Жизнь после Heartbleed: как обезопасить себя в интернете

+ Додати
    тему
Відповісти
на тему
Інше та Різне для тем, які не підходять для жодного з Форумів. Популярні тут теми можуть бути винесені в окремі Форуми.
Повідомлення Додано: Чет 17 кві, 2014 09:18

Жизнь после Heartbleed: как обезопасить себя в интернете

Жизнь после Heartbleed: как обезопасить себя в интернете

Критическая ошибка в криптографическом пакете OpenSSL стала одной из самых серьёзных угроз безопасности за всю историю интернета. На протяжении двух лет через неё можно было выполнять скрытый и совершенно бесследный несанкционированный доступ к большей части узлов Всемирной паутины. Как защитить себя во враждебном сетевом окружении, где разом было утрачено доверие к SSL-сертификатам и защищённому протоколу HTTPS?

Из-за уязвимости Heartbleed под ударом оказались серверы популярных сайтов, компьютеры удалённых пользователей и сетевые устройства сложнее хаба. Компания Cisco представила впечатляющий список оборудования, который подвержен данной ошибке. Другие фирмы сейчас либо готовят аналогичные списки, либо просто игнорируют проблему.

Даже после выхода патча многие узлы в сети останутся уязвимыми неопределённо долго. Авторизация на сайтах и в почте, использование онлайн-банкинга и интернет-магазинов — всё это теперь крайне рискованно. Пользователям следует перестать полагаться исключительно на репутацию брендов и начать самим предпринимать активные шаги. Вот краткий перечень того, как можно повысить свою безопасность:

проверить домашний роутер по спискам уязвимого оборудования, обновить прошивку (если она вышла после седьмого апреля) или отключить удалённое администрирование;
выполнять проверку наличия незакрытой уязвимости Heartbleed на всех сайтах, работающих по протоколу HTTPS, перед их посещением;
сгенерировать стойкие пароли. Их не обязательно хранить или помнить: есть проверенный способ, о котором написано ниже;
сменить все пароли (а также секретные вопросы для их восстановления);
перейти (где это технически возможно) на двухфакторную авторизацию.
Теперь обо всех перечисленных этапах подробнее.

Когда стало известно об уязвимости Heratbleed, владельцы сайтов поспешили перейти на исправленную версию пакета OpenSSL и перевыпустили скомпрометировавший себя цифровой сертификат SSL. К сожалению, столь разумно пока среагировали лишь единицы.

Помимо слегка перегруженного сайта Possible, ещё одна форма для проверки любого сайта представлена здесь. Реализована она далеко не идеально — требует прямого указания порта (обычно это 443) и грешит ложноположительными результатами.

Проверка наличия уязвимости Heartlbeed на сайте магазина Google Play (скриншот сайта filippo.io).
Проверка наличия уязвимости Heartlbeed на сайте магазина Google Play
(скриншот сайта filippo.io).

Косвенно убедиться в том, что на конкретном сайте проблема была устранена, можно по дате выдачи его сертификата. Он должен быть сгенерирован после седьмого апреля этого года — дня публикации патча. Сделать такую проверку можно на специализированном веб-сервисе. Просто введите имя сайта и… скорее всего, вы убедитесь, что он до сих пор уязвим к данному виду атаки.

Проверка наличия уязвимости Heartlbeed на сайте Facebook (скриншот сайта lastpass.com).
Проверка наличия уязвимости Heartlbeed на сайте Facebook (скриншот сайта lastpass.com).

Более продвинутая методика тестирования сайта работает на сайте SSL Labs. Недавно в неё была добавлена отдельная проверка на уязвимость Heartbleed.

Проверка сайта дополнений для браузера Firefox (скриншот сайта ssllabs.com).
Проверка сайта дополнений для браузера Firefox (скриншот сайта ssllabs.com).

Коснулась ли ошибка в OpenSSL именно вас, узнать практически невозможно. Её использование не оставляет никаких следов и выглядит совершенно легитимно для всех защитных программ. Поэтому на уровне пользователя в таких случаях срабатывает универсальное правило смены всех паролей доступа.

Здесь возникает новая дилемма: поскольку десятки новых паролей легко забыть, их либо придумывают попроще, либо где-то записывают. Часто это обыкновенная бумажка или текстовый файл.

Брелок — устройство, позволяющее потерять все ключи одновременно.

