Як убезпечити себе в інтернеті

 

Що таке Heartbleed

Коли ви запускаєте програму на комп’ютері, вона завантажується в оперативну пам’ять RAM (Random Access Memory, майже як останній альбом Daft Punk). Ваша операційна система слідкує за тим, щоб програма могла читати і писати інформацію в певні області пам’яті, виділені цій програмі. Наприклад, поштовий клієнт і система для зберігання паролів — різні програми, поштовий клієнт не може «піти» без попиту в сховище паролів і забрати їх звідти. Але в рамках однієї програми можуть бути баги, з-за яких, наприклад, дані будуть прочитані з дозволеною області пам’яті, але не ті, що потрібно.

Веб-сервер, генерирущий сторінки для браузера, — це теж свого роду програма. Зміст уразливості Heartbleed в тому, що хитрий запит до веб-сервера, що працює з даними в зашифрованому вигляді (це коли в рядку адреси написано httpS://), дозволяв прочитати шматок пам’яті розміром 64 кілобайти, де в числі іншого, могли знаходитися будь-які дані, які інші користувачі відправляли на сервер або отримували з нього. Якщо зловмисник хотів зібрати багато даних, він просто відправляв багато таких хитрих запитів на сервер-жертву і потім з отриманого сміття намагався дістати цікаве вміст. Цій проблемі було схильне до 2/3 всіх сервісів в інтернеті, але публічно про це стало відомо 7 квітня.

 

У чому небезпека

У першу чергу ця проблема критична для тих сервісів, які працюють з платіжними даними. Наприклад, сервіси для продажу квитків, навіть якщо декларують власну захист «паперовим» сертифікатом. У Росії ми звикли, що для того, щоб провести транзакцію, потрібен ще один фактор, — наприклад, підтвердження платежу SMS-кою. А в світі багато транзакції в інтернеті можна здійснити без додаткового підтвердження, лише ввівши дані кредитної картки. Зараз краще згадати, на яких сервісах ви платили останнім часом (з 7 квітня), і перевірити, чи були вони уразливі, і якщо так — як швидко «полагодили».

Для пошти, месенджерів та соціальних мереж ця вразливість теж дуже неприємна, але менш критична. Припустимо, ви отримали доступ до шматка чужого листа. Довільного (ви не можете вибрати дані, які отримайте). Це, звичайно, жахливо, але, щоб скористатися ним проти жертви, добре хоча б розуміти, хто ця жертва. Ймовірність знайти цінну інформацію, яку можна застосувати проти конкретної людини, приблизно дорівнює ймовірності знайти компромат на нього на міському звалищі.

У світі є кілька рішень для роботи з зашифрованими даними. Свої власні є, наприклад, у Microsoft, Apple і інших виробників. Ще є популярні розробки з відкритим вихідним кодом, наприклад OpenSSL. Цю бібліотеку шифрування використовують 2/3 інтернет-сервісів. Ось в ній і була знайдена помилка. Найнеприємніше те, що поки незрозуміло, які витекли дані таким чином. Упевнений, попереду ще багато скандалів, коли виявиться, що якийсь сервіс довго не оновлювався і тому був уразливий.

 

Як усували помилку

Зазвичай інформація про подібних баги проходить між службами інформаційної безпеки великих компаній: «Хлопців, давайте оновиться, щоб нікому боляче не було, а потім розповімо, та інші догонят». А тут так вийшло, що дослідники зробили промосайт, намалювали логотип і запустили інформацію про проблеми в світ. Стався розрив — інформація стала публічною, а оновлення ніхто не встиг — це займає мінімум години. Довелося в аварійному режимі діяти. Мені здається, краще, якщо люди дізнаються про таке постфактум — як мінімум для того, щоб багом не почали користуватися десятки тисяч хакерів.

Але я, чесно кажучи, не припускав, що світ може так швидко взяти і оновити сервера. Пройшли лічені години. У деяких банках, які вважаються синонімами бюрократії, сертифікати оновили швидше, ніж зазвичай гроші переводять. В «Яндексі» у нас десятки тисяч серверів, їх вдалося оновити за кілька годин. Є, звичайно, приклади організацій, які ще тиждень «зазнали», перш ніж що-небудь зробити — треба сказати їм спасибі за те, що дали споживачам відповідний сигнал.

Коли пилюка трохи вляглася, ми вирішили, що треба повідомити звичайним людям, не фахівцям в області інформаційної безпеки, про проблему і попросити змінити пароль. Створили сторінку security.yandex.ru, вивісили попередження на головній сторінці Яндекса». Не всі сервіси були схильні до цієї уразливості, але люди ж використовують однакові паролі — якщо паролі витекли в одному сервісі, краще скрізь все змінити. І взагалі, змінювати паролі — корисно, добре. Чому б не зробити це сьогодні?

В «Яндексі» по понеділках проходять зустрічі на тему новин у світі, точніше, в тій частині світу, яка якось стосується «Яндекса». Очевидно, однією з основних тем минулого тижня був Heartbleed. Ми запитали, скільки людей все-таки змінили пароль, і навіть з суперпрогрессивного спільноти співробітників «Яндекса» руки підняли трохи більше половини. Тим не менш, за статистикою, в ці дні користувачі «Яндекса» паролі міняли в два рази частіше, ніж зазвичай — значить, наша сторінка і попередження спрацювали.

 

Що могли зробити

користувачі

У нас в «Яндексі» є мета — користувач з паролем 12345 теж повинен бути в безпеці. Важливо розуміти, яке поведінка для цього користувача нормально, а яке ні, та у випадку відхилення від норми якось реагувати: просити що-небудь ввести або підтвердити. Але очевидно, що користувач з паролем 12345 з-за прецедентів начебто Heartbleed більше дбати про безпеку не стане.

Для тих же, кого хвилює безпека власних даних, є кілька рекомендацій. У безпечному пароль не треба використовувати словникові слова, треба перемішувати літери, цифри і розділові знаки. Він повинен бути нормальної довжини — не менше 8-9 символів. Серед адміністраторів корпоративних систем є такий фашизм, що треба міняти паролі раз в три місяці, і на те є підстави, якщо зможете себе змусити, краще міняти.

 

Користувач з паролем 12345 теж повинен бути в безпеці

А взагалі, мені тисячу років тому розповів Ілля Сегалович, як робити паролі різними, але такими, що запам’ятовуються. Мене вразила геніальність і простота цієї думки. Є базовий пароль, одне слово якесь. Наприклад, «слово». І він умів замішувати його з назвою сервісу, на який він логін. Наприклад, «слово» та «яндекс» — не беруся стверджувати, що він саме цей алгоритм використовував, у нього все було трохи складніше, але все-таки: пароль виходив «яснлдоевкос» і так далі. Це хороша можливість весь час придумувати різні паролі і при цьому ніколи їх не забувати.

Але якщо необхідно, щоб ніхто і ніколи фізично не міг отримати доступ до вашої інформації, наприклад, листування, потрібно використовувати спеціальні програми, які шифрують повідомлення самі, без участі сторонніх серверів (шукайте за словами PGP/GPG/стеганографія). Щоб на будь-якому проміжному ланці ланцюжка передачі даних повідомлення були представлені у вигляді безглуздого набору символів. Це єдина гарантія — не тому що провайдер «піде, роздрукує і видасть когось», для іміджу це в 500 млрд разів дорожче. А просто тому, що ще трапиться якась історія начебто Heartbleed.

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(0 голосов, в среднем: 0 из 5)

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *