Annons
The Heartbleed bug Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer har varit föremål för mycket hand-vridning och har kallats en av de allvarligaste datorsäkerhetsöverträdelserna genom tiderna Massive Bug i OpenSSL sätter mycket av Internet i riskzonenOm du är en av de människor som alltid har trott att öppen källkryptografi är det säkraste sättet att kommunicera på nätet, är du för en överraskning. Läs mer . Men vissa människor är inte övertygade - vem har Heartbleed faktiskt skadat? Nåväl, det har rapporterats flera attacker av Heartbleed för att göra verklig skada. Om du tror att Heartbleed är allt hype, tänk igen.
900 SIN stulna från den kanadensiska inkomsterna
I Kanada använde en angripare Heartbleed-bugget mot den kanadensiska inkomstmyndigheten och fångade cirka 900 socialförsäkringsnummer (SIN) som tillhör personer som lämnar in sina inkomstskatter. Detta är i grund och botten den kanadensiska motsvarigheten till en angripare som fångar upp sociala säkerhetsnummer (SSN) från IRS i USA. Vissa uppgifter relaterade till kanadensiska företag stalades också.
Angriparen arresterades för att ha tagit dessa nummer, men vi vet inte om angriparen sålde SIN: erna eller överlämnade dem till någon annan. Liksom socialförsäkringsnummer i USA kan dessa nummer i allmänhet inte bytas ut - de kan bara ändras om du bevisar att du har varit ett offer för bedrägeri. Berörda skattebetalare måste prenumerera på en kreditövervakningstjänst och hålla reda på personer som försöker öppna bankkonton och kreditkort i deras namn. Identitetsstöld 6 Varningstecken för digital identitetsstöld som du inte borde ignoreraIdentitetsstöld är inte för sällsynt av att det inträffar idag, men vi faller ofta i fällan att tänka att det alltid kommer att hända med "någon annan". Ignorera inte varningsskyltarna. Läs mer är en allvarlig oro här.
Mumsnet och andra lösenordstölder
Mumsnet meddelade nyligen att det tvingar alla användare att ändra sina lösenord. Detta var inte bara en förebyggande åtgärd - Mumsnet hade anledning att tro det attackerare hade fått tillgång till lösenord och privata meddelanden som tillhör upp till 1,5 miljoner användare.
Det här är förmodligen inte den enda webbplats som har känsliga lösenord stulna från den. Om människor är det gör det stora misstaget att återanvända samma lösenord på flera webbplatser LösenordshanteringsguideKänn dig inte överväldigad av lösenord, eller använd bara samma på varje webbplats så att du kommer ihåg dem: utforma din egen strategi för lösenordshantering. Läs mer , kan en angripare komma in på andra konton. Om någon till exempel använder samma lösenord för både sitt Mumsnet-konto och e-postkontot som är bundet till deras Mumsnet-konto, kan angriparen komma in på det e-postkontot. Därifrån kan angriparen återställa andra lösenord och komma in på andra konton
Om du har fått ett e-postmeddelande från en tjänst som ber dig ändra ditt lösenord och se till att du inte använder samma sak lösenord någon annanstans, det är möjligt att tjänsten har stulit sina lösenord - eller kan ha fått sina lösenord stulna och inte Säker.
VPN-kapning och privata nyckelstölder
Säkerhetsföretaget Mandiant meddelade det attackerare använde Heartbleed för att bryta mot ett internt företags VPN, eller virtuellt privat nätverk, som tillhör en av deras kunder. VPN använde multifaktor-autentisering Vad är tvåfaktorautentisering och varför du ska använda denTvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Att till exempel betala med kreditkort kräver inte bara kortet, ... Läs mer , men det spelade ingen roll - - angriparen kunde stjäla privata krypteringsnycklar från en VPN-enhet med Heartbleed-attacken och kunde sedan kapa aktivera VPN-sessioner.