Более продвинутые пользователи используют менеджеры паролей. В этих программах все данные для авторизации на различных ресурсах хранятся в зашифрованном файловом контейнере, доступ к которому открывается после ввода мастер-пароля — единственного, который в такой схеме приходится помнить.

Главный недостаток метода заключается в том, что, забыв мастер-пароль или повредив базу, пользователь лишается доступа сразу ко всему. Аналогично, в случае удачной атаки на зашифрованный контейнер, такая программа позволяет скомпрометировать все ваши пароли сразу.

К тому же надёжность большинства менеджеров паролей довольно сомнительна. Они сами часто содержат ошибки в реализации криптографических схем или вовсе дублируют данные в открытом виде, забывая удалять их из оперативной памяти и временных файлов. Например, во время аудита программы LastPass 2.0.20 специалисты Sophos обнаружили, что все пароли браузера Internet Explorer сохраняются в дампе памяти.

Не хранить, а творить!

Между тем существует универсальный способ превратить легко запоминающийся и даже очевидный пароль в стойкий ко взлому. Основан он на свойствах хеш-функций и весьма удобен в повседневной практике.

Лёгкий пароль должен содержать какую-то очевидную переменную часть. Например, имя сайта. Помимо неё, надо добавить что-то уникальное и постоянное, называемое «солью». Пусть в нашем примере это будет число сорок два. Выбираем любую хеш-функцию (как вариант — MD5) и вычисляем её, подставляя в качестве исходных данных наш «солёный» пароль.

Таким образом примитивный пароль «vk.com42» превращается в стойкий «EE61518029FF5AF634C1A867B064D600», а «twitter.com42» — преобразуется в «28D1FF535970D9927B099BB0897677CF». Именно эти последовательности из тридцати двух символов и следует использовать для доступа на сайты «ВКонтакте» и Twitter соответственно.

Запоминать их нет смысла, так как легко вспомнить сам метод получения. Нужный пароль отображается сразу после ввода комбинации [имя_сайта + соль] в любом хеш-калькуляторе и переносится через буфер обмена (который потом сразу очищается вручную).

Вычисление хеш-функции MD5 произвольной строки (скриншот).
Вычисление хеш-функции MD5 произвольной строки (скриншот).

Для Windows это может быть бесплатный DAMN Hash Calculator, а для Android — Hash Droid. Кроме того, существуют онлайн-сервисы вычисления хеш-функций строки или файла через простейшую форму на сайте.

Веб-сервис для вычисления хэш-функции MD5 (скриншот сайта onlinemd5.com/).
Веб-сервис для вычисления хеш-функции MD5 (скриншот сайта onlinemd5.com/).

Примечание: Старайтесь использовать только цифры и символы латиницы. Буквы кириллицы имеют разные коды в национальных кодировках. Содержащие их пароли будут по-разному обрабатываться другими хеш-калькуляторами.

Дополнительно можно повысить стойкость таких паролей, внеся в них некоторые модификации. Например, удалить последний знак, поменять местами два первых, использовать одну хеш-функцию и сокращать результат до размера другой... Вариантов масса. Каким будете пользоваться именно вы, узнать практически невозможно.

Когда есть сомнения в надёжности самой схемы авторизации, считают, что атакующая сторона способна перехватить пароль. В таком случае его длина и сложность уже не играют важной роли, а требуется дополнительный уровень защиты.

Двухфакторная схема авторизации подразумевает, что, помимо пароля, легитимный пользователь предоставляет для входа в систему что-то ещё. Это может быть аппаратный ключ, биометрические данные или дополнительный пароль, отправляемый ему после ввода первого по другому каналу связи (например, в СМС).

Именно таким образом уже работает большинство платёжных систем. Есть надежда, что уязвимость Heartbleed простимулирует более широкое внедрение двухфакторных схем аутентификации, обратит внимание пользователей на современные методы защиты данных и поспособствует оздоровлению интернета в целом.
http://www.computerra.ru/97999/heartble ... afterlife/
ТупУм
Аватар користувача
Критикан
 
Повідомлень: 4928
З нами з: 25.01.06
Подякував: 25 раз.
Подякували: 451 раз.
 
Профіль
Повідомлення Додано: Пон 30 лис, 2015 16:40

Развенчивание мифов про безопасные пароли

Зображення
Большинство веб-сайтов, которыми мы пользуемся в наши дни, как правило, оценивают степень безопасности паролей, которые Вы создаете при настройке нового аккаунта, от «слабый» до «сильный». Они также советуют Вам использовать сочетание прописных и заглавных букв вместе с цифрами для создания более безопасного пароля. Впрочем, как бы ни были хороши все эти советы, они не смогут точно сказать Вам, какой должен быть порядок таких сочетаний.

