Skelbimas
Širdelės klaida Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau buvo daug pinti rankomis ir buvo vadinama viena visų laikų rimčiausių kompiuterio saugumo pažeidimų Dėl didžiulės „OpenSSL“ klaidos kyla pavojus internetuiJei esate iš tų žmonių, kurie visada manė, kad atvirojo kodo kriptografija yra pats saugiausias būdas bendrauti internete, esate šiek tiek nustebinti. Skaityti daugiau . Tačiau kai kurie žmonės nėra įsitikinę - galų gale, kas iš tiesų padarė žalą širdies plakimui? Na, buvo pranešta apie keletą „Heartbleed“ išpuolių, skirtų padaryti realią žalą. Jei manote, kad širdies plakimas yra hiperaktyvus, pagalvokite dar kartą.
Iš Kanados mokesčių agentūros pavogtos 900 SIN
Kanadoje užpuolikas panaudojo „Heartbleed“ klaidą prieš Kanados mokesčių inspekciją ir užfiksavo apie 900 socialinio draudimo numerių (SIN), priklausančių žmonėms, pateikiantiems pajamų mokesčius. Iš esmės tai yra kanadietis, atitinkantis užpuoliką, fiksuojantį socialinės apsaugos numerius (SSN) iš IRS JAV. Taip pat buvo pavogta kai kurie su Kanados verslu susiję duomenys.
Užpuolikas buvo areštuotas užfiksavus šiuos numerius, tačiau nežinome, ar užpuolikas pardavė SIN ar perdavė juos kažkam kitam. Kaip ir socialinio draudimo numeriai JAV, šie numeriai paprastai nekeičiami - juos galima pakeisti tik tuo atveju, jei įrodysite, kad esate sukčiavimo auka. Paveikti mokesčių mokėtojai turės užsisakyti kredito stebėjimo paslaugą ir sekti žmones, kurie bando atidaryti banko sąskaitas ir kreditines korteles jų vardu. Tapatybės vagystės 6 įspėjantys skaitmeninės tapatybės vagystės ženklai, kurių neturėtumėte ignoruotiAsmens tapatybės vagystė šiais laikais nėra labai retas atvejis, tačiau dažnai patenkame į spąstus galvodami, kad tai visada nutiks „kažkam kitam“. Neignoruokite įspėjamųjų ženklų. Skaityti daugiau yra rimtas susirūpinimas.
„Mumsnet“ ir kitos slaptažodžių vagystės
„Mumsnet“ neseniai paskelbė, kad verčia visus vartotojus keisti slaptažodžius. Tai nebuvo tik prevencinė priemonė - „Musnet“ turėjo pagrindo tuo tikėti užpuolikai turėjo prieigą prie slaptažodžių ir asmeninių pranešimų priklausančių iki 1,5 milijono vartotojų.
Tai turbūt ne vienintelė svetainė, kurioje buvo pavogti slapti slaptažodžiai. Jei žmonės padarius didelę klaidą pakartotinai naudojant tą patį slaptažodį keliose svetainėse Slaptažodžio valdymo vadovasNesijaudinkite dėl slaptažodžių ar tiesiog naudokite tą patį kiekvienoje svetainėje, kad tik juos atsimintumėte: sukurkite savo slaptažodžių tvarkymo strategiją. Skaityti daugiau , užpuolikas gali patekti į kitas paskyras. Pvz., Jei kas nors naudoja tą patį slaptažodį ir savo „Mesnet“, ir prie mūsų „Mesnet“ paskyros susietose el. Pašto paskyrose, užpuolikas gali patekti į tą el. Pašto paskyrą. Iš ten užpuolikas gali atkurti kitus slaptažodžius ir patekti į kitas paskyras
Jei gavote el. Laišką iš tarnybos, kurioje patariama pakeisti slaptažodį ir įsitikinti, kad nenaudojate to paties slaptažodis kitoje vietoje, gali būti, kad tarnybos slaptažodžiai buvo pavogti - galbūt slaptažodžiai buvo pavogti ir nėra tikrai.
VPN užgrobimas ir privačių raktų vagystės
Apsaugos bendrovė „Mandiant“ tai paskelbė užpuolikai panaudojo „Heartbleed“ norėdami pažeisti vidinį įmonės VPTarba virtualų privatų tinklą, priklausantį vienam iš jų klientų. VPT naudojo daugiafaktorinis autentifikavimas Kas yra dviejų veiksnių autentifikavimas ir kodėl jūs turėtumėte juo naudotisDviejų faktorių autentifikavimas (2FA) yra saugos metodas, kuriam reikia dviejų skirtingų būdų įrodyti jūsų tapatybę. Jis dažniausiai naudojamas kasdieniame gyvenime. Pavyzdžiui, norėdami atsiskaityti kreditine kortele, ne tik ... Skaityti daugiau , bet tai neturėjo jokios reikšmės - - užpuolikas sugebėjo pavogti privačius šifravimo raktus iš VPN prietaiso kartu su „Heartbleed“ priepuoliu ir tada galėjo užgrobti aktyvuotas VPN sesijas.
