Heart bleed attack on Live server..
Mục lục:
Gần 70 phần trăm lưu lượng trên Internet sử dụng OpenSSL để bảo đảm việc truyền dữ liệu. Điều đó chuyển thành hầu như tất cả các máy chủ chính (đọc: trang web) sử dụng OpenSSL để bảo mật dữ liệu của bạn như thông tin xác thực đăng nhập. Tuy nhiên, một người nào đó từ Google đã tìm thấy lỗi trong OpenSSL - một lỗi lập trình nhỏ nhưng đủ lớn để cung cấp dữ liệu của bạn cho tin tặc - những người sẵn sàng sử dụng dữ liệu của bạn cho mục đích của họ. Lỗi OpenSSL này có tên Heartbleed vì nó liên quan chặt chẽ đến một số lớp HeartBeat của OpenSLL.
Lỗi Heartbleed
Hầu hết các máy chủ đều chấp nhận dữ liệu được mã hóa, giải mã nó bằng các khóa mã hóa và chuyển tiếp nó để xử lý. Vì hầu hết các máy chủ đều sử dụng phương thức FIFO (First in First Out) để phục vụ người dùng cuối, thường là dữ liệu (sau khi giải mã) nằm trong bộ nhớ máy chủ trong một thời gian trước khi máy chủ tiếp tục xử lý.
Lỗi Heartbleed một trường hợp lo lắng cho hầu như tất cả các trang web thương mại dựa trên Internet và một số loại khác. Lỗi lập trình này cho phép tin tặc kiểm tra vào bất kỳ máy chủ nào sử dụng OpenSSL và đọc / lưu / sử dụng dữ liệu chưa được mã hóa (dữ liệu đã giải mã). Tin tặc bây giờ không chỉ có quyền truy cập vào dữ liệu của bạn, họ có thể sao chép chứng chỉ trang web làm cho Internet, thậm chí nhiều nơi nguy hiểm hơn. Với bản sao của chứng chỉ trang web, tin tặc có thể tạo các trang web bắt chước: các trang web trông giống với các trang web gốc. Với điều đó, họ có thể tiếp tục truy cập dữ liệu của bạn như chi tiết thẻ tín dụng, thông tin cá nhân, vv
Âm thanh đáng sợ phải không? Đó là - thực sự - vì nó có thể truy cập thông tin của bạn và thông tin đó có thể được sử dụng cho bất kỳ kết thúc nào.
Lưu ý : Heartbleed cũng có một tên mã CVE-2014-0160. CVE là viết tắt của Common Vulnerabilities and Exposures. Các mã này liên quan đến lỗ hổng bảo mật, được đưa ra bởi MITER, một cơ quan độc lập giữ các lỗi và các vấn đề tương tự.
Tôi có nên nâng cấp Anti-Virus của mình hay cái gì đó
Lỗi Heartbleed trong OpenSSL không có gì để làm với tường lửa hoặc chống vi-rút của bạn. Đây không phải là một vấn đề phía khách hàng, do đó bạn có thể làm rất ít về nó. Ở phía bên kia, các máy chủ phải áp dụng một bản vá cho hệ thống OpenSSL mà họ đang sử dụng. Điều đó được thực hiện, trang web có thể được cho là an toàn hơn cho việc tương tác.
Những gì bạn có thể làm khi người dùng giảm số lượt truy cập vào trang web thương mại và các trang tương tự. Nó không phải là lỗi chỉ ảnh hưởng đến các trang web thương mại. Nó tương đương với tất cả các loại trang web sử dụng OpenSSL. Tôi nói tránh các trang web thương mại trong một thời gian vì chúng sẽ là mục tiêu chính cho các tin tặc, những người muốn chi tiết thẻ của bạn vv. Điều đó có nghĩa là mục tiêu chính của tin tặc sẽ là các trang thương mại điện tử sử dụng OpenSSL.
Khi bạn nhận được thông báo / báo cáo rằng lỗi đã được sửa, bạn có thể tiếp tục như bạn đã từng làm trước khi lỗi được phát hiện. OpenSSL đã tạo bản vá và đã phát hành bản vá cho chủ sở hữu trang web để bảo mật dữ liệu của người dùng. Cho đến lúc đó, hãy cố gắng tránh các trang web mà bạn phải cung cấp dữ liệu của mình dưới bất kỳ hình thức nào - ngay cả bằng chứng xác thực đăng nhập. Tôi chắc chắn hầu như tất cả các quản trị viên web đều phải tham gia bản vá nhưng vẫn còn một vấn đề. Một khi bạn chắc chắn rằng không có lỗ hổng hoặc lỗ hổng như vậy đã được vá, nó có thể là một ide tốt để thay đổi mật khẩu của bạn.