По счастливой случайности, оказалось, что почти каждый из нас склонен ставить заглавные буквы в начале пароля, а цифры – в конце. Такая закономерность была установлена группой экспертов по безопасности, которые работают во французском исследовательском институте Eurecom.

Результаты их исследования, представленные на последней конференции ACM по безопасности компьютеров и коммуникаций в Денвере, показали, что мы не совсем понимаем, что представляет собой безопасный пароль, и это непонимание несет угрозу нашей конфиденциальности.

Программы, традиционно используемые кибер-преступниками для подбора паролей, обрабатывают определенные комбинации паролей до тех пор, пока не найдут подходящего пользователя.

Однако современные методы не основаны на случайных предположениях. Преступники теперь могут обучать программное обеспечение с помощью огромных списков паролей (например, как пароли 130 млн. пользователей Adobe, которые были украдены в 2013 году), что позволяет находить наиболее часто используемые комбинации. Такой метод позволяет им получить более реальный шанс успешного завершения своих атак.

Отталкиваясь от данной предпосылки, эксперты использовали программу (подобно той, что используют преступники) для анализа свыше 10 миллионов паролей. Такая работа была проделана с той целью, чтобы составить список тех паролей, которые преступники могут наиболее просто подобрать.

В отчете описываются некоторые наборы паролей, которые были слиты в интернет в недалеком прошлом и те наборы, которые будут использоваться в эксперименте (Rockyou, содержащий 32 миллиона паролей, слитый в 2009 году; Xato – 10 миллионов паролей, появившихся на сайте Xato.net в феврале этого года).

Также описываются три модели для подбора пароля (или три алгоритма взлома пароля):

1) Использование N-грамм – последовательностей из N элементов.

2) Использование стохастической контекстно-свободной грамматики (PCFGs)

3) Дисконтная модель Катца («Backoff»)

...

Отныне целью пользователей должно стать создание таких паролей, которые вообще не предсказуемы, независимо от того, включают они в себя цифры, прописные или заглавные буквы. Авторы исследования заявили, что пароли следует делать длиннее, при необходимости даже добавляя несколько слов.

Данное исследование должно помочь людям быть более осведомленными по вопросам создания новых безопасных паролей, что поможет им еще лучше защитить свои аккаунты. Хотя, к сожалению, авторы не гарантируют «железный» способ создания полностью безопасных паролей, но уверяют, что описанный ими метод все же является самым безопасным на текущий момент.

С другой стороны, исследователи обращают внимание на то, что технологические компании стали меньше внимания уделять паролям, как средствам доступа к аккаунтам, и что они рассматривают альтернативные средства там, где это возможно. При этом постоянно появляются новые способы расшифровки регистрационных данных, в результате чего они становятся все менее защищенными.

http://habrahabr.ru/company/panda/blog/271953/
ТупУм
Аватар користувача
Критикан
 
Повідомлень: 4928
З нами з: 25.01.06
Подякував: 25 раз.
Подякували: 451 раз.
 
Профіль
Повідомлення Додано: Пон 30 лис, 2015 16:56

Re: Развенчивание мифов про безопасные пароли

Знаю банк, где пароль для инет-банка не более 10 символов. И СМС при входе нету.
cheburek3
 
Повідомлень: 337
З нами з: 13.12.10
Подякував: 71 раз.
Подякували: 18 раз.
 
Профіль
Повідомлення Додано: Чет 28 січ, 2016 17:56

Чи безпечно залишати свої особисті дані в Інтернеті?

Пчёлка
 
Повідомлень: 1470
З нами з: 06.11.13
Подякував: 4 раз.
Подякували: 42 раз.
 
Профіль
Повідомлення Додано: Сер 17 лют, 2016 10:51

Для меня этот вопрос - целое испытание. У меня вообще по этому поводу - своя теория.
anna_krav
Аватар користувача
 
Повідомлень: 49
З нами з: 01.02.16
Подякував: 2 раз.
Подякували: 1 раз.
 
Профіль
Повідомлення Додано: Сер 17 лют, 2016 10:56

У меня тоже есть такой на примете. Мне вот интересно, не один ли и тот же банк мы знаем?
anna_krav
Аватар користувача
 
Повідомлень: 49
З нами з: 01.02.16
Подякував: 2 раз.
Подякували: 1 раз.
 
