Добро пожаловать в мир после сердце. Мы пропатчили наши серверы и заменяем наши сертификаты SSL. Но то, что наши серверы исправны, не означает, что остальная часть Интернета исправлена. У нас есть сотрудники, и они используют Интернет для обмена секретами, такими как номера кредитных карт и учетные данные для входа в систему. Они обращаются к нам за советом.
Мы можем посоветовать нашим клиентам использовать тестовая страница Heartbleed чтобы узнать, есть ли уязвимость на сайте, на который они хотят перейти. Если сайт дает положительный результат, не делитесь с ним секретами. Но если сайт не положительный результат для Heartnet, тогда ситуация может быть любой из:
Есть ли какие-либо средства, которые мы можем дать нашим сотрудникам, прежде чем они введут номер своей кредитной карты в форму, чтобы сообщить хорошо сценарии из плохой те?
Как мы проинструктируем наших сотрудников, чтобы они минимизировали доступ к серверам, взломанным Heartbleed?
По сути, нет, нет одного способа отличить хорошие сценарии от плохих, потому что ваши пользователи не имеют полной видимости систем, которые они используют.
Степень ущерба, нанесенного ошибкой, все еще в значительной степени неизвестна, большая часть ущерба была потенциально нанесена в прошлом и продолжит оказывать влияние на Интернет в течение длительного времени. Мы просто не знаем, какие секреты были украдены, когда и кем.
Например: сердце Google OpenSSL истекает кровью около года. Неизвестные злоумышленники собирают серверы и ищут интересные секреты - опять же, мы не можем узнать, сделали они это или нет - пока не найдут учетную запись, принадлежащую кому-то с авторизованным доступом к другой системе, например Twitter.com или AnyBank. co.uk или dev.redhat.com. Имея доступ к таким учетным записям, они потенциально могут продолжать копать, получать доступ к другим системам, наносить другой ущерб (видимый или невидимый), и далее компрометировать другие учетные записи - без каких-либо подозрений о происхождении взлома. На этом этапе вы уже далеко от истекающих кровью серверов OpenSSL, и это одно из самых неприятных последствий Heartbleed. К этому добавляется риск взлома закрытых ключей серверов.
На формирование доверия требуется много времени, и его можно быстро потерять. Я не говорю, что раньше у нас не было проблем с доверием в Интернете, но Heartbleed определенно не помог. Устранение повреждений займет много времени, и понимание этого является частью понимания того, как вы можете защитить себя и своих сотрудников / клиентов / начальников и т. Д. - и как вы не можете этого сделать. Есть вещи, которые вы можете контролировать, чтобы ограничить вашу уязвимость, а есть вещи, которые вы не можете контролировать, но они все равно будут влиять на вас. Например, вы не можете контролировать, как все остальные решат реагировать на эту уязвимость - как сообщается, АНБ обнаружило ошибку, но промолчало. Это было очень плохо для всех нас, но у нас не было способа защитить себя от этого.
Как пользователь Интернета вы можете и должны:
Проверьте посещаемые веб-сайты на предмет Heartbleed (неполный контрольный список):
Использует ли сервер OpenSSL?
Используется ли на сервере версия OpenSSL без Heartbleed? Убедитесь, что ваш инструмент check-for-heartbleed действительно проверяет уязвимость, а не HTTP-заголовок или какой-либо другой «индикатор».
Была ли у любой предыдущей версии OpenSSL Heartbleed?
Здесь мы возвращаемся к доверию: когда вы теряете чье-то доверие, это плохо. Особенно, если это ваш пользователь / клиент / начальник. Чтобы вернуть их доверие, вы должны снова начать строительство и открыться для диалога.
Вот что может опубликовать веб-администратор для начала:
И если предыдущая версия OpenSSL была уязвима:
Если вы являетесь пользователем, у вас есть полное право запрашивать такую информацию, и вы должны это делать ради всех пользователей сервиса. Это повысит видимость для сообщества специалистов по безопасности и упростит для пользователей минимизацию их воздействия на взломанные серверы.