Reklama

Luka w zabezpieczeniach Heartbleed SSL pojawia się w nagłówkach na całym świecie - a błędne zgłaszanie w prasie i Internecie powoduje zamieszanie. Jak możesz zachować bezpieczeństwo i upewnić się, że Twoje dane osobowe nie zostaną ujawnione?

Co to jest Heartbleed? To nie jest wirus

Prawdopodobnie słyszałeś Heartbleed opisany jako wirus. Tak nie jest: w rzeczywistości jest to słabość, luka w zabezpieczeniach serwerów z OpenSSL. Jest to implementacja SSL i TLS typu open source, protokołów używanych do bezpiecznych połączeń - tych, które się rozpoczynają https: // raczej niż zwykle http: //.

muo-heartbleed-help-https

Ta luka - częściej określana jako błąd - zasadniczo tworzy lukę, przez którą hakerzy mogą obejść szyfrowanie. Potwierdzony 7 kwietniath 2014, występuje we wszystkich wersjach OpenSSL z wyjątkiem 1.0.1g. Zagrożenie jest ograniczone do witryn z OpenSSL - dostępne są inne biblioteki SSL i TLS, ale OpenSSL jest szeroko stosowany na serwerach w Internecie. Rozwiązano problem, który nie został zastosowany w witrynach, które regularnie odwiedzasz w celu zapewnienia bezpiecznych działań. Mogą to być zakupy online, hazard i inne witryny o tematyce dla dorosłych, a nawet sieci społecznościowe.

instagram viewer

W rezultacie wszelkie dane osobowe i finansowe mogą być zagrożone.

Aby dowiedzieć się, jak duży jest Heartbleed (i dlaczego jest tak zwany), Ryan niedawno umieścił ten błąd obejmujący cały Internet w kontekście Ogromny błąd w OpenSSL naraża dużą część Internetu na ryzykoJeśli jesteś jedną z osób, które zawsze wierzyły, że kryptografia typu open source jest najbezpieczniejszym sposobem komunikacji online, czeka Cię niespodzianka. Czytaj więcej . Powinniśmy podkreślić, że Heartbleed jest podatnością na zagrożenia internetowe, dlatego wpływa na użytkowników wszystkich systemów operacyjnych, komputerów stacjonarnych i urządzeń mobilnych.

To wielka sprawa - ale co możesz z tym zrobić?

Zignoruj ​​szum i panikę

Jest jedna rzecz, której nie powinieneś robić: panika. W ciągu ostatnich kilku dni wiele zostało napisanych w Internecie i w mediach drukowanych hype, doom pornografia, która wykorzystałaby efekty słynnej audycji radiowej War of the Worlds Orsona Wellesa wstyd.

muo-heartbleed-help-dontpanic

Wiele z tego, co już widzieliście, zostało zebrane razem z informacji prasowych i innych raporty dziennikarzy niezaznajomionych z terminologią i brak jasnego zrozumienia na temat ryzyko

Na przykład możesz wiedzieć, że powinieneś natychmiast zmienić swoje hasła (nie do końca prawda, powinniśmy dodać - patrz poniżej). Ale czy wiesz o ryzyku phishingu?

Ryzyko phishingu

Odpowiedzialne usługi internetowe, banki i sieci społecznościowe, na które wpłynęła Heartbleed, rzuci cię e-mail z informacją, że usunęli usterkę, i zalecamy zmianę hasło.

Oczywiście powinieneś to zrobić - ale pamiętaj, że ta sytuacja stanowi dla phisherów idealną okazję do rozpoczęcia wysyłania fałszywe e-maile, wraz z osadzonymi linkami do strony „zmień hasło” - w rzeczywistości strona internetowa zaprojektowana do zbierania twoich wiadomości Detale.

muo-heartbleed-help-pinterest

Żadna z usług, z których korzystasz, nie powinna zalecać kliknięcia linku zmiany hasła w wiadomości e-mail wysłanej niezamówionej wiadomości e-mail. Niestety IFTTT, podobnie jak Pinterest (powyżej). Jest to zła praktyka i sprawia wrażenie, że taki link jest akceptowalny i należy go kliknąć.

