Heartbleed가 수정되는 동안 인터넷을 사용하는 방법?

이 현재 취약하지 않습니다 많은 웹 사이트가 있지만, 그들이 경우에 나는 아무 생각 이었다 며칠 전 취약.

예를 들면 다음과 같습니다.

• twitter.com : 지금은 취약하지 않지만 인증서는 2014 년 3 월 5 일 (수) UTC에 있습니다.
• google.com : 지금은 취약하지 않지만 인증서는 2014 년 3 월 12 일 (수) UTC입니다.
• bankofamerica.com : 지금은 취약하지 않지만 인증서는 Thu Dec 05 00:00:00 UTC 2013입니다.

어떻게해야합니까? 다시 발행 할 때까지 사용하지 않습니까? 새로운 키로 인증서를 다시 발행한다는 것을 어떻게 알 수 있습니까? 실제 웹 사이트임을 알 방법이 없기 때문에 비밀번호를 변경하기 위해이 사이트에 로그인해서는 안됩니다.

2014-04-11 업데이트

Cloudflare는 개인 키 추출이 실제로 가능한지 확인하기위한 과제를 설정했습니다. 그것은 약 10 만 건의 요청으로 이루어졌으며 두려움을 확인합니다. 더 이상 이론적이지 않지만 입증되었습니다 . 여기 로 가서 읽을 수 있습니다 .

또한 Bloomberg 는 NSA 가이 익스플로잇에 대해 2 년 이상 알고 있다고보고했습니다 . NSA에 이와 같은 소프트웨어에서 익스플로잇을 찾는 것이 유일한 역할을하는 분석가를 고용 할 수있는 리소스가 있기 때문에 이치에 맞습니다. 이제 우리는 미국 정부가 오랫동안 다른 국가가 그것을 알고 악용했을 가능성을 오랫동안 악용 해 왔다는 것을 알고 있습니다.

TL; DR 시스템 상태와 관련된 조직의 공지 사항을 확인하고, 모든 비밀번호를 변경 하며, 은행 또는 기타 금융 시스템과 같은 중요한 계정에서 사기 / 의심스러운 활동을 감시하십시오.

상황이 왜 그렇게 위험한지 이해하려면 먼저이 공격이 실제로 무엇을하는지 이해해야합니다. AKA Heartbleed 인 CVE-2014-0160은 공격자가 취약한 버전의 OpenSSL을 실행하는 서버에서 최대 64kB의 메모리를 확보 할 수 있도록하는 버퍼 덮어 쓰기 버그입니다.

정말 나빠요. 실제로 어떻게 작동합니까

맞습니다. 심각한 결함이지만 조금 나중에 다시 설명하겠습니다. 지금은 익스플로잇이 작동하는 이유에 대해 이야기하겠습니다. TLS ( Transport Layer Security )는 HTTP ( HTTPS )를 포함한 많은 응용 프로그램에서 정보 를 보호하거나 SMTP 를 보호 하는 데 사용됩니다.예를 들어 활성화 된 경우 TLS의 표준을 설정하는 RFC 5246에는 하트 비트라고하는 기능이 있습니다. 클라이언트와 서버는 나중에 사용할 수 있도록 연결을 유지하기 위해 일부 데이터를주고받습니다. 이제 실제로 클라이언트는 데이터를 보내고 서버는 다시 데이터를 보내며 모든 것이 훌륭합니다. 그러나 영향을받는 OpenSSL 버전에서는 클라이언트가 실제로 말한 양의 데이터를 실제로 보냈는지 확인하지 않습니다. 따라서 1 바이트를 보내고 서버에 실제로 64 kB를 보냈다고 말하면 행복하게 64 kB를 돌려 보낼 것입니다. 다른 바이트는 어디에서 왔습니까? 이것이 바로 문제의 열쇠입니다. OpenSSL은 프로세스가 액세스하고 1 바이트가 저장된 위치에 따라 원래 보내지 않은 64 바이트-1 바이트의 메모리를 다시 보내줍니다.개인 키 자료 ¹ 및 서버가 사용하기 위해 해독하는 정보. 이에 대한 예로는 비밀번호, 신용 카드 정보 및 / 또는 PIN이 있습니다.

승인. 정보 보안의 의미는 무엇입니까? 비대칭 암호화가 어떻게 작동하는지 이해한다면 공개가 암호화를 난독 화로 렌더링 할 때 이것이 심각하다는 것을 이미 알고 있습니다. 이는 서버가 패치되어 더 이상 메모리가 누출되지 않더라도 세션이 여전히 안전하지 않을 수 있음을 의미합니다. 공개적으로 알려지기 전에 또는 패치가 진행되는 동안이 취약점이 악용되었을 수 있지만 현재 공격이 발생했음을 입증하는 방법은 없습니다. IDS에 대한 규칙 이 제공 될 수 있지만 현재는 그렇지 않습니다. IDS 규칙이 발표되었습니다 . 운영자는 자신의 키가 여전히 안전한지 알지 못하기 때문에 그 자체는 매우 위험합니다.

