it-swarm-eu.dev

Cosa dovrebbero fare gli utenti finali di Heartbleed?

Cosa dovrebbe fare un operatore di un sito Web per sfruttare Heartbleed OpenSSL? parla principalmente di ciò che le persone che gestiscono siti Web dovrebbero fare su Heartbleed.

Cosa dovrebbero fare gli utenti finali dei siti Web?

Devono cambiare le loro password?

In tal caso, dovrebbero accedere ai siti Web e cambiare le password immediatamente? O dovrebbero aspettare fino a quando i loro siti Web hanno cambiato i loro siti per renderli più sicuri e quindi cambiare le loro password?

(Sono https://security.stackexchange.com/users/8335/andrew-grimm , ma invio come ospite, perché non ho già effettuato l'accesso, wordpress openID non funziona e non voglio usare una password subito dopo l'annuncio di Heartbleed)

57
Andrew Grimm

Gli utenti finali devono semplicemente attendere che i loro amministratori di sistema li contattino con ulteriori istruzioni. Ad un certo punto, dopo che i tuoi amministratori di sistema hanno patchato i sistemi vulnerabili , potresti dover:

  • Cambia password
  • Effettua nuovamente l'accesso (poiché tutte le chiavi di sessione e i cookie devono essere invalidati)
  • Aiutare il senior management a valutare il contenuto effettivo gestito dai server vulnerabili che potrebbero essere trapelati e reagire di conseguenza.

Mi aspetto che le enormi modifiche a chiave/certificato che stanno per avvenire non vengano notate dalla maggior parte degli utenti, dal momento che avvengono sul lato server. Per quanto riguarda i certificati attendibili della CA root sul lato client, mi aspetto che le controparti della chiave privata risiedano nei sistemi con gap di aria e quindi non saranno vulnerabili a questo exploit. Eventuali aggiornamenti agli archivi certificati che sono necessari probabilmente si verificheranno semplicemente in modo trasparente negli aggiornamenti in background.

Ho riassunto i punti elenco sopra riportati da heartbleed.com (sottolineatura mia):

Cos'è il materiale della chiave primaria trapelato e come ripristinarlo?

Questi sono i gioielli della corona, le stesse chiavi di crittografia . Le chiavi segrete trapelate consentono all'attaccante di decrittografare qualsiasi traffico passato e futuro verso i servizi protetti e di rappresentare il servizio a piacimento. Qualsiasi protezione fornita dalla crittografia e dalle firme nei certificati X.509 può essere ignorata. Il ripristino da questa perdita richiede l'applicazione di patch alla vulnerabilità, la revoca delle chiavi compromesse e la riemissione e la ridistribuzione di nuove chiavi. Anche fare tutto ciò lascerà comunque il traffico intercettato dall'attaccante in passato ancora vulnerabile alla decodifica. Tutto questo deve essere fatto dai proprietari dei servizi.

Cos'è il materiale della chiave secondaria trapelato e come ripristinarlo?

Queste sono ad esempio le credenziali dell'utente (nomi utente e password) utilizzate nei servizi vulnerabili. Il recupero da queste perdite richiede innanzitutto ai proprietari del servizio di ripristinare la fiducia nel servizio secondo i passaggi sopra descritti. Successivamente, gli utenti possono iniziare a modificare le password e le possibili chiavi di crittografia in base alle istruzioni dei proprietari dei servizi che sono state compromesse. Tutte le chiavi di sessione e i cookie di sessione devono essere invalidi e considerati compromessi.

Che cos'è il contenuto protetto trapelato e come ripristinarlo?

Questo è il contenuto effettivo gestito dai servizi vulnerabili . Può trattarsi di dettagli personali o finanziari, comunicazioni private come e-mail o messaggi istantanei, documenti o qualsiasi cosa che valga la pena proteggere con la crittografia. Solo i proprietari dei servizi saranno in grado di stimare la probabilità di ciò che è trapelato e dovrebbero informare i propri utenti di conseguenza. La cosa più importante è ripristinare la fiducia nel materiale della chiave primaria e secondaria come descritto sopra. Solo questo consente un utilizzo sicuro dei servizi compromessi in futuro.

Che cos'è la garanzia trapelata e come recuperarla?

Le garanzie perse sono altri dettagli che sono stati esposti all'attaccante nel contenuto di memoria trapelato. Questi possono contenere dettagli tecnici come indirizzi di memoria e misure di sicurezza come i canarini utilizzati per proteggere dagli attacchi di overflow. Questi hanno solo un valore contemporaneo e perderanno il loro valore per l'attaccante quando OpenSSL è stato aggiornato a una versione fissa.

35
scuzzy-delta

@ scuzzy-delta ha una grande panoramica sopra, ma ho pensato di poter rispondere un po 'più preventivamente.

Sicurezza generale per i servizi online Uno dei modi migliori per evitare danni da bug come questo è usare un gestore di password come KeePass (KeePassx per Mac e Linux). I gestori di password possono generare e archiviare password completamente uniche per tutti i siti Web utilizzati. Ciò evita i numerosi rischi per la sicurezza che si verificano quando si utilizza la stessa password o un derivato della stessa password per più servizi.

RE: Modifica delle password La modifica delle password è buona e completa, ma se il servizio o il sito Web che si sta utilizzando è ancora vulnerabile a Heartbleed, anche la nuova password potrebbe essere compromessa. Per la maggior parte, tuttavia, penso che i servizi stiano correggendo il bug o annunciando che non sono stati interessati.

0
Fernando