Som en vanlig Internett-bruker forventer du at Internett-bakgrunnen bare fungerer . Alt som foregår bak kulissene, all kryptering, alle håndtrykkene og hver eneste liten transaksjon, skal kunne gi deg en trygg måte å kommunisere og gjøre forretningen din på nettet uten å måtte bekymre deg for hackere som prowling på hvert eneste trekk. Dessverre er det ikke hvordan Internett fungerer, og OpenSSL "Heartbleed" bug er definitivt et bevis på dette. Det er noen ting du bør vite om denne feilen, ettersom det med all sannsynlighet gjelder deg mer enn du tror.

Hva er OpenSSL ?!

OK, så jeg nevnte OpenSSL to ganger og forklarte ikke engang det for deg. Ser du det lille låsikonet ved siden av " https: // " i nettleseren din når du skriver inn "sikre" nettsteder? Det ser ut som dette på Googles Chrome nettleser:

Når du ser det, bruker du en spesiell form for kryptering kjent som SSL (Secure Socket Layer) eller Transport Layer Security (TLS). For å yte tjenester med denne krypteringen trenger du en algoritme som vil gi kryptering / dekryptering for pakkene du bytter ut med serveren. Dette betyr at de må ha en måte å oversette teksten din til ulestelig gibberish og deretter oversette den tilbake fra det til lesbar form i sin egen ende. Ved hjelp av denne teknologien, hvis en hacker på en eller annen måte klarer å forstyrre forbindelsen til serveren, vil alt han leser, være en lang streng babble.

Nå kommer vi til slutt (til slutt) der vi forklarer hva OpenSSL er: Det er en fri og åpen kildekodeimplementering av SSL / TLS-protokoller. Med denne teknologien kan alle tilby krypterte tjenester til deg. Mange selskaper du har kontoer med, kan bruke OpenSSL til å kryptere dataene dine.

Men hva om OpenSSL har en feil som helt slår opp formålet med kryptering?

The Bug Explained

Den 10. april 2014 har folkene på PerfectCloud, et identitetssikkerhetsfirma, rapportert om et massivt hull i OpenSSLs koding kjent som "Heartbleed" buggen. I to år har vi ikke sett en ny versjon av OpenSSL, og i løpet av den tiden hadde det et problem i koden som utelukket litt serverminne. Denne minnekorten kan inneholde private nøkler som brukes til å kryptere / dekryptere data. Au!

Hva dette betyr er at en hacker kunne oppdage serverens krypteringsnøkler og bare dekryptere alt du sender til den, inkludert brukernavnet ditt, passordet ditt og alt annet som er viktig og kjære for deg.

Feilen ble løst 7. april 2014, men det betyr ikke at alle følger med en oppdatering til implementeringen av OpenSSL. Store Internett-selskaper som Amazon og Yahoo har tatt seg av problemet, men det betyr fortsatt ikke at du er klar! En hacker kan ha ditt brukernavn og passord på en liste akkurat nå klar til å bli brukt til å prøve å få tilgang til andre kontoer du måtte ha andre steder.

Hva burde du gjøre?

Så selv om et selskap oppgraderer til den nyeste OpenSSL-implementeringen, er du fortsatt i fare for tidligere eksponeringer. Men hvis det er flere hackingforsøk, vil de ikke lykkes. Hva du kan gjøre i denne situasjonen, er å endre passordet ditt overalt. Ikke la det vente. Bare endre alt slik at du er forberedt hvis en hacker noen gang bestemmer seg for å prøve ut kontoene dine.

Noen flere tanker?

Denne feilen viser bare hvor delikat og sammenvevd Internett er. Til tross for den blomstrende sikkerhetsbevisstheten og uregulert awesomeness, er Internett fortsatt internett, og det vil alltid være under beleiring. Hvilke anbefalinger har du for selskaper som bruker OpenSSL? Hvordan endret forståelsen av sikkerhetsøkosystemene? Er du forvirret til noe? Legg inn dine tanker om alt relatert til OpenSSL i kommentarfeltet nedenfor!