服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我们如何指导员工保护自己免受Heartbleed的伤害?
Intereting Posts
如何在Linux中看到传入的IP? 随时创build主机帐户 使用相对path调用batch file SOApipe理邮件字段 Apache 2.2(windows)是否有默认的带宽限制? 冗余防火墙和交换机HSRP和CARP 在Server 2008 R2上新build的DHCP服务器将不起作用,事件ID 1046 平面networking上的间歇性互联网访问 – 路由器已连接 Windows XP显示磁盘空间不足 – WinDirStat显示50GB <Unknown>条目 当命令完成时在redhat上制造噪声 通过IP KVM冷启动服务器 – 需要哪种types的PDU? 后缀添加computername主题 光纤pipe理臂中的光纤 在用户login/注销时执行命令 如何通过看起来像文本的二进制文件grep?

我们如何指导员工保护自己免受Heartbleed的伤害?

在心中欢迎来到这个世界。 我们已经修补了我们的服务器,并正在取代我们的SSL证书。 但是,只是因为我们的服务器是固定的,这并不意味着互联网的其他部分是固定的。 我们有员工,他们使用互联网交换信用卡号码和login凭证等秘密。 他们正在寻找我们的build议。

我们可以build议我们的客户使用Heartbleedtesting页面来查看他们想要访问的网站是否存在漏洞。 如果一个网站返回正面,那么不要与它交换秘密。 但是如果一个网站对Heartnet 没有正面回应,那么情况可能是:

  • 该网站从来没有这个漏洞(好)
  • 该网站有该漏洞,并已修复它,但仍在使用可能受损的SSL证书(错误)
  • 该网站有该漏洞,并已修复它,并重新生成的SSL证书,但没有重新生成密钥(坏)
  • 该网站有该漏洞,修复它,重新生成密钥,并取代了SSL证书。 (好)

在将信用卡号码input表单之前,我们能否给予我们的员工以任何方式来说明的情况?

我们如何指导我们的员工尽可能减less受Heartbleed威胁的服务器?

从根本上讲,不,没有办法从坏的方面讲出好的scheme,因为你的用户不能全面了解他们正在使用的系统。

这个bug造成的破坏程度在很大程度上还是个未知数,大部分的破坏都是过去可能发生的,而且会持续长时间影响互联网。 我们只是不知道什么秘密被盗,什么时候或谁被盗。

例如:Google的OpenSSL心脏stream血了大约一年。 未知的对手收获服务器并寻找有趣的秘密 – 再次,我们无法知道他们是否做了这件事 – 直到他们发现一个账户属于有权访问另一个系统的人,比如Twitter.com或AnyBank。 co.uk或dev.redhat.com。 通过访问这些帐户,他们可能会继续挖掘,访问其他系统,做其他损害(可见或不可见),进一步危害其他帐户 – 没有任何人怀疑违规的起源。 在这个阶段,你已经远离了stream血的OpenSSL服务器,这是Heartbleed的一个不好的后果之一。 除此之外,服务器私钥受到危害的风险。

信任需要很长时间才能build立起来,并且很快就会丢失。 我不是说我们之前没有互联网上的信任问题,但是Heartbleed肯定没有帮助。 修复损害将需要很长时间,理解这是理解你如何保护自己和你的员工/客户/老板等的一部分 – 以及你不能。 有一些事情可以控制,为了限制你的风险,还有一些你无法控制的东西 – 但是它们仍然会影响到你。 例如,你无法控制其他人如何决定对这个漏洞做出反应 – 据报道,国家安全局发现了这个漏洞,但是保持安静。 这对我们其他人来说是相当糟糕的,但我们无法保护我们。

作为互联网用户,您可以并应该:

  • 理解错误是多么糟糕
  • 不要回复/关注电子邮件中的链接,要求您重置密码 – 直接访问公司/组织的网站,并主动重置密码。 像这些骗子喜欢钓鱼的时代
  • 检查你的Android手机Heartbleed。 Lookout Mobile Security提供了一个应用程序来检查您的OpenSSL版本。

  • 检查您访问Heartbleed的网站(不完整清单):

    1. 服务器是否使用OpenSSL?

      • :你没有直接的影响(由这个bug)。 请继续使用本网站,但如果直接或间接受到此错误影响的其他服务器可以访问您的密码,请更改您的密码。 当然,这个假设是这个networking上的所有服务器都已经被修补,发布了新的证书等等。
      • :转到2。

    2. 服务器是OpenSSL的Heartbleed-free版本吗? 确保你的心跳检查工具确实检查了这个漏洞,而不是HTTP头或者其他“指示器”。

      • :不要向网站提交任何秘密,但如果可能的话,向网站pipe理员提交一份说明。
      • :转到3。

    3. 以前版本的OpenSSL有Heartbleed吗?

      • :有些pipe理员没有升级到最新的OpenSSL版本,因为它没有经过足够长的现场testing。 他们的服务器从来不会受到这个bug的影响,但是由于上面提到的原因,你可能还是更好的更改密码。
      • 是的 :服务器很脆弱,任何内存中的数据都有可能在升级到易受攻击的版本和披露时间(最多两年甚至三年)之间被破坏。

在这里,我们回来信任:当你失去某人的信任时,这是一件坏事。 特别是如果有人是你的用户/客户/老板。 为了重新获得信任,你必须重新开始build设,并开放对话。

以下是网站pipe理员可以发布的内容:

  • 先前的OpenSSL版本(易受攻击/不易受攻击)
  • 当前版本和更新时间

如果以前的版本的OpenSSL是脆弱的:

  • 当前生成的SSL证书
  • 详细描述旧证书是如何被吊销的
  • 保证为新证书使用新的秘密
  • 根据以上信息对用户提出build议

如果你是一个用户,你完全有权要求这样的信息,你应该为了所有的服务用户。 这将增加安全社区的可见性,并使用户能够更轻松地将他们暴露于受损服务器的风险降到最低。