الخاصة. علاوة على ذلك ، بما أنه لا توجد طريقة لمعرفة ما إذا كان أي شخص قد استغل هذا الخطأ (حتى بالنسبة لمسؤولي النظام) فإن الافتراض الآمن الوحيد هو أنه تم استغلاله. وأنا أعلم على سبيل المثال أن chase.com لا يزال معرضًا للخطر حتى صباح يوم الأربعاء. من غير المحتمل أن المهاجمين غابوا عن ذلك. - CrazyCasta