Профіль
Повідомлення Додано: Чет 09 чер, 2016 11:36

Як захистити дитину в Інтернеті

Інтернет – штука корисна. Але деколи він буває небезпечним для підростаючого покоління. Список Інтернет-загроз значний.

Це і порнографічні сторінки, інформація про наркотики, суїцид, небезпечні хобі, сцени насильства, спілкування з незнайомцями, які мають злочинні мотиви. Діти випадково можуть заразити комп’ютер шпигунськими або вірусними програмами. Нарешті, вони можуть, скориставшись батьківською кредиткою, зробити велику покупку в Інтернеті. Як вберегти себе і свою дитину від подібних ситуацій, пише “Единственная”.

Не забороняй
Перше, що хочеться зробити – це заборонити, винести з будинку всі гаджети або замкнути їх у коморі на ключ. Повна заборона призведе лише до того, що дитина перестане тобі довіряти. В Інтернет він зможе виходити з комп’ютера приятеля або з телефону в школі.

Розкажи про небезпеку
Начитавшись жахів про те, що можна знайти в Інтернеті, ти біжиш до дитини, щоб висловити йому свої побоювання. Найчастіше розмова виходить абстрактною. Дитина погано сприймає неструктуровану інформацію, а значить, ви поговорили ні про що. Для того, щоб твоя дитина зрозуміла тебе, потрібно наводити конкретні приклади. Що більше таких прикладів, то зрозуміліше буде дитині, що ти хочеш від неї. Говори з нею про проблеми частіше.

Встанови режим
Відібрати у дитини планшет, тоді як інші члени сім’ї зависли в своїх гаджетах, практично неможливо. Встанови правило: в певний час вся сім’я вимикає свої гаджети, і не торкається до них до зазначеного в загальній домовленості часу. Звичайно ж, хтось із вас буде шахраювати, але це все одно краще прямої заборони.

Встанови батьківські фільтри
Практично у всіх великих виробників є фільтри, які дбають про безпеку твоєї дитини в Мережі. Вони встановлюються як на комп’ютери, так і на планшети, і телефони, і відфільтровують небажаний контент. Також вони можуть обмежувати час перебування дитини в Інтернеті, надавати статистику дзвінків і смс, і т. п. Для того, щоб відстежувати новий небажаний контент, яким цікавиться дитина, краще не користуватися чорними списками сайтів, а вибрати програму, яка фільтрує сторінки, виходячи з аналізу заголовків і вмісту.

Не обмежуй свободу дитини в соцмережах
Право на приватне життя маєш не тільки ти, але і твоя дитина. Не варто читати її листування і шпигувати. Єдиний варіант бути в курсі того, що відбувається, це стати віртуальним другом дитини. Але і тут не варто нав’язуватися – не задавай зайвих питань, не давай порад, не лайкай все підряд. А ще навчіть дитину правилам поведінки в соцмережах, а також тому, що треба сумніватися і задавати питання незнайомим людям. Варто розповісти, що зустрічатися в реалі з новими знайомими з Мережі, не сказавши про це дорослим, а також розкривати особисту контактну інформацію не можна! Розкажи про небезпеки, попередь про наслідки.
Пчёлка
 
Повідомлень: 1470
З нами з: 06.11.13
Подякував: 4 раз.
Подякували: 42 раз.
 
Профіль
Повідомлення Додано: П'ят 10 лют, 2017 15:03

Безпека в Інтернеті: що потрібно знати

Від соціальних мереж – до онлайн-банкінгу: сьогодні Інтернет проник у наше життя і діяльність. Окрім комп’ютерів та ноутбуків, ми підключаємо до Інтернету все – мобільні телефони, планшети, холодильники, телевізори й багато інших портативних пристроїв. Саме тому дуже важливо знати якомога більше про безпеку у Всесвітній мережі.

Необхідно віднайти правильні способи захисту нашого приватного життя, коли ми перебуваємо онлайн.

Багато хто думає, що безпека в Інтернеті – це ілюзія, і бути захищеним зараз неможливо, адже веб-сайти збирають конфіденційну інформацію так тонко, що ми навіть не знаємо що саме їм відомо. Це, можливо, й так, але ця невпевненість – ще одна причина, щоб зберегти свою приватність та уникнути витоку персональних даних в Інтернет.

Чи є щось, що ми можемо зробити, аби бути більш захищеним коли займаємося серфінгом в Інеті, крім того, що не показувати свої паролі, або не надавати забагато особистої інформації?

