كيف يمكنك معرفة ما إذا كنت بالفعل تم اختراق؟

نعم، عن ذلك - لا يمكنك ببساطة إلقاء شباكهم مرة أخرى من خلال سجلات المعتادة على العثور على آثار من حل وسط. مرة أخرى منheartbleed.com :

استغلال هذا الخطأ لا يترك أي آثار لحدوث أي شيء غير طبيعي في السجلات.

المشكلة هي أن هذا الخطأ لا يتم استغلالها عبر القنوات التي من شأنها عادة تسجيل. إذا، على سبيل المثال، يمكنك الحصول على pwned من نقطة ضعف حقن SQL ثم لسجلات خادم الويب مليئة طلبات HTTP المراوغة. بالطبع هذا يثير سؤالا ثم غير مريح جدا: إذا كان موقعك عرضة، هل تعمل على افتراض أن كنت قد تعرضت لما يثير الشبهة؟

هناك مجموعة كاملة من الأشياء التي تحتاج إلى الوقوع في مكان للهجوم قد نجحت (انظر القسم الأخير من هذا بلوق) ولكن على الرغم من ذلك، انها سوف تترك الكثير من الشركات في جدا موقف صعب عندما يعلمون أن كلا من إمكانية استغلال ومعرفة كيفية القيام بذلك سواء كانت هناك. اتخاذ ياهو على سبيل المثال - ما ينبغي القيام به في ضوء المثال مارك موثقة؟ إجبار الجميع على إعادة تعيين كلمات المرور الخاصة بهم؟ أخبر العملاء بياناتهم قد تعرضت لما يثير الشبهة؟ انها حالة جدا، مشبوه للغاية بالنسبة لهم أن تجد نفسها في.

يمكن التعرف على الهجمات التي تشنها أنظمة كشف التسلل / الحماية؟

ربما، ورأيت أدلة على أنه قد يكون بالفعل يحدث زائد مقدمي مختلف IDS بدأت يروج عرقلة القدرة. على سبيل المثال، يدعي مراقبة أمان إخوانه الشبكة أن:

إخوانه يمكن الكشف عن هذا الهجوم في عدة طرق مختلفة . في أبسط التجسد، الذي هو الوحيد الذي شهدناه في البرية حتى الآن، يتم إرسال رسالة ضربات القلب في وقت مبكر جدا، وقبل ركلات تشفير TLS في.

في هذه الحالات، وإخوانه يقارن فقط أحجام الحمولة والرسالة. إذا كان هناك عدم توافق، ونحن نعلم أن قد حاول استغلال. إذا يستجيب الخادم إلى رسالة من المحتمل جدا أنها كانت عرضة للهجوم.

بالطبع هناك أيضا خطر أن (نظام حماية التسلل مثل IPS مفرط الشخير ) قد تمنع طلبات ضربات القلب تماما (خطر heartbleed.com يشير إلى)، ولكن بصراحة، إذا كان الموقع هو في الواقع عرضة لخطر ثم هذا ليس سيئا موقف ليكون في وانها نفس النتيجة النهائية واعادة تجميع بينسل مع دقات القلب تعطيل. نعم، قد تفعل أشياء غير سارة في الأداء الإقتصادي الأداء الخاص بك قليلا، ولكن البديل الممكن هو بكثير، وأسوأ من ذلك بكثير.

إذا كنت تشغل IPS و كنت لم تتمكن من تصحيح المخاطر الكامنة ثم أنه من المفيد أخذ مجرد نظرة قليلا في ما إذا قد تكون التوقيعات المتاحة للتخفيف من مشكلة في هذه الأثناء.

ما أثر أبعد من مجرد HTTPS؟

أي شيء يحتوي على التبعية بينسل التي يمكن أن تشمل تطبيقات VPN، عملاء المراسلة الفورية والبريد الإلكتروني ومجموعة من الأشياء الأخرى كدت بالتأكيد لم أفكر في. فقط لأنك لا ترى HTTPS في شريط العنوان لا يعني أنك لم يكن لديك خطر.

