Проблемы с #heartbleed: рекомендации малому бизнесу

Уязвимость Heartbleed стала крупнейшей новостью последних недель и до сих пор остаётся поводом для разговоров. Мне как программисту-любителю, обидно, что именно эта тревожная ситуация, а не что-то позитивное, привлекло всеобщее внимание к искусству написания программного кода. К нашим предыдущим блог-постам на эту тему мы получили массу вопросов, а также комментариев о том, как можно снизить риск предполагаемой атаки с использованием этой уязвимости. Очевидно, что мы не единственные, кто что-то советует по этому поводу (почти все сегодня что-нибудь да советуют), но я заметил, что большинство постов и статей посвящены главным образом объяснению технических деталей. Разумеется, и эта публикация по сути является «технической», однако когда у тебя есть собственный бизнес, ты не думаешь о SSL, Heartbeat, дампах памяти и прочем. Думать приходится о недополученных прибылях, потере пользовательских данных или недоступности сайта.

Затрагивает ли эта уязвимость мою компанию? Были ли мои пароли скомпрометированы, и где это произошло? Что нужно сделать прямо сейчас? Об этом я и хочу поговорить сегодня.

Если вкратце

1. Убедитесь в том, что на ваш сайт эта уязвимость не распространяется. Или исправьте его.
2. Смените пароль к онлайновому банку.
3. Измените все пароли, просто для собственного спокойствия. Убедитесь в том, что все ваши работники сделали то же самое.

О чём надо говорить с админом

Админ есть всегда: либо нанятый на фултайм, либо фрилансер, или сотрудник службы поддержки из компании, которая поддерживает ваш веб-сервис, виртуальную инфраструктуру и т.д. Это тот человек, который в итоге исправит проблемы и удостоверится в защищённости ваших данных. В большинстве случаев нужно лишь задавать правильные вопросы.

— Украдены ли наши пароли?

Это неправильный вопрос. Айтишники не знают (и никто не знает) в силу специфики Heartbleed. Уязвимость можно эксплуатировать, не оставляя никаких следов. А вот правильный вопрос:

— Уязвима ли наша инфраструктура?

Под инфраструктурой я подразумеваю практически всё, что может подключаться к интернету — помимо ваших ноутбуков и ПК (о них — чуть ниже). Веб-сайт? Да, определённо. Файловый сервер? Офисный роутер? В определённых случаях они могут и не быть уязвимы или, даже если они не защищены сами по себе, не используется уязвимый протокол. Но проверить всё лишний раз не помешает. Профессионалы затем сосредоточат внимание на сервисах и оборудовании под управлением Linux или разных вариаций Unix с установленным OpenSSL. В технические подробности вдаваться не будем, но полезно знать, какие версии OpenSSL уязвимы: всё от 1.0.1 до 1.0.1f. Все версии младше или старше в полном порядке.

Итак, мой сайт был (или остаётся) уязвимым. Что мне делать?

Пусть этим занимаются IT-специалисты. Или добейтесь от компании, которая обслуживает ваш сайт, чтобы она решила вопрос. Иногда апгрейд ПО на основном сервере — процесс заковыристый, но с другой стороны, если интернет-гиганты вроде Google с их колоссальной и сложнейшей инфраструктурой смогли разобраться с проблемой уже через несколько часов после того, как об уязвимости было объявлено, для всех остальных это также не составит много.

Устранение уязвимости в сервисах или в инфраструктуре, за которую вы несёте прямую ответственность (например, веб-сайт вашей компании), это приоритет номер один. Например, если ваш веб-сайт хостится на GoDaddy, стоит начать с чтения вот этого сообщения на их сайте. Затем у вас, вероятно, возникнет желание связаться с их службой поддержки и выяснить, был ли ваш сайт затронут. Последующие процедуры также могут потребовать дополнительные шаги с вашей стороны.

Проблема паролей

Ну, а теперь можно разобраться с вопросом «украли ли наши пароли». Повторюсь: со всей определённостью это сказать невозможно Возможно ли похитить пароль с уязвимого сайта? Да. Какие ещё пароли могут быть украдены? Надо ли менять пароли на вашем «облаке»? Уязвим ли Dropbox? Gmail? Yahoo? Ваш банк?

