חדשות השבוע נשלטו על ידי דיונים בנושא באג Heartbleed, המאפשר להאקרים לגייס נתונים ישירות מהזיכרון של שרתים מאובטחים מושפעים. הנתונים שנלכדו עשויים לכלול מפתחות הצפנה, סיסמאות וכל מידע שנשלח דרך ערוץ HTTPS מאובטח כביכול. החיידק קיים כבר למעלה משנתיים, ומכיוון שההתקפה לא משאירה עקבות, אין לנו מושג כמה הוא מנוצל.
מי פגיע?
אשפי הסיסמאות ב- LastPass הוסיפו קמט חדש לדוח בדיקת האבטחה של המוצר. כעת, בנוסף לסימון סיסמאות חלשות ומשוכפלות, הוא מפרט את כל האתרים השמורים שלך שפגיעו או היו חשופים ל- Heartbleed. ביקשתי ממספר משתמשי LastPass אחרים לשלוח לי את תוצאות הדו"ח, רק כדי להרגיש מה שם בחוץ.
יש לי מעל 200 סיסמאות המאוחסנות ב- LastPass בעצמי. רק שישה מהם דווחו כפגיעים, ושניים כבר טופלו. הוספתי תוצאות של עמיתי, ראיתי 50 אתרים פגיעים, כאשר 30 מהם עדיין לא טופלו.
דוח LastPass ממליץ לשנות את הסיסמה שלך לאתרים שנדונו כדי לתקן את הבאג. עבור האחרים, זה מציע להמתין עד שהאתר יודיע על עדכון, מאחר והסיסמה החדשה שלך עדיין תהיה פגיעה. לעצמי, הייתי מציע לקחת את Heartbleed כשיחת השכמה כדי לשנות את כל הסיסמאות שלך, לוודא שכל אחת מהן חזקה וששום אתרים לא משתמשים באותה סיסמה. תצטרך לשנות סיסמאות לאתרים פגיעים עדיין לאחר שתוקנו, אך שינוי כולם כעת ממזער את פוטנציאל החשיפה.
חנויות מובילות
לצפייה נוספת, לקחתי את 20 אתרי הקניות הפופולריים ביותר של אלכסנדרה וניהלתי אותם בכמה בדיקות מקוונות. החוקר פיליפו וולסורדה יצר מבחן זמן קצר לאחר שפורסמו חדשות הלב. LastPass מתארח גם במבחן לפי דרישה
מצאתי את תוצאות הבדיקה של וולסורה קצת מבלבלות. הבדיקה החזירה הודעת שגיאה כמו "צינור שבור" או "פסק זמן ל- i / o" לחמישה מתוך 20 האתרים שניסיתי. תשעה אתרים קיבלו שטר בריאות נקי, מכיוון שהבדיקה דיווחה שהם "קבועים או לא הושפעו". ששת הנותרים החזירו הודעת שגיאה בגלל העובדה שהחיבור הועבר לרשת מסירת תוכן, ותעודת ה- CDN לא תואמה לתחום שהזנתי. סימון התיבה כדי להתעלם מתעודות קיבל את כל התוצאות "קבועות או לא מושפעות", אך דף הבדיקה מזהיר שזו יכולה להיות תוצאה שגויה.
דף הבדיקה המסופק על ידי LastPass נותן מידע רב יותר. היא דיווחה על עשרה מהאתרים כבלתי בטוחים. המשמעות היא שהבדיקה לא הצליחה לקבוע אם האתר משתמש ב- OpenSSL, או ספריית הקריפטו המושפעת מהבאג Heartbleed. ארבעה מהאתרים היו ככל הנראה פגיעים, מכיוון שהם משתמשים ב- OpenSSL, ושניים מהם בטוחים כעת. ארבעה אתרים אחרים בהחלט לא היו פגיעים, ואחד שהיה בהחלט פגיע הוא כעת בטוח. זה משאיר רק אתר אחד שלא ניתן היה לנתח אותו בגלל שגיאת חיבור.
הבוחן של LastPass Heartbleed מדווח גם באחרונה כיצד שונה תעודת ה- SSL של כל אתר. תעודה שהשתנתה זמן קצר לאחר הידיעה על שבירת Heartbleed היא אינדיקציה די טובה לכך שהאתר הושפע אך כעת הוא בטוח.
באשר לכל האתרים שמעמדם לא ברור, הכי טוב להמתין להודעה מהאתר עצמו. עם זאת, היו זהירים. אל תלחץ על קישור לאיפוס סיסמה שתקבל בהודעת דוא"ל, מכיוון שחלק מאלו הם הונאות. נווט ישירות לאתר, שנה את הסיסמה וודא שמנהל הסיסמאות שלך מרים את השינוי.
המשיכו עם הסיקור השוטף של PCMag בנושא באג Heartbleed כאן.