لا إصلاح مثالية السرية إلى الأمام كل هذا؟

نعم، ولكن ليس بأثر رجعي وإلا المخاطر المحتملة من مفاتيح المكشوفة، وليس سيناريو حيث يتعرضون محتويات الذاكرة. فكرة مثالية السرية إلى الأمام هو أن تعرض مفتاح واحد لا ينبغي أن تجلب كل بيت بطاقات انهار:

تظهر أنظمة القطاعين العام والمفتاح الذي توليد مفاتيح عشوائية العامة في كل دورة لأغراض اتفاق رئيسي التي لا تستند إلى أي نوع من خوارزمية الحتمية خاصية يشار إلى الكمال السرية إلى الأمام . هذا يعني أن الحل الوسط من رسالة واحدة لا يمكن أن تؤدي إلى حل وسط الآخرين، وأيضا أن ليس هناك قيمة واحدة السرية التي يمكن أن تؤدي إلى حل وسط من رسائل متعددة.

في سياق Heartbleed، إذا كان المفتاح الخاص يمكن أن يتم سحبها من الذاكرة فإنه لن يؤدي إلى حل وسط من كل رسالة واحدة لأنها تريد ان تكون مرتبطا بشكل فريد. لكن مرة أخرى، هذا هو الشيء الذي كنت وضعت في مكان الآن للمستقبل، انها ليست حلا لHeartbleed، فوات الاوان لذلك.

أنا المشرف SYS - ماذا أفعل؟

إذا كنت مسؤولا عن الحفاظ على البنية التحتية والخادم على شبكة الإنترنت على المواقع التي تديرها، وهناك خطوة واحدة الفورية واضحة: بينسل تحديث لنسخة 1.0.1g باعتبارها مسألة ذات أولوية. اذا كان هذا غير ممكن، يمكنك إعادة ترجمة بينسل، وأنها تعطيل ضربات القلب مع رمز التبديل هذا:

-DOPENSSL_NO_HEARTBEATS

كما شرحت في وقت سابق رغم ضربات القلب تخدم غرضا وإطفائها قد يكون لها تأثير الأداء الإقتصادي الأداء بحيث يعامل كما أن فجوة توقف فقط.

تعتمد الخطوات المقبلة على النفور من المخاطر أو مستوى جنون العظمة اعتمادا على الطريقة التي ننظر إليها. أن وقيمة المعلومات التي كنت حماية. قد تكون تلك الخطوات أيضا المجال للمطور ويمكن أن تشمل:

1. إعادة إصدار أي شهادات أثر
2. إلغاء أية شهادات أثر
3. النظر في توافر حظر طلبات ضربات القلب الخبيثة على مستوى IPS
4. تنتهي أي جلسات عمل المستخدم النشطة
5. إجبار إعادة تعيين كلمة المرور على أي حسابات المستخدمين

هذه هي النصيحة التي حصلت عليها من AppHarbor فيما يتعلق المواقع بلدي استضافت معهم (على الرغم من أنني قد أضفت نقطة على IPS) وبينما كنت يمكن القول أن هذا المخطئين على الجانب الآمن، هل يمكن القول أيضا أن هذا بالضبط ما يجب أن تقوم به للتو.

أنا مطور - ماذا أفعل؟

أولا وقبل كل شيء، تأكد من أنك قد قرأت القسم السابق للمدراء تميز الكلية. العديد من المطورين يجدون أنفسهم فعل كل أنواع الأشياء وهذا من الناحية النظرية مجال الخادم الناس الذين يحصلون على أيديهم القذرة اتخاذ جميع أعمال البنية التحتية لبقية منا.

الجزء محبط بالنسبة لي كشخص يحاول من الصعب جدا على سد الفجوة بين التنمية والأمن التخصصات هو أن هذا الخطأ يعني لم أعد أستطيع أن أقول ببساطة "للمطورين، والتركيز على تنفيذ SSL في تطبيقات الويب الخاصة بك ولا تقلق بشأن الكامنة بروتوكول ". بالطبع كنت لا تزال تريد للتأكد من أن يتم تكوين SSL بشكل مناسب لتبدأ (يكون الذهاب لل اختبار Qualsys SSL مختبرات لإجراء فحص مجاني)، لكنه لم يعد مجرد مسألة الحصول على هذا الحق منذ البداية ثم الشروع في تركيز فقط على علامات الكوكيز وآمنة وعدم تحميل صفحات تسجيل الدخول عبر HTTP وهلم جرا وهكذا دواليك.

قطعة واحدة واقعية للغاية من نصيحة أستطيع أن أعطي هو ببساطة: لا جمع أو تخزين ما لا تحتاج. وقد أتيحت لي مؤخرا للتعامل مع حادث جمع الدين المسجلين "، وقطعة من البيانات الحساسة جدا لكثير من الناس، وكان هذا في بلد أجنبي وهذا ليس تسامحا دائما خاصة إذا لا وجهة نظركم العالم يصطف مع ملكهم. لماذا فعلوا في حاجة إليها؟ انهم لا، انها مجرد "تبدو فكرة جيدة في ذلك الوقت". لا يمكنك تفقد ما لم يكن لديك وسوف هذا النهج ليس فقط حماية البيانات من التعرض عبر Heartbleed، ولكن من هجمات حقن SQL وغير آمنة مراجع الكائنات المباشرة واختطاف الدورة ومجموعة كاملة من الأشرار الأخرى التي لديها القدرة على استغلال بيانات العملاء.

أنا تشغيل خدمة الانترنت - ماذا أفعل؟

الشيء للنظر الآن هو ما يمكن القيام به الضرر من قبل مهاجم إذا تمكنوا من الحصول على أوراق اعتماد المستخدم والبيانات الحساسة أو جلسات خطف. ما يمكن وصول المهاجمين لو كانوا بتسجيل الدخول كمستخدم؟ ما أمكنهم يأذن؟ ما أمكنهم ثم القيام بتلك المعلومات؟

واحدة من أكبر المشاكل هنا هو أن كنت شبه المؤكد لن تكون قادرة على معرفة ما إذا كنت قد تعرضت لما يثير الشبهة. يمكنك معرفة ما إذا كنت في خطرونعرف ان كنت قد تركت عرضة، ولكن يمكنك التكهن فقط عن نافذة الضعف. كنت لا أعرف متى أصبح أول مهاجم تدرك هذا الخطر - كان اجتماعيا فقط في اليومين الماضيين، ولكن تم عرضه منذ أكثر من عامين. حتى لو استغرق الأمر ساعات لأنك فقط التصحيح، كان وقتا كافيا لاستغلالها؟

النهج الأكثر حذرا في الحس الأمني ​​هو اجبار إعادة تعيين كلمة المرور وشرح للعملاء أن هناك قد يكون "حادث". هذا ليس تجربة ممتعة بالنسبة لك ولا لعملائك وهناك مفاضلة للنظر بين ما يجعل الشعور بالأمن الحكمة وما تأثير ذلك على الثقة وتجربة المستخدم العامة قد يكون. أنه سوف يكون قرارا حالة على حدة، وسوف لن يكون سهلا.

ماذا أقول لأصدقائي غير التقنية أن تفعل؟

خروج القبعات البربون؟ إيقاف كافة الأمور الخاصة بهم؟ أخذ قسط من الراحة على جزيرة صحراوية حتى تهدأ الأمور؟ هذا هو واحد من تلك الأشياء التي سوف المستهلكين لا تكون تلك التي تحتاج إلى اتخاذ إجراءات الاتجاه فيما يتعلق علة، على الأقل ليس بنفس الطريقة كما يقولون، علة غوتو في دائرة الرقابة الداخلية مؤخرا والتي أسفرت تحديثا ل OS. انهم ليسوا هم الترقيع بينسل سيئة على خوادم الويب (على الرغم من أننا لم نرى ما اذا كان هذا الخطر قد تؤثرعملاء مع تبعيات بينسل).

من ناحية أخرى، فإنها قد تحتاج إلى اتخاذ إجراءات إذا نتج عن خطأ في تعرض وثائق تفويضهم أو بيانات شخصية أخرى. من الناحية المثالية سيكون هذا النصيحة لهم من قبل المواقع التي لديها سبب للاعتقاد قد يكون هناك حلا وسطا، وهذا هو لو انهم استباقية بما فيه الكفاية لتحديد المخاطر و(القول) المسؤولة بما يكفي لتقديم المشورة لعملائها لاتخاذ إجراءات وقائية. انها أيضا النشاط الذي يجب فقط أن يؤديها بعد يرقع موقع ضعفا وشهادة جديدة تثبيت - انها ليس جيدا ذاهب ووضع كلمة مرور جديدة لامعة في أحد المواقع التي قد لا تزال تعريضها للمهاجم.

