כמשתמש אינטרנט רגיל, אתה מצפה הרקע של האינטרנט רק לעבוד . כל מה שמתרחש מאחורי הקלעים, כל ההצפנה, כל לחיצות הידיים, וכל עסקה קטנה צריכה להיות מסוגלת לספק לך דרך בטוחה לתקשר ולעשות את העסק שלך באינטרנט מבלי לדאוג האקרים לשוטט בכל מהלך שלך. למרבה הצער זה לא איך האינטרנט פועל, ואת OpenSSL "Heartbleed" באגים היא הוכחה חותכת לכך. יש כמה דברים שכדאי לדעת על הבאג הזה, כי סביר להניח שהוא מתייחס אליך יותר ממה שאתה חושב.

מה זה OpenSSL ?!

בסדר, אז הזכרתי את OpenSSL פעמיים ואפילו לא הסברתי לך את זה. האם אתה רואה את סמל המנעול הקטן ליד " https: // " בדפדפן שלך כשאתה מזין אתרים "מאובטחים"? כך זה נראה בדפדפן האינטרנט של Chrome של Google:

כאשר אתה רואה את זה, אתה משתמש בצורה מיוחדת של הצפנה המכונה שכבת שקע מאובטח (SSL) או אבטחה שכבת התחבורה (TLS). כדי לספק שירותים עם הצפנה זו, אתה צריך אלגוריתם שיספק את ההצפנה / פענוח עבור מנות אתה חילופי עם השרת. משמעות הדבר היא כי הם צריכים דרך לתרגם את הטקסט שלך לג'יבריש בלתי קריא ולאחר מכן לתרגם אותו בחזרה לתוך הטופס קריא על שלהם. באמצעות טכנולוגיה זו, אם האקר מצליח איכשהו להפריע את החיבור לשרת, כל שהוא יקרא הוא שורה ארוכה של פטפטנות.

עכשיו, אנחנו מגיעים לחלק (סוף סוף) שבו אנו מסבירים מה OpenSSL הוא: זהו יישום חופשי וקוד פתוח של פרוטוקולי SSL / TLS. בעזרת טכנולוגיה זו, כל אחד יכול לספק לך שירותים מוצפנים. חברות רבות שבהן יש לך חשבונות עשויות להשתמש ב- OpenSSL כדי להצפין את הנתונים שלך.

אבל מה אם OpenSSL יש באג כי לחלוטין מביס את מטרת ההצפנה?

באג הסביר

ב -10 באפריל 2014, אנשים בחברת PerfectCloud, חברת אבטחת זהות, דיווחו על חור מסיבי בקידוד OpenSSL הידועה בשם "Heartbleed" באגים. במשך שנתיים, לא ראינו גרסה חדשה של OpenSSL, ובמהלך הזמן הזה היתה לה בעיה בקוד שלה שחשף קצת זיכרון שרת. נתח זיכרון זה יכול להכיל את המפתחות הפרטיים המשמשים להצפנת / פענוח נתונים. אאוץ!

משמעות הדבר היא כי האקר יכול לגלות את המפתחות הצפנה של השרת ופשוט לפענח את כל מה שאתה שולח אליו, כולל שם המשתמש שלך, הסיסמה שלך, וכל דבר אחר חשוב ויקר לך.

הבאג נקבע ב- 7 באפריל 2014, אך אין פירוש הדבר שכולם עקבו אחר עדכון ליישומים של OpenSSL. חברות אינטרנט גדולות כמו אמזון ויאהו טיפלו בבעיה, אבל זה עדיין לא אומר שאתה ברור! האקר יכול להיות שם המשתמש והסיסמה שלך ברשימה מוכן עכשיו כדי לנסות לגשת לכל חשבונות אחרים ייתכן שיהיה במקום אחר.

מה עליך לעשות?

לכן, גם אם חברה משדרגת את יישום OpenSSL האחרון, אתה עדיין בסיכון לחשיפות קודמות . עם זאת, אם יש עוד ניסיונות פריצה, הם לא יצליחו. מה שאתה יכול לעשות במצב זה הוא לשנות את הסיסמה שלך בכל מקום. אל תיתן לזה לחכות. פשוט לשנות הכל, כך שאתה מוכן אם האקר מחליט לנסות את החשבונות שלך.

עוד מחשבות?

באג זה פשוט מראה עד כמה עדין שזורים האינטרנט. למרות המודעות הביטחונית הבולטת והאי-מוסדרות, האינטרנט הוא עדיין האינטרנט, והוא תמיד יהיה במצור. אילו המלצות יש לך עבור חברות המשתמשות OpenSSL? כיצד השתנתה ההבנה שלך במערכות האקולוגיות? האם אתה מבולבל לגבי משהו? פרסם את המחשבות שלך על כל דבר הקשור OpenSSL באזור הערות למטה!