Heartbleed: Warum ist das Internet klaffende Sicherheitslücke So beängstigend

In der Vergangenheit Jahre 15 oder so, wir haben alle gelernt, im Internet ziemlich sicher fühlen. BigSite.com ist sicherlich Ihre Kreditkarteninformationen Handhabung, sicher, mindestens so sicher wie jede Backstein und Mörtel speichern. Vielleicht nicht so sicher sein; gab es einen Bug, der jahrelang in eine der wichtigsten Sicherheitsmaßnahmen im Internet lauern hat, und es Angreifer die Schlüssel zum Königreich. Geben Sie Heartbleed.

Geheime Handschläge

Das Herz des Habens sicherer Transaktionen über das Internet stützt sich auf ein paar Technologien namens Secure Sockets Layer (SSL), und seine etwas jüngere Bruder Transport Layer Security (TLS). Sie sind für die meisten Absichten und Zwecke die gleiche Sache. Vielen Dank können TLS/SSL-für das kleine Vorhängeschloss, die neben der Adresse von einer sicheren Website auftaucht und die https:// beginnen diese Adressen mit. Unterdessen ist TLS/SSL-hinter den Kulissen, was den Austausch von kryptografischen Schlüsseln Makler, mit dem einem Browser und einem Server wissen, dass sie, sie sagen, sie sind. Sie ist die Hüterin des geheimen digital-Handshakes, die Ihre privaten Informationen zwischen nur du und BigSite.com hält.

TLS/SSL ist ein großer Teil des Internets, wie wir es heute kennen, und zum Glück es immer noch prima funktioniert. Was die gefährliche Verletzung verursacht, ist eine Software-Bibliothek namens OpenSSL. Es ist im Grunde ein open-Source-Paket, das Menschen verwenden können, um den Schutz von TLS/SSL-Verschlüsselung schnell und einfach bekommen. Das einzige Problem? Seit Jahren hat es ein Loch drin. Ein Loch, genannt "Heartbleed."

Ein Blick ins Innere

OpenSSL funktioniert nur in der Theorie, aber dank ein kleinere Codefehler und die Heldentaten daraus, können bestimmte bösartige Leute missbrauchen (und beliebte) Versionen von OpenSSL, Scheiben von privaten Daten zu greifen, sollte gesichert werden, indem der TLS/SSL-Code, den Sie sicher hält. Angreifer können in den geheimen Handschlag schauen und sehen, wie es gemacht wird.

Dies ist für eine Reihe von Gründen problematisch. Zuerst, wenn Angreifer einen Blick auf einen geheimen Händedruck, die Sie ausführen möchten nehmen, wenn Sie Ihrem e-Mail-Konto bei Yahoo anmelden, können sie Ihre Daten sehen. Ihren Benutzernamen, Ihr Passwort, vielleicht sogar Ihre Kreditkarten-Nummer, je nachdem, was du tust. Es gibt alle Arten von saftigen Sachen drin.

Aber das ist kleine Beute im Vergleich zu der Gefahr. Angreifer erhalten auch einen Blick auf wie die Website, die Ihre Daten vollzieht sich identifiziert. Und sobald die Hälfte des Handshakes in freier Wildbahn geht, sind alle Wetten aus. Nicht nur können Tunichtgute ihrer neu gefundenen Schlüssel um Menschen zu täuschen zu denken sie eine feine aufrechte Sitz mit einem guten ol ' Man-in-the-Middle-Angriff sind, sie können auch zurückblicken in Transaktionen, die bereits geschehen. Und da sie sich mit der Master-Schlüssel anstatt zu brechen durch ein Fenster bekommen, diese Art von Angriffen, ohne Spuren zu hinterlassen.

Also welche Auswirkungen hat dies für mich?

Zum Glück sind nicht alle Versionen von OpenSSL anfällig für diese Art von Exploit, und gibt es bereits eine feste Version davon gibt. Aber wenn man bedenkt, wie lange es für gebrochen war, das ist ein schwacher Trost.

Es gibt eine lange Liste von Websites, die das problematische Paket verwendet, aber da die Angriffe keine Spur hinterlassen, gibt es keine Möglichkeit zu sagen, wie viele tatsächlich in Angriff genommen wurden; Sie müssen nur davon ausgehen, dass sie alle waren. Und wenn Sie einen Benutzer von einer von ihnen, gehen davon aus, dass Ihre Anmeldeinformationen jetzt in freier Wildbahn sind.

• Yahoo.com
• shmoop.com
• Flickr.com
• redtube.com
• kickass.to
• OkCupid.com
• steamcommunity.com
• hidemyass.com
• wettransfer.com
• UsMagazine.com
• 500px.com

Und selbst wenn diese Websites das tatsächliche OpenSSL-Loch gepatcht haben, ist weit von das Problem gelöst. Websites müssen auch das Internet-Äquivalent von ändern ihre kryptografischen Schlösser durchführen. Auch dann werden keine Daten, dass Angreifer kann vor Stash geschafft haben dann immer noch angreifbar ist, und es immer.

Glücklicherweise gibt es keine echte Moloche des Internethandels eingewickelt in diesem, soweit wir wissen. Kein Amazon, kein Google, kein Microsoft. Zumindest nicht mehr, aber irgendwann in den vergangenen zwei Jahren konnte sie betroffen (und ein paar haben jetzt erklärt, sie waren). Ihre LastPass und 1Password sind noch sicher. Aber noch ist es eine potenziell beispiellose Verletzung, obwohl wir nie wirklich erfahren, wie viele Seiten angegriffen habe.

In der Zwischenzeit gibt es nicht viel man kann neben der betroffenen Websites zu vermeiden, bis diese behoben sind, und ändern Ihre Passwörter nach der Tat. Alle Ihre Passwörter, weil Sie nicht sicher genug sein können. Sie können auch einen Stanniol Hut aufsetzen, aber manchmal die beste Lösung ist nur ein wachsames Auge auf Ihrer Kreditkartenabrechnung.

Update: Hidemyass.com streckte die Hand aus um uns zu erklären, dass ihre vertrauliche Benutzerdaten tatsächlich auf vpn.hidemyass.com, gespeichert, so dass Ihr Hintern sicher trotz der Tatsache, dass hidemyass.com kompromittiert wurde.