Sklamaný dopadom z Heartbleed? Nie si sám. Drobná chyba v najpopulárnejšej knižnici SSL na svete spôsobila obrovské medzery v zabezpečení, ktoré obklopilo našu komunikáciu všetkými druhmi cloudových webov, aplikácií a služieb - a medzery ešte nie sú ani opravené.
Chyba Heartbleed umožnila útočníkom odlepiť snoop-rezistentnú výstelku OpenSSL a nahliadnuť do komunikácie medzi klientom a serverom. To poskytlo hackerom pohľad na veci, ako sú heslá a súbory cookie relácie, čo sú malé kúsky údajov, ktoré vám server pošle po prihlásení a váš prehliadač pošle správu zakaždým, keď niečo urobíte, aby dokázal, že ste to vy. A ak chyba ovplyvnila finančné stránky, mohli sa zobraziť ďalšie citlivé informácie, ktoré ste prechádzali sieťou, napríklad informácie o kreditnej karte alebo daňové informácie.
Ako sa môže internet najlepšie chrániť pred takými katastrofickými chybami? Máme niekoľko nápadov.
Áno, potrebujete bezpečnejšie heslá: Takto ich môžete vytvoriť
Dobre, takže lepšie heslá by nezabránili ďalšiemu Heartbleed, ale môžu vám niekedy zabrániť v napadnutí. Mnoho ľudí strašne vytvára bezpečné heslá.
Už ste to niekedy počuli: nepoužívajte „heslo1“, „heslo2“ atď. Väčšina hesiel nemá dostatok toho, čo sa nazýva entropia - sú to určitenie náhodne a onibude hádajte, či útočník niekedy dostane príležitosť urobiť veľa hádok, a to buď kladivom na službu, alebo (pravdepodobnejšie) ukradnutím hashov hesla - matematické derivácie hesiel, ktoré je možné skontrolovať, ale nevrátiť ich späť do pôvodného hesla.
Čokoľvek urobíte, nepoužívajte rovnaké heslo na viacerých miestach.
Mnoho poskytovateľov služieb pristupuje k tomuto problému tak, že od používateľov požaduje, aby mali heslá určitej dĺžky, ktoré obsahujú interpunkciu a čísla, aby sa pokúsili zvýšiť entropiu. Smutnou realitou však je, že takéto pravidlá pomáhajú iba trochu. Lepšou možnosťou sú dlhé frázy skutočných, nezabudnuteľných slov, ktoré sa na počesť tohto komiksu XKCD, ktorý tento koncept vysvetľuje, začali nazývať heslom „správna svorka koňskej batérie“. Bohužiaľ, môžete (rovnako ako ja) naraziť na poskytovateľov, ktorí vám nedovolia používať také heslá. (Áno, existujú finančné inštitúcie, ktoré majú maximálny počet 10 znakov. Nie, neviem, čo fajčia.)Pomôcť môže aj softvér alebo služby na správu hesiel, ktoré využívajú šifrovanie end-to-end. KeePass je dobrým príkladom toho prvého; LastPass z druhého. Svoj e-mail si dobre strážte, pretože ho možno použiť na resetovanie väčšiny vašich hesiel. A čokoľvek urobíte, nepoužívajte rovnaké heslo na viac ako jednom mieste - iba žiadate o problém.
Webové stránky musia implementovať jednorazové heslá
OTP je skratka pre „one-time password“ (jednorazové heslo). Môžete ho už použiť, ak máte nastavený web alebo službu, ktorá vyžaduje použitie aplikácie Google Authenticator. Väčšina z týchto autentifikátorov (vrátane spoločností Google) používa internetový štandard nazývaný TOTP alebo jednorazové heslo založené na čase, ktoré je tu popísané.
Čo je TOTP? Stručne povedané, web, na ktorom sa nachádzate, generuje tajné číslo, ktoré sa raz odovzdá do vášho programu autentifikátora, zvyčajne prostredníctvom QR kódu. V časovej variácii sa z tohto tajného čísla každých 30 sekúnd generuje nové šesťciferné číslo. Web a klient (váš počítač) nemusia znova komunikovať; čísla sa jednoducho zobrazia na vašom autentifikátore a vy ich zadáte na web podľa potreby spolu s vašim heslom a vy ste v. Existuje aj variácia, ktorá funguje tak, že vám rovnaké kódy pošleme prostredníctvom textovej správy.
Aplikácia LastPass pre Android Výhody TOTP: Aj keby program Heartbleed alebo podobná chyba mali za následok odhalenie vášho hesla aj čísla vo vašom autentifikátore, web, s ktorým interagujete, už takmer určite toto číslo označil ako použité a nebude ho možné znova použiť - a bude aj tak budú neplatné do 30 sekúnd. Ak webové stránky túto službu ešte neponúkajú, pravdepodobne to môžu urobiť relatívne ľahko. Ak máte skutočne akýkoľvek smartphone, môžete spustiť autentifikátor. Je mierne nepohodlné sa prihlásiť so svojím telefónom, samozrejme, ale bezpečnostný prínos pre každú službu, na ktorej vám záleží, vám stojí za to.
