Hoe om te herstellen van heartbleed

Hier is het goede nieuws; De patches voor de OpenSSL heartbleed gat in de beveiliging zijn nu beschikbaar voor alle belangrijke besturingssystemen. Hier is het slechte nieuws: gewoon installeren van de patch is niet genoeg om uw servers en gebruikers te beschermen tegen aanvallers. Hier is het ergste nieuws: Al uw gebruikers-ja allemaal-zijn gaat nodig hebben om elke laatste een van hun wachtwoorden te resetten.

U kunt dit probleem te negeren. Je hoeft niet zo durven te doen. Zolang je uitvoert ongepatchte OpenSSL 1.01 of 1.02beta zal het triviaal voor hackers om uw veiligheid en toegangscontrole zowel uw eigen server en uw gebruikers informatie te kraken. Nog erger te maken, heeft dit gat bestaat op een systeem met behulp van de nieuwste versie van OpenSSL sinds begin 2012. Andere SSL-implementaties, zoals Microsoft’s Azure SSL, worden niet beïnvloed door deze bug.

Dit betekent dat als je hebt een “veilige” Apache of NGNIX webserver loopt – ongeveer tweederde van alle websites – uw site, in potentie, heeft geopend om aan te vallen al jaren. Sterker nog, als je al het uitvoeren van een netwerk services die OpenSSL gebruiken voor de veiligheid, zoals de Tor beveiligd netwerk, de Goldbug beveiligde instant messenger, of een groot aantal e-mail systemen, met inbegrip van, Yahoo Mail, is het mogelijk dat uw informatie is geweest zijn zwijgend geoogst door aanvallers.

Ik betwijfel of er massale data invallen geweest door criminelen, hoewel, gewoon omdat ik denk dat we allemaal kennisgeving zouden als miljarden dollars van de nep-credit-card transacties begonnen verschijnen op onze rekeningen. Nu, wat de; NSA heeft gedaan met SSL kwetsbaarheden is natuurlijk een andere vraag helemaal.

Maar nu dat iedereen weet dat het gat is die er zijn, en dat het is zo wijd open als een Interstate snelweg bij 2 in de ochtend, je durft niet een minuut om uw OpenSSL-software bij te werken wachten. Maar nadat u gepatcht hebt uw servers, je bent nog steeds niet klaar.

Je moet ook je oude SSL digitaal certificaat van uw Certificate Authority (CA) in te trekken en een nieuwe krijgen. Zonder nieuwe certificaten, uw oude sleutels – die moeten kunnen worden gehaald in de laatste paar dagen – kan nog steeds worden gebruikt dwars door uw gloednieuwe OpenSSL te lopen. Tenzij u het certificaat sleutels te veranderen, zou het zijn als je je oude slot vervangen door een gloednieuwe … dat neemt dezelfde oude sleutel.

Zodra dat is gebeurd, moet u uw gebruikers en klanten te vertellen dat het tijd is om hun wachtwoorden te veranderen. Ze zullen houden van dat, maar er is geen keuze in de zaak. Er is een reële kans dat terwijl het gat was geopend, waren hun wachtwoorden swiped en je kunt het zich niet veroorloven om hen te laten blijven om hun oude gebruiken.

Als je een gebruiker bent, hoef je niet wilt dat uw wachtwoord nog wijzigen. Wacht tot je hoort van uw service providers-of het nu een e-commerce site, uw bank, of een e-mail service provider, voor het bedenken van een nieuwe. Oh, en door de manier, voor het belang van medelijden’s halen een goed wachtwoord!

U kunt ook een bepaalde site met de heartbleed test om te zien of ze het gat nog hebben gepatcht. Grote sites, zoals Yahoo, hebben al vast het grootste probleem, maar kleinere sites zal achterblijven bij de groten. Wees gewaarschuwd, echter, dat deze test site is momenteel enorm overbelast en kan het even duren voordat u een resultaat uit te halen.

Voor een goed overzicht van welke sites, diensten en bedrijven hebben al de belangrijkste gat in de beveiliging aangesproken, kijk op het Internet Storm Center heartbleed vendor meldingen lijst.

Als een site verschijnt als nog steeds het gat niet-Niet-om het even welke transacties doorheen. Je zou gewoon vragen worden te worden beroofd.

Tot slot, ik zeg het niet graag, maar verwacht niet dat dit probleem op elk moment snel weg te gaan. Zoals Jeff Forristal de CTO van Bluebox Veiligheid, zei in een verklaring, “OpenSSL is zeer alomtegenwoordig op alle manieren van apparaten, systemen en servers, het gaat om het ecosysteem veel tijd nemen om alles bijgewerkt, en we zullen kijken naar een lange staart situatie die gemakkelijk kunnen uitstrekken in jaren.

 verhalen

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

Heartbleed: Welke programma’s zijn ‘kritieke infrastructuur’; heartbleed security patches komen snel en woedend; heartbleed bug treft Yahoo, Imgur, OKCupid sites, gebruikers geconfronteerd met het verlies van wachtwoorden; heartbleed: Serious OpenSSL zero-day kwetsbaarheid geopenbaard Apple brengt OS X 10.9.2 update patcht ernstig SSL bug

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer