Che cosa dovrebbero fare gli utenti finali per Heartbleed?

58

Cosa deve fare un operatore del sito web per Heartbleed OpenSSL exploit? parla principalmente di ciò che le persone che eseguono i siti Web dovrebbero fare con Heartbleed.

Che cosa dovrebbero fare gli utenti finali dei siti web?

Hanno bisogno di cambiare le loro password?

In caso affermativo, dovrebbero collegarsi ai siti Web e modificare le password immediatamente? O dovrebbero aspettare che i loro siti web abbiano cambiato i loro siti per essere più sicuri, e quindi cambiare le loro password?

(Sono link , ma pubblichi come ospite, perché non ho ancora effettuato l'accesso in, wordpress openID non funziona, e non voglio usare una password subito dopo che Heartbleed è stato annunciato)

    
posta Andrew Grimm 08.04.2014 - 06:47
fonte

2 risposte

36

Gli utenti finali dovrebbero solo aspettare che i loro amministratori di sistema li contattino con ulteriori istruzioni. A un certo punto, dopo che i tuoi amministratori di sistema hanno installato patch per i sistemi vulnerabili , potresti dover:

  • Cambia password
  • Accedi nuovamente (perché tutte le chiavi di sessione e i cookie devono essere invalidati)
  • Aiuta gli alti dirigenti a valutare il contenuto reale gestito dai server vulnerabili che potrebbero essere trapelati e reagire di conseguenza.

Mi aspetto che le massicce modifiche alla chiave / al certificato che si verificheranno non verranno notate dalla maggior parte degli utenti, in quanto queste avvengono sul lato server. Per quanto riguarda i certificati attendibili della CA radice sul lato client, mi aspetto che le controparti delle chiavi private risiedano su sistemi air-gapped e quindi non saranno vulnerabili a questo exploit. Eventuali aggiornamenti agli archivi certificati che sono necessari probabilmente si verificheranno semplicemente in modo trasparente negli aggiornamenti in background.

Ho riassunto i punti elenco qui sopra da heartbleed.com (enfasi mia):

What is leaked primary key material and how to recover?

These are the crown jewels, the encryption keys themselves. Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will. Any protection given by the encryption and the signatures in the X.509 certificates can be bypassed. Recovery from this leak requires patching the vulnerability, revocation of the compromised keys and reissuing and redistributing new keys. Even doing all this will still leave any traffic intercepted by the attacker in the past still vulnerable to decryption. All this has to be done by the owners of the services.

What is leaked secondary key material and how to recover?

These are for example the user credentials (user names and passwords) used in the vulnerable services. Recovery from this leaks requires owners of the service first to restore trust to the service according to steps described above. After this users can start changing their passwords and possible encryption keys according to the instructions from the owners of the services that have been compromised. All session keys and session cookies should be invalided and considered compromised.

What is leaked protected content and how to recover?

This is the actual content handled by the vulnerable services. It may be personal or financial details, private communication such as emails or instant messages, documents or anything seen worth protecting by encryption. Only owners of the services will be able to estimate the likelihood what has been leaked and they should notify their users accordingly. Most important thing is to restore trust to the primary and secondary key material as described above. Only this enables safe use of the compromised services in the future.

What is leaked collateral and how to recover?

Leaked collateral are other details that have been exposed to the attacker in the leaked memory content. These may contain technical details such as memory addresses and security measures such as canaries used to protect against overflow attacks. These have only contemporary value and will lose their value to the attacker when OpenSSL has been upgraded to a fixed version.

    
risposta data 08.04.2014 - 08:40
fonte
0

@ scuzzy-delta ha una grande panoramica sopra, ma ho pensato che potrei rispondere un po 'più in modo preventivo.

Sicurezza generale per i servizi online Uno dei modi migliori per evitare danni da bug come questo è l'uso di un gestore di password come KeePass (KeePassx per Mac e Linux). I gestori di password possono generare e archiviare password completamente uniche per tutti i siti Web che utilizzi. Ciò evita i numerosi rischi per la sicurezza che si verificano quando si utilizza la stessa password o una derivata della stessa password per più servizi.

RE: Modifica password La modifica delle password è buona e tutto, ma se il servizio o il sito Web che si sta utilizzando è ancora vulnerabile a Heartbleed, la nuova password potrebbe essere compromessa. Per la maggior parte penso che i servizi stiano aggiornando il Bug o annunciando che non sono stati influenzati.

    
risposta data 09.12.2014 - 09:23
fonte

Leggi altre domande sui tag