Ось декілька непоганих способів, які можна використовувати для збереження вашої персональної інформації.

Оновлення програмного забезпечення

Найкращим захистом від вірусів є не антивірусний захист, своєчасне оновлення програмного забезпечення. Адже його розробники слідкують за можливими загрозами і намагаються захистити свої продукти нововведеннями. Тому, коли ваш пристрій пропонує вам оновлення – не ігноруйте це!

Зображення

Перевірка сайтів

Наполегливо рекомендуємо не вводити персональну інформацію (логін, пароль, номер телефону чи платіжної карти) на запити неперевірених сайтів.

Такі дані можна надавати лише тим ресурсам, які вже пройшли вашу перевірку, або відомим мережам (наприклад, Google, Facebook, Rozetka, ваші блоги на інформаційних ресурсах тощо).

І ще – обов’язково перевіряйте назву сайту в адресному рядку браузера (http://www.google.com.ua а не http://www.goolge.com.ua).

Вводити ж інформацію з платіжних карток чи паролі від них можна лише на сайтах зі значком «замочка» в адресному рядку. Таке з’єднання вважається захищеним, а ваші дані не потраплять до рук сторонніх осіб.

Зображення
Фішинг – виловлювання інформації

Останнім часом став популярним такий різновид шахрайства як фішинг. Мета фішингу – отримання доступу до конфіденційної інформації користувача (логінів, паролів, даних платіжних карток).
Фішингові повідомлення, зазвичай, приходять на електронну пошту і спонукають до негайних дій, не залишаючи часу на роздуми. Шахрайські повідомлення найчастіше надходять від імені відомих брендів, знайомих, друзів чи банків та впливають на емоційне сприйняття інформації. Вони можуть:

– викликати тривогу за стан своїх банківських рахунків;

– обіцяти грошові вигоди з докладанням мінімальних зусиль (лотереї, повідомлення про можливий неочікуваний спадок тощо);

– пропонувати фінансові угоди з неймовірно вигідними умовами;

– закликати до пожертв після новин про стихійні лиха чи ще щось або ж звертатися до вашого милосердя, пропонуючи допомогти хворим дітям.

Фішинг може використовувати не лише розсилку листів на електронні адреси, але й онлайн-оголошення, результати пошукових систем, імітацію «випливаючих» вікон із системними повідомленнями, смс-повідомлення розповсюдження інформації у соціальних мережах.

Не натискайте на подібні оголошення. Перевірте їх. Задля простої і швидкої перевірки – рідним чи друзям можна зателефонувати, благодійні фонди чи банки мають офіційні контакти, через які можна уточнити будь-яку інформацію, а якщо листи від незнайомих вам осіб чи джерел – просто ігнорувати її.

Увага! Пароль!

Безпечний пароль – це перша гарантія того, що ваша особиста інформація перебуває під надійним «замком».
Пароль має бути складним (букви й цифри, великі й малі, не менше ніж 8 символів). Паролі до різних ресурсів мають бути різними.

Запам’ятайте, пароль не має містити особистих даних (наприклад, прізвище чи дату народження).

Паролі до важливих ресурсів (електронна пошта, сторінка в соціальній мережі) потрібно змінювати хоча б раз у 3 місяці. Якщо ж у вас багато паролів до різних ресурсів записуйте їх або використовуйте програми зберігання паролів, наприклад, KeePass.

Для надійнішого захисту використовуйте двохфакторну автентифікацію, де це можливо!


З інтернет ресурсів
Пчёлка
 
Повідомлень: 1470
З нами з: 06.11.13
Подякував: 4 раз.
Подякували: 42 раз.
 
Профіль
Повідомлення Додано: Нед 12 бер, 2017 21:54

Пчёлка
Гарні поради, діти такі наївні, треба обовязково захистити їх від непотрібної інформації
Надеждачка
 
Повідомлень: 72
З нами з: 07.10.16
Подякував: 1 раз.
Подякували: 3 раз.
 
Профіль
Форум:
+ Додати
    тему
Відповісти
на тему
Зараз переглядають цей форум: Немає зареєстрованих користувачів і 0 гостей
Модератори: Ірина_, Модератор

Схожі теми

Теми
Відповіді Перегляди Останнє
10 22175
Переглянути останнє повідомлення
Пон 12 лип, 2021 15:02
Тоха
Топ
відповідей
Топ
користувачів
реклама
Реклама