Mes nežinome, kokia korporacija čia buvo užpulta - Mandiant ką tik paskelbė, kad tai „didysis korporacija. “ Tokie išpuoliai gali būti naudojami pavogti neskelbtinus įmonės duomenis arba užkrėsti vidinius duomenis įmonių tinklai. Jei korporacijos neužtikrina, kad jų tinklai nėra pažeidžiami širdies plakimo srityje, jų saugumą galima lengvai apeiti.
Vienintelė priežastis, apie kurią mes girdime, yra todėl, kad „Mandiant“ nori paskatinti žmones užsitikrinti savo teises VPN serveriai Geriausios VPN paslaugosMes sudarėme sąrašą, ką mes laikome geriausiais virtualiojo privataus tinklo (VPN) paslaugų teikėjais, sugrupuotus pagal priemokas, nemokamus ir „torrent“ tinkančius. Skaityti daugiau . Mes nežinome, kokia korporacija čia buvo užpulta, nes korporacijos nenori pranešti, kad joms buvo padarytas pavojus.
Tai nėra vienintelis patvirtintas atvejis, kai „Heartbleed“ naudojama vogti privatų šifravimo raktą iš veikiančio serverio atminties. „CloudFlare“ suabejojo, kad „Heartbleed“ gali būti naudojama pavogti privačius šifravimo raktus, ir paskelbė iššūkį - jei galite, pabandykite gauti privatų šifravimo raktą iš mūsų serverio. Keletas žmonių per vieną dieną įgijo privatų raktą.
Valstybės priežiūros agentūros
Prieštaringai vertinama, kad „Heartbleed“ klaidą galėjo sužinoti ir išnaudoti valstybinės priežiūros ir žvalgybos agentūros, kol jis tapo viešas. „Bloomberg“ pranešė apie tai NSA mažiausiai dvejus metus naudojo „Heartbleed“. NSA ir Baltieji rūmai tai neigė, tačiau nacionalinės žvalgybos direktorius Jamesas Clapperis garsiai pasakė, kad NSA nekaupė jokių duomenų apie milijonus amerikiečių, kol nebuvo žinoma apie NSA stebėjimo veiklą. mes dabar žinome, kad netiesa Kas yra PRISM? Viskas, ką reikia žinotiJAV nacionalinė saugumo agentūra turi prieigą prie bet kokių duomenų, kuriuos saugote su JAV paslaugų teikėjais, tokiais kaip „Google Microsoft“, „Yahoo“ ir „Facebook“. Jie taip pat tikriausiai stebi didžiąją dalį srauto, einančio per ... Skaityti daugiau . Mes taip pat tai žinome NSA kaupia saugumo spragas skirti naudoti prieš stebėjimo tikslus, o ne pranešti apie juos, kad juos būtų galima nustatyti.
Be NSA, pasaulyje yra ir kitų valstybinės priežiūros agentūrų. Gali būti, kad kitos šalies valstybinė priežiūros agentūra aptiko šią klaidą ir panaudojo ją stebėjimo tikslams, galbūt net JAV įsikūrusioms korporacijoms ir vyriausybinėms agentūroms. Čia nieko tvirtai negalime žinoti, bet labai tikėtina, kad „Heartbleed“ buvo panaudotas šnipinėjimui veiklą, kol ji nebuvo viešai paskelbta - ji, be abejo, bus naudojama šiais tikslais dabar, kai ji yra vieša žinios!
Mes tiesiog nežinome
Tiesiog dar nežinome, kiek žalos padarė „Heartbleed“. Įmonės, kurios pažeidžia „Heartbleed“, dažnai norės išvengti nepatogių pranešimų, kurie galėtų pakenkti jų verslui ar sugadinti jų akcijų kainas. Paprastai lengviau išspręsti šią problemą iš vidaus, o ne pranešti pasauliui.
Daugeliu atvejų tarnybos nežino, kad jas įkando „Heartbleed“. Dėl to, kokią užklausą naudoja „Heartbleed“ pažeidžiamumas, „Heartbleed“ išpuoliai nebus rodomi daugelyje serverių žurnalų. Jis vis tiek pasirodys tinklo srauto žurnaluose, jei žinote, ko ieškoti, bet ne kiekviena organizacija žino, ko ieškoti.
Taip pat gali būti, kad „Heartbleed“ klaida buvo išnaudota praeityje, kol ji tapo vieša. Gali būti, kad kibernetiniai nusikaltėliai ar - labiau tikėtina - valstybinės priežiūros agentūros aptiko klaidą ir ja pasinaudojo. Čia pateikti pavyzdžiai yra tik keletas mums žinomų dalykų.
Tai yra pateisinama - svarbu, kad kuo greičiau atnaujintume paslaugas ir įrenginius, kad ateityje sumažintume žalą ir išvengtume blogesnių išpuolių.
Vaizdo kreditas: „snoopsmas“ „Flickr“, Chrisas Dagas „Flickr“
Chrisas Hoffmanas yra technologijų tinklaraštininkas ir visa apimantis technologijų narkomanas, gyvenantis Eugene, Oregone.