Som en almindelig internetbruger forventer du, at baggrunden for internettet kun fungerer . Alt der foregår bag kulisserne, al kryptering, alle håndtryk og enhver lille transaktion skal kunne give dig en sikker måde at kommunikere og gøre din virksomhed online uden at skulle bekymre dig om hackere, der prowler på alle dine træk. Desværre er det ikke sådan, hvordan internettet fungerer, og OpenSSL "Heartbleed" bug er et definitivt bevis på dette. Der er nogle ting, du bør vide om denne fejl, fordi det højst sandsynligt vedrører dig mere end du tror.

Hvad er OpenSSL ?!

OK, så jeg nævnte OpenSSL to gange og forklarede det ikke engang for dig. Kan du se det lille låsikon ved siden af ​​" https: // " i din browser, når du indtaster "sikre" websteder? Det ser sådan ud på Google Chrome's webbrowser:

Når du ser det, bruger du en særlig form for kryptering, kendt som SSL (Secure Socket Layer) eller Transport Layer Security (TLS). For at kunne levere tjenester med denne kryptering har du brug for en algoritme, der vil give kryptering / dekryptering til de pakker, du udveksler med serveren. Det betyder, at de skal have en måde at oversætte din tekst til ulæselig gibberish og derefter oversætte den tilbage fra den til læsbar form i deres egen ende. Ved hjælp af denne teknologi, hvis en hacker på en eller anden måde formår at forstyrre din forbindelse til serveren, vil alt, hvad han læser, være en lang række babble.

Nu kommer vi til den del (endelig) hvor vi forklarer, hvad OpenSSL er: Det er en fri og open source implementering af SSL / TLS protokoller. Med denne teknologi kan alle tilbyde krypterede tjenester til dig. Mange virksomheder, du har konti med, kan bruge OpenSSL til at kryptere dine data.

Men hvad nu hvis OpenSSL har en fejl, der fuldstændig besejrer formålet med kryptering?

The Bug Explained

Den 10. april 2014 har folkene hos PerfectCloud, et identitetssikkerhedsfirma, rapporteret om et massivt hul i OpenSSLs kodning kendt som "Heartbleed" bugten. I to år har vi ikke set en ny version af OpenSSL, og i den tid havde det et problem i sin kode, der viste en smule serverhukommelse. Denne hukommelse kan indeholde de private nøgler, der bruges til at kryptere / dekryptere data. Av!

Hvad det betyder er, at en hacker kunne opdage serverens kryptografiske nøgler og simpelthen dekryptere alt, hvad du sender til det, herunder dit brugernavn, dit kodeord og alt andet, der er vigtigt og kære for dig.

Fejlen blev afhjulpet den 7. april 2014, men det betyder ikke, at alles følger med en opdatering til deres implementeringer af OpenSSL. Store internetfirmaer som Amazon og Yahoo har taget sig af problemet, men det betyder stadig ikke, at du er klar! En hacker kunne have dit brugernavn og adgangskode på en liste lige nu klar til at blive brugt til at prøve at få adgang til andre konti, du måtte have andre steder.

Hvad skulle du gøre?

Så selvom en virksomhed opgraderer til den seneste OpenSSL-implementering, er du stadig i fare for tidligere eksponeringer. Men hvis der er yderligere hacking forsøg, vil de ikke lykkes. Hvad du kan gøre i denne situation, er at ændre dit kodeord overalt. Lad det ikke vente. Bare skift alt, så du er forberedt, hvis en hacker nogensinde beslutter at prøve dine konti.

Eventuelle flere tanker?

Denne fejl viser simpelthen, hvor delikat og sammenvævet internettet er. På trods af den blomstrende sikkerhedsbevidsthed og uregulerede awesomeness er internettet stadig internettet, og det vil altid være under belejring. Hvilke anbefalinger har du for virksomheder, der bruger OpenSSL? Hvordan ændrede din forståelse af sikkerhed økosystemer? Er du forvirret med noget? Skriv dine tanker om alt relateret til OpenSSL i kommentarfeltet nedenfor!