Soru Çalışanlarımızı kendilerini Heartbleed'den korumayı nasıl öğretiriz? [çift]


Bu sorunun zaten bir cevabı var:

Sonra dünyaya hoşgeldiniz Heartbleed. Sunucularımızı yatık ve SSL sertifikalarımızı değiştirdik. Ama sadece sunucularımız sabit olduğu için, bu internetin geri kalanı sabit olduğu anlamına gelmez. Çalışanlarımız var ve internet üzerinden kredi kartı numaraları ve oturum açma bilgileri gibi sırlar paylaşıyorlar. Tavsiye için bizi arıyorlar.

Müşterilerimizi kullanmasını tavsiye edebiliriz Heartbleed test sayfası gitmek istedikleri sitenin güvenlik açığı olup olmadığını görmek için. Bir site olumlu sonuç verirse, onunla sırlar paylaşmayın. Ancak bir site varsa değil Heartnet için pozitif sonuç, daha sonra durum şunlardan biri olabilir:

  • Sitede hiçbir zaman güvenlik açığı yoktu (iyi)
  • Site güvenlik açığına sahipti ve bu sorunu giderdi, ancak hala olası SSL sertifikasını kullanıyor (hatalı)
  • Site bu güvenlik açığına sahipti ve bu sorunu giderdi ve SSL sertifikasını yeniden oluşturdu ancak anahtarları yeniden oluşturmadan (kötü)
  • Sitede güvenlik açığı vardı, düzeltildi, anahtarları yeniden oluşturuldu ve SSL sertifikası değiştirildi. (iyi)

Çalışanlarımıza kredi kartı numaralarını yazmadan önce form verebilmemiz için herhangi bir yol var mı? iyi gelen senaryolar kötü olanlar?

Çalışanlarımızı Heartbleed'in tehlikeye attığı sunuculara maruz kalmalarını en aza indirmek için nasıl talimat veriyoruz?


10
2018-04-08 20:35


Menşei


Bugünden önce verilen sertifikalara güvenmeyin ... - MichelZ
@MichelZ Bu eksik tavsiye. Yeni oluşturulmuş bir anahtarla yeniden yayımlanmayı doğrulayamadığınız sürece hiçbir sertifikaya güvenemezsiniz (örneğin, "Verilen herhangi bir sertifikanın tehlikeye girip girmediğini bilmenin bir yolu yoktur" - Yeni bir tuşun kullanıldığında HOPE yeni sertifika verildi, ancak kesin olarak bilemezsiniz). Ayrıca OLD sertifikasının uygun şekilde iptal edilip edilmediğinden de endişelenmeniz gerekir (eğer tarayıcılar geçerli değilse ve MITM saldırıları için kullanılabilir). Onun değilbasit, bu yüzden bu hata çok korkunç. - voretaq7
@ voretaq7 Evet, bu doğru. "Bugünden sonra verilen sertifikalara güven" demek istemedim, "Bugün ÖNCEDEN yayınlanmış sertifikalara güvenme" demedim. Bu yüzden "kara listeye almıyor", "beyaz listede" değil :) - MichelZ
Sertifika tarihlerine dayanan @MichelZ kara listesinin bir grup siteyi yanlış işaretleme sorunu vardır (ör. OpenSSL 0.9.8'i çalıştıran tüm ortamlarım) - Kalp atışı yok, bu nedenle güvenlik açığı yok, bu yüzden sertifikaları yeniden kullanmıyorum). Yanlış pozitifler kesinlikle yanlış negatiflerden daha iyidir, ama gerçekten bu noktada evrenin durumunu bilmek için uğraştığınız her şirketten bir ifadeye ihtiyacınız var (gerçekten pratik değildir, ama gerçekten Tek Yol: - /) - voretaq7
@MadHatter Bu sorunun, yöneticinin bakış açısından var olduğu anlaşılmış gibi görünüyor: cevapları, kullanıcılarınıza ne söyleyeceğinizle ilgili değil, sunucunuzu nasıl düzeltebileceğinizi anlatıyor. - Wayne Conrad


Cevaplar:


Esasen hayır, kötü senaryodan iyi senaryoları söylemenin tek bir yolu yoktur, çünkü kullanıcılarınız kullandıkları sistemlerin tam olarak görülmesini sağlamamaktadır.

Böceğin neden olduğu hasarın boyutu hala büyük ölçüde bilinmemekle birlikte, hasarın büyük bir kısmı geçmişte potansiyel olarak yapıldı ve uzun bir süre interneti etkilemeye devam edecek. Sadece hangi sırların çalındığını, ne zaman ya da kimler tarafından yapıldığını bilmiyoruz.

Örneğin: Google'ın OpenSSL kalbi yaklaşık bir yıldır kan akıyor. Bilinmeyen rakipler sunucuları toplarlar ve ilginç sırlar ararlar - yine de, bunu yapıp yapmadıklarını bilmemizin bir yolu yoktur - başka bir sisteme yetkilendirilmiş birisine ait bir hesap bulana kadar, Twitter.com veya AnyBank. co.uk veya dev.redhat.com. Bu tür hesaplara erişim sayesinde, potansiyel olarak kazmaya devam edebilir, diğer sistemlere erişim kazanabilir, diğer hasarı daha fazla tehlikeye atabilir (görülebilir olsun ya da olmasın) - ihlalin kökeninden şüphelenmeden. Bu aşamada zaten kanama OpenSSL sunucularından uzaksınız ve bu Heartbleed'in en önemli sonuçlarından bir tanesi. Buna ek olarak, sunucuların özel anahtarlarının ele geçirilme riski de söz konusudur.