Есть два способа оценить риск. Первый — провести исследования: многие компании опубликовали массу информации о возможной уязвимости своих сервисов. Назовём лишь несколько:

• Cloud services Google, Amazon Web Service и Rackspace: уязвимы (via ZDNet)

• Социальные сети: LinkedIn и Twitter незатронуты, Instagram и Tumblr под угрозой (via Mashable)

• E-Mail: GMail и Yahoo затронуты, Outlook – не.

• Zoho – да. Basecamp – нет. Prezi – да.

Итак, если некоторый веб-сайт был затронут уязвимостью и вы использовали его после того, как информация о Heartbleed была опубликована и до того, как они сами всё исправили, пароль надо сменить. Звучит сложно. Но зачем тратить часы на подобные изыскания, если можно просто взять и сменить все пароли ко всем сервисам, которые вы используете, для личных или профессиональных нужд? Уязвимость Heartbleed — отличный повод это сделать! Тем более, что смена паролей стоит потраченного времени. Говорят, что смена паролей бевсполезна, если сам сервис всё ещё уязвим или сертификаты были украдены. Это правда, но опять-таки, если вы — небольшая компания с ограниченными ресурсами, нет времени выяснять, в каком состоянии пребывает или будет пребывать в ближайшем времени безопасность ресурсов, которые вы используете. Просто смените пароль. Затем, для большей надёжности, смените их снова через месяц-другой, когда даже самые «неторопливые» сервис-провайдеры наконец-то установят нужные исправления.

Решение проблемы паролей

Вот пять основных рекомендаций по защите паролей. Имейте в виду, что мы, как компания, которая занимается вопросами безопасности, придерживаемся этих правил вне зависимости от того, кто и когда публикует информацию о новых уязвимостях, кибератаках и тому подобных инцидентах.

1. Используйте сложные пароли. 123456 не годится.
2. Меняйте пароли регулярно
3. Не используйте один и тот же пароль для разных сервисов.
4. Не храните пароли в небезопасном виде (в текстовом файле или на клочке бумаги)
5. Если есть возможность, используйте двухфакторную авторизацию — когда одноразовый пароль приходит вам на мобильное устройство или генерируется в отдельном приложении или на отдельном устройстве. Сервисы вроде GMail, Zoho и Facebook, так же как и многие банки предоставляют такую возможность.

Защитит ли решение «Лаборатории Касперского» мой ноутбук?

Наконец, давайте поговорим о вашем офисном компьютере или домашнем лэптопе. Если вы используете решения «Лаборатории Касперского», затронет ли вас Heartbleed?

Начнём с того, что устройства под Windows (такие как ваш ноутбук или, возможно, файловый сервер под управлением Windows в офисе) не подвержены уязвимости OpenSSL. Попросту говоря, там не используется OpenSSL, это продукт сообщества Open Source. Если вы используете Ubuntu или какую-либо ещё разновидность Linux, тогда, конечно, следует произвести апгрейд. Но пока давайте сосредоточимся на Windows.

Если они этой уязвимости не подвержены, значит ли это, что они в полной безопасности? Увы, нет. Вы открываете веб-браузер на машин под Windows, которая полностью защищена, заходите на интересующий вас веб-сервис, вводите пароль — и его похищают на стороне сервера.

Чем наши решения могут помочь (помимо защиты от миллионов других кибер-угроз), так это управлением вашими паролями. Эта функция доступна как в качестве отдельного продукта Kaspersky Password Manager, так и в виде модуля решения для защиты малого бизнеса Kaspersky Small Office Security (опробовать его можно здесь); управление паролями также входит в состав решения Kaspersky PURE для защиты индивидуальных компьютеров. Все эти решения позволяют вам хранить пароли в зашифрованном виде и легко переносить их с одной машины на другую, помогая тем самым генерировать надёжные пароли. Этот инструмент также полезен для генерации уникальных паролей к каждому веб-сервису (что всегда полезно и правильно) и хранения их.

Есть ли какие-то вопросы? Хотите поделиться опытом, связанным с #heartbleed? Пожалуйста, оставляйте комментарии. Наша команда всегда готова помочь.