Takiego linku nie należy klikać, chyba że poprosiłeś o wiadomość e-mail.

E-maile dotyczące resetowania hasła Heartbleed nie powinny zawierać linków logowania. Jeśli tak, usuń je, a następnie odwiedź witrynę, wpisując adres w przeglądarce (lub wybierając go z historii lub ulubionych, w zależności od tego, jak sobie z tym radzisz). Stamtąd zresetuj hasło…

… Ale tylko wtedy, gdy naprawdę potrzebujesz na tym etapie.

Niestety, wynikająca z PR potrzeba, aby firmy wyglądały tak, jakby robiły coś z zagrożeniami takimi jak Heartbleed, może okazać się równie szkodliwe jak samo zagrożenie.

Więc powinieneś zmienić swoje hasła?

Jednym z głównych porad Heartbleed w obiegu jest to, że należy natychmiast zmienić hasło.

Wszyscy.

Jest to niestety przykład dezinformacji, o której wspomniałem we wstępie. Załóżmy, że używasz tego samego hasła do kilku stron internetowych. Przede wszystkim jest to zła praktyka i powinieneś ponownie rozważyć zrobienie tego w przyszłości (nie wspominając o tym utwórz bezpieczniejsze hasła Bezpieczne hasła: generuj inne hasło dla każdej witryny Czytaj więcej ).

muo-heartbleed-help-password

Po drugie, jeśli bezkrytycznie zmienisz wszystkie swoje hasła, najprawdopodobniej to zrobisz na stronie, która nie działa na łatanym serwerze - na którym Heartbleed wciąż jest słaby punkt.

Nieumyślnie potencjalnie udostępniłeś swoje stare hasło i nowe hasło tym, którzy są w stanie wykorzystać tę lukę w swoich operacjach oszustwa tożsamości i spamu.

W związku z tym należy zmieniać hasło tylko dla poszczególnych witryn, gdy wiadomo, że zostały one załatane - to znaczy, że poprawka została zastosowana, a luka zamknięta.

Sprawdź, które strony zostały załatane

Zacznij od sprawdzenia, które witryny są wolne od luki Heartbleed.

Można to zrobić na dwa sposoby. Najpierw udaj się do Mashable, gdzie aktualna lista znanych marek, których dotyczy Heartbleed, można znaleźć, wraz z poradą, czy należy zmienić hasło, czy nie.

W przypadku mniejszych witryn to doskonałe narzędzie wyszukiwania natychmiast powie Ci, czy strona została załatana.

Alternatywą jest Chromebleed Checker rozszerzenie dla Google Chrome.

Jeśli wpłynęło to na witryny, z których korzystasz, i jeszcze nie załatały luki Heartbleed, unikaj logowania, dopóki sytuacja nie zostanie rozwiązana.

Wniosek: to gra w oczekiwanie

Radzenie sobie z burzą Heartbleed nie powinno stanowić większego problemu. Trzymaj się kursu, który zaleciliśmy powyżej, i nie zmieniaj żadnych haseł, dopóki nie otrzymasz odpowiednich instrukcji od odpowiednich witryn i usług.

muo-heartbleed-help-heart

Możesz także użyć nowych narzędzi, aby sprawdzić, czy wpłynęła to na witrynę, którą planujesz odwiedzić (lub nawet tę, którą prowadzisz) i czy została zastosowana poprawka.

Co najważniejsze, bądź bezpieczny i bądź cierpliwy. Nadal istnieje ryzyko, że Heartbleed może powodować ogromne problemy - unikaj witryn wymagających łatania, dopóki nie dowiesz się, że są one teraz bezpieczne.

Kredyty obrazkowe: Kula serca za pośrednictwem Shutterstock, HTTPS przez Shutterstock, Nie panikuj przez Shutterstock, Hasło przez Shutterstock

Christian Cawley jest zastępcą redaktora ds. Bezpieczeństwa, Linux, DIY, programowania i technologii. Jest także producentem The Really Useful Podcast i ma duże doświadczenie w obsłudze komputerów stacjonarnych i oprogramowania. Współtwórca magazynu Linux Format, Christian majsterkowicz Raspberry Pi, miłośnik Lego i miłośnik gier retro.