Güven birikmesi uzun zaman alır ve hızlıca kaybedilebilir. Daha önce internette güven sorunumuz olmadığını söylemiyorum ama Heartbleed kesinlikle yardımcı olmadı. Hasarın onarılması uzun zaman alacaktır ve bunu anlamak, kendinizi ve çalışanlarınızı / müşterilerinizi / patronlarınızı nasıl koruyabileceğinizi ve nasıl yapamayacağınızı anlamanın bir parçasıdır. Kontrol edebileceğiniz, savunmasızlığınıza maruz kalmanızı sınırlandırabileceğiniz bazı şeyler var ve kontrol edemediğiniz şeyler var - ama yine de sizi etkileyecekler. Örneğin, diğer herkesin bu güvenlik açığına nasıl yanıt vermeye karar verdiğini kontrol edemezsiniz - NSA'nın bildirilen bir hata olduğunu ancak sessiz kaldığını bildirdi. Bu geri kalanımız için oldukça kötüydü, ama bizi buna karşı korumamızın hiçbir yolu yoktu.

Bir internet kullanıcısı olarak şunları yapabilir ve yapmalısınız:

  • Anlama ne kadar kötü böcek
  • E-postalardaki bağlantılara yanıt vermeyin / bunları takip etmeyin. şifre - bunun yerine şirket / kuruluşun web sitesine gidin şifrenizi doğrudan ve aktif olarak sıfırlayın. Bu dolandırıcılar gibi zamanlar kimlik avına gitmeyi sever
  • Android telefonunuzu Heartbleed için kontrol edin. Bir var Uygulamanın OpenSSL sürümünüzü kontrol eden Lookout Mobile Security'den.
  • Heartbleed için ziyaret ettiğiniz web sitelerini kontrol edin (eksik kontrol listesi):

    1. Sunucu OpenSSL kullanıyor mu?

      • Yok hayır: Doğrudan etkilenmiyorsunuz (bu hata ile). Siteyi kullanmaya devam edin, ancak şifrenize doğrudan veya dolaylı olarak etkilenen başka bir sunucunun şifrenize erişmesi durumunda şifrenizi değiştirin. Tabii ki, bu ağdaki tüm bu sunucuların yamalandığı, yeni sertifikalar verildiği varsayılmaktadır.
      • Evet: 2'ye git.
    2. Sunucu OpenSSL'nin Heartbleed-free sürümünde mi? Kalbe check-in işlemi eklediğiniz aracın, HTTP üstbilgisini veya başka bir "göstergeyi" değil, güvenlik açığını denetlediğinden emin olun.

      • Yok hayır: Siteye herhangi bir sır göndermeyin, ancak mümkünse web yöneticisine bir not gönderin.
      • Evet: 3'e git.
    3. OpenSSL'nin herhangi bir önceki sürümü Heartbleed var mı?

      • Yok hayır: Bazı yöneticiler, en son OpenSSL sürümüne geçmedi, çünkü yeterince uzun süredir test edilmemişti. Sunucuları hiçbir zaman bu hataya karşı savunmasızdı, ancak yukarıda belirtilen nedenlerden ötürü, şifrenizi değiştirmekten daha iyi olabilirsiniz.
      • Evet: Sunucu savunmasızdı ve savunmasız sürüme ve açıklanma süresine (en fazla iki veya üç yıla kadar) yükseltme süresi arasında bellek içi verilerin ele geçirilmesi olasıydı.

Burada güvenmeye geri dönüyoruz: Birinin güvenini kaybettiğinde, bu kötü bir şey. Özellikle eğer birisi sizin kullanıcınız / müşteriniz / patronunuzsa. Güvenlerini tekrar kazanmak için tekrar inşasına başlamalısın ve bir diyalog için açılmalısın.

Bir web yöneticisinin şunları başlatmak için yayınlayabileceği şey:

  • Önceki OpenSSL sürümleri (savunmasız / savunmasız)
  • Güncel sürüm ve güncellendiği zaman

Ve OpenSSL'nin önceki sürümü savunmasız ise:

  • Mevcut SSL sertifikası oluşturulduğunda
  • Eski sertifikanın nasıl iptal edildiğinin ayrıntılı açıklaması
  • Yeni sertifika için yeni bir sır kullanıldığına dair güvence
  • Yukarıdaki bilgilere göre kullanıcılar için öneriler

Eğer bir kullanıcı iseniz, bu türden bir bilgi istemek için her türlü hakkınız vardır ve hizmetin tüm kullanıcıları için yapmanız gerekir. Bu, güvenlik topluluğunun görünürlüğünü artıracak ve kullanıcıların tehlikeye atılmış sunuculara maruz kalmalarını en aza indirmelerini kolaylaştıracaktır.


5
2018-04-15 07:28