Наскільки обширна помилка?

У новинах цього тижня переважали дискусії про помилку Heartbleed, яка дозволяє хакерам збирати дані безпосередньо з пам'яті постраждалих захищених серверів. Захоплені дані можуть включати ключі шифрування, паролі та будь-які дані, що надсилаються через нібито захищений канал HTTPS. Клоп присутній вже понад два роки, і оскільки напад не залишає слідів, ми не маємо уявлення, наскільки він був використаний.

Хто вразливий?

Майстри паролів на LastPass додали нову зморшку у звіт про перевірку безпеки продукту. Тепер, окрім позначення слабких та повторюваних паролів, у ньому перераховані будь-які збережені сайти, які є чи вразливими до Heartbleed. Я попросив декількох своїх користувачів LastPass надіслати мені результати цього звіту, аби зрозуміти, що там є.

У мене більше 200 паролів, які зберігаються в LastPass. Лише шість із них були зареєстровані як уразливі, а двоє вже зафіксовано. Додавши результати своїх колег, я побачив 50 вразливих сайтів, причому 30 з них все ще не зафіксовані.

Звіт LastPass рекомендує змінити пароль для сайтів, які були виправлені, щоб виправити помилку. Для інших він пропонує зачекати, поки сайт не оголосить оновлення, оскільки ваш новий пароль все ще буде вразливим. Для себе я б запропонував використовувати Heartbleed як будильник, щоб змінити всі ваші паролі, переконавшись, що кожен з них є надійним і що жоден два сайти не використовують один і той же пароль. Вам доведеться знову змінити паролі для ще вразливих сайтів після їх виправлення, але зміна їх усіх тепер мінімізує можливість експозиції.

Популярні магазини

Для іншого погляду я взяв топ-20 найпопулярніших сайтів для покупок Alexa та провів їх через пару онлайн-тестів. Дослідник Філіппо Вальсорда створив тест незабаром після того, як з'явилися новини про Heartbleed. LastPass також проводить тест на вимогу

Я знайшов результати тесту Вальсорди трохи заплутаними. Тест повернув повідомлення про помилку типу "зламана труба" або "таймаут вводу-виводу" для п'яти з 20-ти сайтів, які я пробував. Дев'ять сайтів отримали чіткий стан здоров’я, оскільки тест повідомляв, що вони "виправлені або не вплинули". Решта шість повернули повідомлення про помилку через те, що з'єднання було передано мережі доставки вмісту, а сертифікат CDN не відповідав домену, який я ввів. Якщо встановити прапорець, щоб ігнорувати сертифікати, всі ці результати отримали "фіксований або невпливовий" результат, але тестова сторінка попереджає, що це може бути помилковим результатом.

Тестова сторінка, надана LastPass, дає набагато більше інформації. Він повідомив про десять сайтів як про небезпечну. Це означає, що тест не міг визначити, чи використовує сайт OpenSSL, криптобібліотеку, на яку впливає помилка Heartbleed. Чотири сайти, ймовірно, були вразливими, оскільки вони використовують OpenSSL, і два з них зараз безпечні. Ще чотири сайти, безумовно, не були вразливими, і той, який був безумовно вразливим, зараз безпечний. Це залишає лише один сайт, який неможливо було проаналізувати через помилку підключення.

Тестер LastPass Heartbleed також повідомляє, як нещодавно було змінено SSL-сертифікат кожного сайту. Сертифікат, який змінився незабаром після того, як новини про розбиття Heartbleed є досить хорошим свідченням того, що сайт постраждав, але зараз він безпечний.

Що стосується всіх сайтів, статус яких незрозумілий, то найкраще зачекати повідомлення з самого сайту. Але будьте обережні. Не натискайте жодного посилання для скидання пароля, яке ви отримали в електронному листі, оскільки деякі з них є шахрайством. Перейдіть безпосередньо на сайт, змініть свій пароль і переконайтеся, що ваш менеджер паролів підбирає зміни.

Будьте в курсі постійного висвітлення помилки в програмі PCMag тут.