우리는 키가 누출되었다고 가정해야합니다. 즉, 전송하는 모든 것이 제 3 자에 의해 해독 될 수 있습니다. 이를 완화 할 수있는 유일한 방법은 키를 재생성하고 기존 인증서를 해지하면서 새 인증서를 다시 발급받는 것입니다. 불행하게도, CA 가 지금 이러한 요청으로 넘쳐나고 있기 때문에 시간이 걸립니다 . 여전히 이것은 중간자 공격 또는 다른 피싱 기회 의 가능성을 남깁니다 .

언제 안전합니까? 그것이 언제 안전한지 아는 것은 어려운 질문입니다. 내가보고 싶은 것은 버그가 해당 환경에 패치되어 있거나 영향을받는 버전을 사용하지 않았기 때문에 결코 취약하지 않다는 것을 설명하는 공개 발표입니다. 그들이 새로운 버전의 OpenSSL로 업그레이드했다고 발표했을 때, 그들은 2014-04-07 인 익스플로잇이 공개 된 날 이후 서명 된 새로운 인증서를 사용하고 있음을 보증 할 것 입니다.

** 개인 키가 나중에 유출 된 경우 이전에 기록 된 트래픽이 해독 될 수 있습니다.

자신을 보호하기 위해 사용자로서 무엇을 할 수 있습니까

다음 며칠 동안 온라인 뱅킹 또는 온라인 의료 차트 액세스와 같은 중요한 사이트를 사용하지 않을 수 있다면 그렇게하는 것이 좋습니다. 그렇게해야 할 경우 세션이 잠재적으로 위험에 처해 있음을 이해하고 그 결과를 받아 들일 준비를하십시오. 또한 조직이 더 이상 취약하지 않다고 발표 한 후에는 비밀번호를 변경해야합니다 . 암호 관리자를 사용하면 도움이 될 수 있습니다. 또한 은행 정보 나 신용 카드 번호와 같이 사용한 다른 정보를 변경하거나 모니터링 할 준비가되어 있어야합니다.

운동가들에게 특별 공지

Tor를 포함하여 OpenSSL을 사용하는 모든 항목 에 영향을 줄 수 있습니다 . 정부는 2 년 전부터 OpenSSL 릴리스에 포함 된 이후로이 결함을 사용할 수 있었을 것입니다. 이와 같은 익스플로잇을 찾는 데 필요한 막대한 자원이 있으므로 정보를 얻을 수 있도록 준비해야합니다. 더 이상 사적인 것이 아닙니다.

** PFS (Perfect Forward Security )를 구현 하지 않는 한 개인 키가 나중에 유출되면 이전에 기록 된 트래픽이 해독 될 수 있습니다 .

¹- 개인 키가 메모리에 없을 수 있다는 주장이 있었지만 동시에 키 추출에 성공했다는 주장이있었습니다. 이 시점에서 어느 쪽이 올바른지 확실하지 않습니다.

이 취약점으로 인한 위험이 과대 평가되고 있습니다. 나는이 취약점이 이틀 전에 연구원들에 의해 출판되기 전에 알려 지거나 악용되었다는 ZERO 증거가 있기 때문에 이것을 말한다.

취약한 웹 사이트, 특히 인터넷을 통해 민감한 데이터를 처리하는 웹 사이트를 패치하는 것이 시급합니다. 공격 시그니처를 IDS 및 맬웨어 방지 도구에로드하는 것도 마찬가지로 시급합니다. IT 내부에서는이 취약점에 우선 순위를두고 대응해야합니다.

그러나 언론에 의한이 취약점과 관련된 위험 수준은 정당하다고 생각하지 않습니다.

개인은 자신을 보호하기 위해 무엇을해야합니까? 취약한 버전의 OpenSSL을 실행하는 사이트를 사용하지 마십시오.

이 취약점이 악용되었다는 증거가 없을 때까지는 추가 조치가 무의미하며 FUD 이상의 동기가 부여됩니다. 당신은 동의하지 않습니까? 임의의 코드 실행 을 허용 하는 매월 또는 분기마다 릴리스 된 많은 취약점을 고려하십시오 . 공격자에게 루트 또는 시스템 수준의 권한을 부여하거나 공격자가이 취약점이 제시하는 것처럼 취약한 시스템이 처리하는 모든 데이터의 보안에 대해 훨씬 더 많은 위험이있는 권한 에스컬레이션을 통해 권한을 얻을 수있는 권한을 부여합니다.

