비디오: Heartbleed Exploit - Discovery & Exploitation (십월 2024)
이번 주 뉴스는 Heartbleed 버그에 대한 논의로 인해 해커가 영향을받는 보안 서버의 메모리에서 직접 데이터를 수집 할 수 있습니다. 캡처 된 데이터에는 암호화 키, 암호 및 안전한 HTTPS 채널을 통해 전송 된 모든 데이터가 포함될 수 있습니다. 이 버그는 2 년 동안 존재 해 왔으며, 공격이 흔적을 남기지 않았기 때문에 얼마나 많이 악용되었는지 알 수 없습니다.
누가 취약한가?
LastPass의 암호 마법사가 제품의 보안 검사 보고서에 새로운 주름을 추가했습니다. 이제 약한 암호와 중복 암호를 표시하는 것 외에도 Heartbleed에 취약한 취약한 저장된 사이트가 나열됩니다. 많은 LastPass 사용자들에게 보고서에 대한 결과를 보내달라고 요청했습니다.
LastPass에 200 개가 넘는 암호가 저장되어 있습니다. 그중 6 개만 취약한 것으로보고되었으며 2 개는 이미 패치되었습니다. 동료의 결과를 추가 한 결과, 취약한 사이트 50 개가 발견되었으며 그 중 30 개는 여전히 패치되지 않았습니다.
LastPass 보고서는 버그를 수정하기 위해 패치 된 사이트의 비밀번호를 변경하도록 권장합니다. 다른 사람들에게는 새 암호가 여전히 취약하기 때문에 사이트에서 업데이트를 발표 할 때까지 기다리는 것이 좋습니다. 나 자신을 위해 Heartbleed를 모닝콜로 사용하여 모든 비밀번호를 변경하고 모든 비밀번호를 변경하고 두 사이트에서 동일한 비밀번호를 사용하지 않도록하십시오. 여전히 취약한 사이트의 비밀번호를 수정 한 후에는 비밀번호를 다시 변경해야하지만 비밀번호를 모두 변경하면 노출 가능성이 최소화됩니다.
최고 상점
다른 견해로는 Alexa의 가장 인기있는 쇼핑 사이트 20 곳을 가져 와서 몇 가지 온라인 테스트를 진행했습니다. Filippo Valsorda 연구원은 Heartbleed 뉴스가 나간 직후에 테스트를 작성했습니다. LastPass는 주문형 테스트도 진행합니다
Valsorda의 테스트 결과가 약간 혼란 스럽습니다. 테스트 한 결과 20 개 사이트 중 5 개 사이트에 대해 "브로큰 파이프"또는 "i / o 시간 초과"와 같은 오류 메시지가 반환되었습니다. 테스트 결과 "고정되었거나 영향을받지 않았다"고보고 된 9 개의 사이트에서 건강 상태가 깨끗했습니다. 나머지 6 개는 컨텐츠 전달 네트워크로의 연결이 전달되어 CDN의 인증서가 입력 한 도메인과 일치하지 않아 오류 메시지를 표시했습니다. 인증서를 무시하기 위해 상자를 선택하면 이러한 모든 "고정 또는 영향을받지 않은"결과가 발생하지만 테스트 페이지는 이것이 잘못된 결과 일 수 있다고 경고합니다.
LastPass에서 제공하는 테스트 페이지는 더 많은 정보를 제공합니다. 10 곳의 사이트가 안전하지 않은 것으로보고되었습니다. 이는 테스트에서 사이트가 Heartbleed 버그의 영향을받는 암호화 라이브러리 인 OpenSSL을 사용하는지 여부를 확인할 수 없음을 의미합니다. 사이트 중 4 개는 OpenSSL을 사용하기 때문에 취약했을 것입니다. 그 중 2 개는 안전합니다. 다른 4 개의 사이트는 확실히 취약하지 않았으며, 확실히 취약한 사이트는 이제 안전합니다. 연결 오류로 인해 분석 할 수없는 하나의 사이트 만 남습니다.
LastPass Heartbleed 테스터는 또한 최근에 각 사이트의 SSL 인증서가 변경된시기를보고합니다. Heartbleed에 대한 뉴스가 나온 직후에 변경된 인증서는 사이트가 영향을 받았지만 이제는 안전하다는 꽤 좋은 증거입니다.
상태가 불분명 한 모든 사이트는 사이트 자체에서 알림을 기다리는 것이 가장 좋습니다. 그래도 조심하십시오. 이메일로받은 비밀번호 재설정 링크를 클릭하지 마십시오. 그 중 일부는 사기이기 때문입니다. 사이트로 직접 이동하여 비밀번호를 변경하고 비밀번호 관리자가 변경 사항을 선택했는지 확인하십시오.
여기에서 PCMag의 Heartbleed 버그에 대한 지속적인 내용을 확인하십시오.