Riziká TOTP: Vniknutie na server a rôzne Výsledkom by mohlo byť prezradenie tajného čísla, čo by útočníkovi umožnilo vytvoriť si vlastného autentifikátora. Ale ak používate TOTP v spojení s heslom, ktoré webová stránka neukladá - väčšina dobrých poskytovateľov ukladá hodnoty hash, ktoré sú silne odolné proti ich spätnému inžinierstvu -, potom sa medzi nimi dvoma zníži vaše riziko.
Sila klientskych certifikátov (a aké sú)
Pravdepodobne ste nikdy nepočuli o klientskych certifikátoch, ale skutočne existujú už veľmi dlho (samozrejme v internetových rokoch). Dôvod, prečo ste o nich pravdepodobne ešte nepočuli, je ten, že ich musí získať. Je oveľa jednoduchšie prinútiť používateľov, aby si vybrali heslo, takže certifikáty majú tendenciu používať iba weby s vysokým zabezpečením.
Čo je certifikát klienta? Certifikáty klientov dokazujú, že ste osobou, za ktorú o sebe tvrdíte. Všetko, čo musíte urobiť, je nainštalovať si ho (a jeden funguje na mnohých stránkach) do vášho prehliadača. Potom sa ho rozhodnite použiť, keď web vyžaduje, aby ste sa autentifikovali. Tieto certifikáty sú blízkym príbuzným certifikátov SSL, ktoré webové stránky používajú na identifikáciu vášho počítača.
Najefektívnejším spôsobom, ako môže webová stránka chrániť vaše údaje, je to, že ich nikdy nemáte v prvom rade k dispozícii.
Výhody klientských certifikátov: Bez ohľadu na to, na koľko webov sa prihlásite pomocou certifikátu klienta, matematická sila je na vašej strane; nikto nebude môcť použiť ten istý certifikát na vydávanie sa za vás, aj keď bude sledovať vašu reláciu.
Riziká klientskych certifikátov: Primárne riziko klientskeho certifikátu je, že do neho niekto môže preniknúťtvoj počítač a ukradnú ho, ale existujú riziká tohto rizika. Ďalším potenciálnym problémom je, že typické klientske certifikáty obsahujú určité informácie o totožnosti, ktoré by ste nemuseli chcieť zverejniť na každej stránke, ktorú používate. Aj keď klientske certifikáty existujú navždy a v softvéri webového servera existuje funkčná podpora, na strane poskytovateľov služieb aj prehľadávačov je ešte veľa práce, aby fungovalidobre. Pretože sa používajú tak zriedka, venujú im malú pozornosť.
Najdôležitejšie je: šifrovanie typu end-to-end
Najefektívnejším spôsobom, ako môže webová stránka chrániť vaše údaje, je to, že ich nikdy nemáte v prvom rade - minimálne teda verziu, ktorú dokáže prečítať. Ak web dokáže čítať vaše údaje, môže ich čítať útočník s dostatočným prístupom. Preto sa nám páči šifrovanie typu end-to-end (E2EE).
Čo je šifrovanie typu end-to-end? To znamená, že šifrujete údaje o svojej strane a onopobyty šifrované, kým sa nedostane k osobe, pre ktorú to chcete, alebo kým sa k vám nevráti.
Výhody E2EE: End-to-end šifrovanie je už implementované v niekoľkých službách, napríklad v službách zálohovania online. V niektorých službách pre zasielanie správ existujú aj jeho slabšie verzie, najmä tie, ktoré sa objavili po odhalení Snowdenovcov. Je ťažké pre webové stránky vykonať šifrovanie typu end-to-end, a to z dvoch dôvodov: na to, aby mohli poskytovať svoje služby, možno budú musieť vidieť vaše údaje a webové prehliadače sú pri vykonávaní E2EE hrozné. Ale v dobe aplikácie pre smartfóny je šifrovanie typu end-to-end niečo, čo sa môže a malo by sa robiť častejšie. Väčšina aplikácií dnes E2EE nepoužíva, ale dúfame, že sa jej do budúcnosti dočkáme viac. Ak vaše aplikácie nepoužívajú E2EE na vaše citlivé údaje, mali by ste sa sťažovať.
Riziká E2EE: Aby šifrovanie typu end-to-end fungovalo, musí sa to robiť plošne - ak to aplikácia alebo web robí iba s polovičatým srdcom, môže sa zrútiť celá karta. Jeden kúsok nezašifrovaných údajov sa dá niekedy použiť na získanie prístupu k ostatným.Bezpečnosť je hra s najslabším článkom; iba jeden článok v reťazci ho nesmie zlomiť.
Takže, čo teraz?
Je zrejmé, že ako používateľ nemôžete ovládať veľa. Budete mať šťastie, že s autentifikátorom nájdete službu, ktorá používa jednorazové heslá. Určite by ste sa však mali porozprávať s webovými stránkami a aplikáciami, ktoré používate, a dať im vedieť, že si uvedomujete, že došlo k chybám v softvéri, a myslíte si, že by mali brať bezpečnosť vážnejšie a nespoliehať sa iba na heslá.
Ak tieto pokročilé bezpečnostné metódy používa viac sietí Net, možno nabudúce dôjde k softvérovej katastrofe v rozsahu Heartbleed - a tambude nakoniec - nebudeme musieť toľko panikať.
[Obrázok so súhlasom scyther5 / Shutterstock]