Trong khi đó, hãy sử dụng các phần mở rộng của trình duyệt này để cảnh báo bạn về các trang web bị ảnh hưởng bởi Heartbleed. thông qua Heartbleed cần được giải quyết
Có nhiều khả năng các chứng chỉ bảo mật trang web có thể đã được sao chép để tạo các trang web độc hại. Vì chứng chỉ bảo mật là bản sao chung, trình duyệt của bạn có thể không cho biết sự khác biệt. Chính bạn là người phải thận trọng. Tránh nhấp vào các liên kết và thay vào đó, hãy nhập URL của trang web vào thanh địa chỉ để bạn không được chuyển hướng đến một số trang web giả mạo.
Vấn đề này có thể được giải quyết theo hai cách:
Các trình duyệt có sẵn trên thị trường phải được thực hiện đủ thông minh để xác định các chứng nhận đã sao chép và cảnh báo bạn.
- Quản trị viên web thay đổi chứng chỉ sau khi áp dụng bản vá., nó sẽ mất một thời gian để thực hiện ở trên mặc dù các quản trị web áp dụng các bản vá. Tôi muốn nhắc lại rằng không nhấp vào các liên kết trong email hoặc các trang web không có uy tín. Chỉ cần nhập URL vào thanh địa chỉ hoặc nếu có trang web gốc được đánh dấu trang, hãy sử dụng dấu trang.
- Phần Tham khảo ở cuối bài viết này chứa danh sách không đầy đủ các trang web bị ảnh hưởng. Không đầy đủ vì có thể có nhiều trang web bị ảnh hưởng hơn những trang được liệt kê ở đó.
Tham khảo:
Tim chảy máu: Trang web
OpenSSL: Tư vấn bảo mật cho tim chảy máu
- Git Hub: Danh sách các trang web bị ảnh hưởng.
ỦY ban Châu Âu hoan nghênh việc Google giảm thời gian lưu giữ dữ liệu cho dữ liệu tìm kiếm của người dân nhưng nó kêu gọi công ty và các đối thủ của nó đi xa hơn nữa để bảo vệ sự riêng tư của công dân châu Âu. > Google hôm thứ Ba cho biết sẽ cắt giảm thời gian lưu giữ xuống còn 9 tháng, từ 18 tháng, nhằm mục đích giải quyết mối quan ngại của các nhà quản lý về bảo vệ dữ liệu. Để so sánh, MSN của Microsoft lưu trữ dữ liệu tìm kiếm trong 18 tháng và Yahoo giữ nó trong 13 tháng.
Phó chủ tịch Ủy ban Jacques Barrot nói trong một tuyên bố rằng quyết định của Google là "bước đi đúng hướng", nhưng nói thêm rằng sáu tháng Barrot cũng ca ngợi Google một cách minh bạch để truyền đạt chính sách bảo mật tới người dùng. Ông Peter Fleicher, cố vấn về vấn đề riêng tư toàn cầu của Google cho hay, "Nhận thức của người sử dụng và nguyên tắc minh bạch là những yếu tố thiết yếu trong việc tăng cường sự tin tưởng của họ", ông Peter Fleicher, cho biết rằng nó cần phải có sự cân bằng giữa "
Tháng 9, cơ thể, Ủy ban châu Âu, đề xuất cắt giảm cả giá bán lẻ và bán buôn cho tin nhắn văn bản bằng cách giới thiệu mũ lần lượt là 0.11 và 0.04 euro. Giá bán lẻ trung bình hiện nay ước tính khoảng 0,29 euro, Ủy ban cũng cho biết mức giá bán buôn tải dữ liệu là 1 euro / megabyte và kêu gọi giảm chi phí các cuộc gọi thoại khi chuyển vùng. "Các bộ trưởng đã trả lời lời kêu gọi của Ủy ban về sự phản ứng nhanh chóng đối với SMS và việc chuyển vùng dữ liệu rất rõ ràng", Viviane Reding, ủy
EU công dân đã gửi 2,5 tỷ tin nhắn SMS, tạo ra 800 triệu euro cho các nhà khai thác điện thoại di động vào năm ngoái. Chi phí gửi tin nhắn trong khi chuyển vùng có thể gấp 10 lần so với gửi tin nhắn từ bên trong nước.
Có nhiều lợi ích thú vị cho sự phát triển của Web và sự gia tăng của xã hội mạng. Facebook và Twitter đã cho phép mọi người kết nối lại với bạn bè và gia đình, đồng thời cung cấp nền tảng để chia sẻ thông tin và giữ liên lạc. Vấn đề là mạng xã hội cũng cung cấp một công cụ rất mạnh mẽ để làm xấu hổ bản thân hoặc làm hỏng danh tiếng của bạn trên quy mô toàn cầu và gần như vĩnh cửu. Một khi bạn đặt nó trực tuyến, nó được chia sẻ trên toàn thế giới trong vài giây, và vẫn có thể được gọi lại sau nhi
[ĐọC thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]