Как обезопасить себя от риска, связанного с уязвимостью в OpenSSL

image

Теги: OpenSSL, уязвимость, защита

Если брешь не затрагивает сайт, который пользователь регулярно посещает, рекомендуется сменить пароль.

Миллионы сайтов, пользовательских паролей, данных кредитных карт и другая персональная информация оказалась под угрозой из-за уязвимости в широко используемой криптографической библиотеке OpenSSL, получившей название Heartbleed.

Эксперты из Netcraft  заявили , что уязвимыми являются около полумиллиона ресурсов, имеющих репутацию надежных и пользующихся доверием пользователей. Это значит, что, несмотря на шифрование, под угрозой находится информация, проходящая через сотни тысяч сайтов.

Одним из таких хорошо известных сайтов, использующих OpenSSL, является Yahoo!. С момента обнаружения уязвимости компания выпустила исправления. Популярные сайты, использующие TLS расширение Heartbeat, в том числе Twitter, Facebook, GitHub, Bank of America и DropBox, также устранили уязвимость.

Пользователь может проверить на наличие Heartbleed-уязвимости сайт, которым он обычно пользуется,  здесь . Если брешь обнаружена, необходимо прекратить его использование.

При помощи специального  приложения  от LastPass можно определить, какое шифрование использует сайт, и когда оно обновлялось в последний раз. Кроме того, можно воспользоваться  сканером , разработанным Provensec или  GlobalSign SSL . Одним из надежных способов также является проверка при помощи приложения для браузера Chrome –  Chromebleed  от исследователя Джейми Хойла (Jamie Hoyle).

Если уязвимость не затрагивает сайт, который пользователь регулярно посещает, рекомендуется сменить пароль. Если брешь все еще не устранена, то менять учетные данные нет смысла, так как они все равно могут быть скомпрометированы. Кроме того, использовать один и тот же пароль при регистрации на разных ресурсах, нежелательно.

Во время пользования публичными сетями Wi-Fi не рекомендуется авторизоваться на сайтах, которые могут быть затронуты уязвимостью. Брешь присутствует в версиях OpenSSL от 1.0.1 до1.0.1f и 1.0.2-beta1, и устранена в OpenSSL 1.0.1g.    

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus