Heartbleedからの回復方法

良いニュースがあります:OpenSSL Heartbleedセキュリティホールのパッチは、すべての主要なオペレーティングシステムで利用できるようになりました。悪いニュースは次のとおりです。パッチをインストールするだけでは、サーバーやユーザーを攻撃者から保護するだけでは不十分です。最悪のニュースは次のとおりです。ユーザー全員がパスワードの最後の1つをリセットする必要があります。

この問題を無視することができます。あなたはあえてそうはしません。パッチが適用されていないOpenSSL 1.01または1.02betaを実行している限り、ハッカーがセキュリティシステムをクラックさせ、自分のサーバーとユーザー情報の両方にアクセスすることは自明ではありません。このホールは、2012年初めからOpenSSLの最新バージョンを使用しているシステムに存在していました。MicrosoftのAzure SSLなどの他のSSL実装は、このバグの影響を受けません。

つまり、すべてのWebサイトの約2/3をApacheまたはNGNIXのWebサーバーで実行していた場合、サイトは何年も攻撃を受けている可能性があります。実際に、Tor Secureネットワーク、Goldbugセキュア・インスタント・メッセンジャー、またはYahoo Mailを含む多くの電子メール・システムなど、セキュリティのためにOpenSSLを使用するネットワーク・サービスを実行している場合は、情報が存在している可能性があります黙って攻撃者によって収穫される。

私は、犯罪者による大量のデータ攻撃があったのではないかと疑っています。なぜなら、数十億ドルの偽のクレジットカード取引が私たちの請求書に現れ始めると、さて、NSAがSSL脆弱性で行ってきたことは、もちろん、まったく別の質問です。

しかし、今では誰もが穴があることを知っているので、それは午前中2時の州際高速道路と同じくらい開いているので、OpenSSLソフトウェアを更新するために1分待つことはできません。しかし、サーバーにパッチを当てても、まだ完了していません。

また、認証局(CA)から古いSSLデジタル証明書を取り消し、新しい証明書を取得する必要があります。新しい証明書がなければ、ここ数日でスワイプされた可能性のある古い鍵は、そのままあなたの新しいOpenSSLを歩いて歩くことができます。証明書の鍵を変更しない限り、古い鍵を新しい鍵で置き換えたのと同じことです。同じ古い鍵を使用します。

それが完了したら、ユーザーと顧客にパスワードを変更する時期であることを伝える必要があります。彼らはそれを愛するだろうが、問題に選択肢はない。穴が開いている間にパスワードがスワイプされ、古いパスワードを引き続き使用する余裕がないという本当のチャンスがあります。

あなたがユーザーの場合は、まだパスワードを変更したくないです。新しいサービスをご利用になる前に、サービスプロバイダー(電子商取引サイト、銀行、または電子メールサービスプロバイダー)から連絡があるまでお待ちください。ああ、ところで、同情のために良いパスワードを選んでください!

Heartbleedテストで特定のサイトをチェックして、まだ穴にパッチを当てているかどうかを確認することもできます。ヤフーなどの主要サイトはすでに主要な問題を修正しているが、小規模なサイトは大きなサイトの後ろにあるだろう。ただし、このテストサイトには現在非常に負荷がかかり、その結果を得るまでにはしばらく時間がかかることに注意してください。

どのようなサイト、サービス、および企業が既に主要なセキュリティホールに対処しているかについては、Internet Storm Centerのベンダー通知リストを参照してください。

サイトがまだ穴を持っているように見える場合は、Do not Doをしてください。あなたは奪われることを求めているだけでしょう。

最後に、私はそれを言いたくはありませんが、すぐにこの問題が解消するとは思わないでください。 Bluebox SecurityのCTOであるJeff Forristal氏は、次のように述べています。「OpenSSLは、デバイス、システム、およびサーバーのすべての仕方で非常に普及しており、すべてを更新するためのエコシステムを大幅に短縮する予定です。容易に長年に及ぶことができる長いテールの状況。

 ストーリー

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

Heartsed:どのようなプログラムが「重要なインフラストラクチャー」ですか?Heartbleedセキュリティパッチが急速に激しくなります。HeartbleedバグはYahoo、Imgur、OKCupidサイトに影響を与え、ユーザーはパスワードを失います。Heartsed:深刻なOpenSSLゼロデイ脆弱性が明らかになり、AppleはOS X 10.9.2アップデート、深刻なSSLバグのパッチ

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命