Vi vet inte vilket företag som attackerades här - Mandiant tillkännagav just att det var en ”major företag." Attacker som den här kan användas för att stjäla känsliga företagsdata eller infektera interna företagens nätverk. Om företag inte säkerställer att deras nätverk inte är sårbara för Heartbleed, kan deras säkerhet enkelt kringgås.
Det enda skälet till att vi hör till detta är att Mandiant vill uppmuntra människor att säkra sina VPN-servrar De bästa VPN-tjänsternaVi har sammanställt en lista över vad vi anser vara de bästa leverantörerna av Virtual Private Network (VPN) -tjänster, grupperade efter premium-, gratis- och torrentvänliga. Läs mer . Vi vet inte vilket företag som attackerades här eftersom företag inte vill meddela att de har äventyrats.
Detta är inte det enda bekräftade fallet av Heartbleed som används för att stjäla en privat krypteringsnyckel från en löpande serverminne. CloudFlare tvivlade på att Heartbleed skulle kunna användas för att stjäla privata krypteringsnycklar och utfärdade en utmaning - försök att hämta den privata krypteringsnyckeln från vår server om du kan. Flera personer fick den privata nyckeln inom en dag.
Statliga övervakningsorgan
Kontroversiellt kunde Heartbleed-felet ha upptäckts och utnyttjats av statliga övervaknings- och underrättelsetjänster innan det blev allmän kunskap. Bloomberg rapporterade det NSA har utnyttjat Heartbleed i minst två år. De NSA och Vita huset förnekade detta, men chef för nationell underrättelse James Clapper sa berömt att NSA inte samlade in några uppgifter om miljoner amerikaner innan NSA: s övervakningsverksamhet blev känd, något vi vet nu att det inte är sant Vad är PRISM? Allt du behöver vetaNational Security Agency i USA har tillgång till vilken information du lagrar hos amerikanska tjänsteleverantörer som Google Microsoft, Yahoo och Facebook. De övervakar sannolikt också större delen av trafiken över ... Läs mer . Det vet vi också NSA lagrar säkerhetsproblem för användning mot övervakningsmål snarare än att rapportera dem så att de kan fixas.
Förutom NSA finns det andra statliga övervakningsorgan i världen. Det är möjligt att ett annat lands statliga övervakningsbyrå upptäckte detta fel och använde det mot övervakningsmål, kanske till och med USA-baserade företag och myndigheter. Vi kan inte veta något säkert här, men det är mycket möjligt att Heartbleed har använts för spionage aktiviteter innan den offentliggjordes - den kommer säkert att användas för dessa ändamål nu när den är offentlig kunskap!
Vi vet bara inte
Vi vet bara inte hur mycket skada Heartbleed har gjort ännu. Företag som slutar med överträdelser tack vare Heartbleed vill ofta undvika att göra några pinsamma tillkännagivanden som kan skada deras verksamhet eller skada deras aktiekurser. Det är i allmänhet lättare att hantera problemet internt snarare än att låta världen veta.
I många andra fall vet tjänster inte att de har blivit bitna av Heartbleed. Tack vare den typ av begäran som Heartbleed-sårbarheten använder, kommer Heartbleed-attacker inte att visas i många serverloggar. Det kommer fortfarande att visas i nätverkstrafikloggar om du vet vad man ska leta efter, men inte alla organisationer vet vad de ska leta efter.
Det är också möjligt att Heartbleed-felet har utnyttjats tidigare, innan det blev allmän kunskap. Det är möjligt att cyberbrottslingar eller - mer troligt - statliga övervakningsorgan upptäckte felet och har använt det. Exemplen här är bara en ögonblicksbild av de få saker vi vet.
Hype är berättigad - det är viktigt att vi får tjänster och enheter uppdaterade så snabbt som möjligt för att minska skadan och undvika värre attacker i framtiden.
Bildkredit: snoopsmas på Flickr, ChrisDag på Flickr
Chris Hoffman är en teknisk bloggare och all teknikberoende som bor i Eugene, Oregon.