بطبيعة الحال فإنه أيضا بمثابة تذكير آخر قيمة للمستهلكين - وكلمة مرور آمنة الوحيد هو الشخص الذي لا يمكن أن نتذكر . هذا هو عدو السحالي ولكن الشيء الجيد ويبقى فرضية نفسه؛ يجب علينا دائما جعل افتراض أن في نهاية المطاف أن يتعرض للخطر كلمات السر، وأنها يجب أن تكون قوية وفريدة من نوعها على حد سواء وهو ما يعني أن ارتكاب لهم الذاكرة - ذاكرة الإنسان - هو خارج. اثنين عامل آخر هو بيغي وتريد التأكد من أن هذا قيد التشغيل في كل مكان ممكن (دروببوإكس، جيثب، إيفرنوت، ومايكروسوفت لايف ID، الخ). هذا لن يحل كل مشاكل Heartbleed، لكنه حول إلى أي مدى يمكن للمستهلكين التأثير فيه.

ولكن هل هو حقا بهذا السوء؟ وماذا يحدث بعد ذلك؟

أشياء متعددة يجب أن يصطف من أجل هذا الخلل يؤدي إلى الاستغلال الناجح:

1. الموقع لديه لتنفيذ SSL في المقام الأول - لا يعني عدم وجود SSL بينسل يعني عدم وجود علة Heartbleed.
2. الموقع لابد من تشغيل بينسل. أن يستبعد قسما كبيرا من الإنترنت، بما في ذلك معظم المواقع IIS.
3. النسخة بينسل يجب أن يكون في مكان ما بين 1.0.1 و1.0.1f. أي شيء أقدم أو أحدث وعلة غير موجود.
4. يحتاج أحد المهاجمين تمكنوا من الوصول إلى بيئة المعرضين للخطر في مكان ما بين التعلم من الأخطاء، وأنه يجري مصححة من قبل الموفر.
5. إذا الخط في كل هذه الامور، يجب أن يكون هناك شيء مفيد واسترجاعها من الذاكرة في وقت الهجوم. هذا هو المرجح للغاية ولكن في جميع المواقع الأكثر نائمة.
6. ولكن بغض النظر عن الحالي نشاط الموقع، إذا كان المهاجم pcaps سابقة من حركة المرور (مرحبا مرة أخرى، NSA!) ويمكن بعد سحبالمفتاح الخاص من موقع، وهذا يمثل مشكلة خطيرة.

المشكلة، بالطبع، هو أنه بينما النقاط من 1 إلى 3 لتحديدها بوضوح، في معظم الحالات، سيكون لدينا أي فكرة ما إذا كان 4 نقاط وعلى حدث فعلا. متى لم مهاجم يعرف عن خطر قبل مصححة ذلك؟ ثم كانوا قادرين على الوصول إلى الخادم؟ كان هناك أي شيء مفيد في الذاكرة في ذلك الوقت؟ أو يمكنهم استخدام مفاتيح exfiltrated ضد يلتقط البيانات السابقة؟

انها الأيام الأولى جدا في الوقت الحالي وعدد من أشياء مختلفة يمكن أن يحدث المقبل. واحد الاحتمالات هو أننا سنرى المواقع المتأثرة طلب إعادة تعيين كلمة المرور. كيف أظهر علامة ياهو عرضة، وبالتأكيد أنهم لا يستطيعون لا نطلب من الناس الآن لإعادة ضبط كلمات المرور الخاصة بهم؟ أنا لا أقصد أن ينادي كافة تحديدا سواء، سريع الجر من خلال pastebin تظهر الوثائق العامة واسعة من المواقع الضعيفة. أو كيف حول جميع من هم على لائحة ترتيب الأعلى 10،000 التي تم اختبار جميع وأظهرت العديد عرضة ؟ هذا هو قائمة كبيرة جدا في واقع الأمر إعادة تعيين كلمة المرور التي تحدث بالفعل، وصلتني هذه واحدة من AppHarbor اليوم:

بالطبع خطر الآخر هو أننا سنرى استغلال أوراق الاعتماد التي تم سحبها من المواقع الضعيفة. وهذا يمكن أن تتخذ أشكالا عديدة؛ رأيناه أكي بيري المزعج على تويتر بعد الاختراق الأخرق والعديد من كبير أحداث أكثر خطورة نتيجة للأوراق مسروقة. المشكلة الآن هي أن كل مرة يتم المساس حساب عن طريق أوراق مسروقة السؤال ستكون سأل: "هذه برزت من موقع المستضعفين عبر Heartbleed"؟ هذا الخطأ يمكن أن يكون له، وذيل طويل جدا جدا.