대부분의 경우 이러한 취약점은 소프트웨어 공급 업체 또는 공급 업체에 알리는 연구원이 발견합니다. 공급 업체는 패치를 생성하여 취약점 세부 정보를 게시하지 않고 시장에 출시합니다. 경우에 따라 세부 정보가 게시되고 익스플로잇은 보안 커뮤니티에서 테스트 도구에 사용하기 위해 게시합니다. 우리는 "우리의 모든 비밀이 노출되었을 수 있습니다!"라고 말함으로써 이러한 많은 취약점에 대응하지 않습니다.

착취의 증거가 있다면 적절하게 대응해야합니다. 나는이 취약점을 발표 한 연구자들의 과도한 반응과 연구자들의 느슨한 대화를 증폭시킨 언론에서 큰 위험에 처해 있다고 생각합니다. 그들은 울고있다.

-엘 비에 호

모든 웹 사이트가 HTTPS에 OpenSSL 라이브러리를 사용하는 것은 아니며 (예 : GnuTLS 및 PolarSSL도 있음) 모든 OpenSSL 버전이 취약한 것은 아닙니다 (이전 버전은 그렇지 않았습니다). 이는 언급 한 웹 사이트가 인증서를 변경할 필요가 없기 때문에 인증서를 변경하지 않았 음을 의미합니다. 인증서가 발급 된 날짜 만 보면 충분하지 않습니다.

웹 사이트가 취약한 경우 예를 들어, 당신이 확인할 수 있도록 도구와 사이트의 숫자가 있습니다 : - http://filippo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - 은 https : / /www.ssllabs.com/ssltest/

불행히도, 당신이 이미 언급했듯이, 이것이 사실인지 알려주지 않습니다. 여기서 중요한 문제는 신뢰입니다. 내부 정보없이 사용하고 사용하는 SSL 라이브러리를 확인할 객관적인 방법은 없습니다. 당신은 그들이 옳은 일이거나 대중의 굴욕을 두려워하기 때문에 그들이해야 할 일을하기를 희망해야합니다.

물론 이러한 웹 사이트가 영향을받는 경우 언제든지 요청할 수 있습니다. 이에 대한 공개 성명을 발표하는 많은 웹 사이트를 보았습니다. Twitter 나 Facebook과 같은 소셜 미디어를 공개적으로 사용하도록 요청하는 것이 효과적입니다.

따라서 제가 제공 할 수있는 최선의 조언은 일반적인 조언입니다. 인터넷에 남겨둔 내용과 개인 정보로 신뢰하는 웹 사이트에주의하십시오.

개인 키가 노출되는 것과 관련하여 누군가는 암호화 된 세션에서 데이터를 해독 할 수 있지만 현재 개인 키를 가지고 있기 때문에 세션 중간 에 남자로 자신을 설정해야합니다. . 인터넷상의 모든 사람 만이 이것을 할 수있는 것은 아닙니다.

본인은 로컬 LAN 및 ARP 스푸핑에 있거나 인터넷 라우터에 잘못된 경로를 광고하여 트래픽을 가로 채거나 리디렉션 하여 트래픽을 가로 채야한다는 점을 이해하고 있습니다 . 이러한 종류의 공격은이 취약점 없이도 항상 가능했습니다.

LastPass Heartbleed Checker 에서 사이트의 URL을 입력하면 사이트가 취약한 지 여부와 인증서가 업데이트 된시기를 알려줍니다.

Heartbleed의 영향을받는 사이트를 방문하는 경우 경고하는 Chromebleed 라는 Chrome 확장 프로그램도 있습니다 .

Mashable.com 에는 잘 알려진 사이트, 영향을받는 사이트 및 비밀번호 변경 여부 목록이 있습니다. 흥미롭게도 Banks and Brokerages 목록에있는 사이트 중 어느 것도 영향을받지 않았습니다.

나는 또한 다음 사이트를 방문 할 것이다 :

https://www.ivpn.net/blog/heartbleed-passwords-change

여기에는 영향을받은 인기있는 사이트 목록과 비밀번호 변경시기 및 장소가 있습니다.

전반적으로, 나는 편집증이 당신에게 도달하지 못하게 말하고 싶습니다. 실제로 트래픽을 해독하고 암호를 얻을 수 있다는 것은 실제로 수행 한 것과 다릅니다.

Twitter, Facebook, Gmail 및 뱅킹과 같은 사이트에서 이중 인증 을 사용하는 경우 에는 너무 걱정하지 않아도되며 걱정하지 않아도 괜찮을 것입니다.

모든 비밀번호를 변경해야한다고 생각되면 필요에 따라 비밀번호를 변경해야합니다. 그게 전부입니다.