Heartbleed - Ce puteți face pentru a vă menține în siguranță?
Vulnerabilitatea SSL cu Heartbleed face publicări în întreaga lume - iar raportările greșite în presă și online cauzează confuzie. Cum poți să rămâi în siguranță și să îți dai seama că detaliile tale personale nu sunt scoase?
Ce este Heartbleed? Ei bine, nu este un virus
Probabil ați auzit Heartbleed descris ca un virus. Acest lucru nu este cazul: de fapt, este o slăbiciune, o vulnerabilitate în servere care rulează OpenSSL. Aceasta este implementarea open source a SSL și TLS, protocoalele folosite pentru conexiuni sigure - cele care încep https: // mai degrabă decât de obicei http: //.
Această vulnerabilitate - mai frecvent menționată ca o eroare - creează în esență o gaură prin care hackerii pot eluda criptarea. Confirmat pe 7 aprilielea 2014, apare în toate versiunile OpenSSL, cu excepția 1.0.1g. Amenințarea este limitată la site-urile care rulează OpenSSL - sunt disponibile alte biblioteci SSL și TLS, dar OpenSSL este folosit pe scară largă pe servere din jurul web-ului. Există o soluție pentru această problemă, dar acest lucru s-ar putea să nu fi fost aplicat pe site-urile pe care le vizitați în mod regulat pentru activități sigure. Acestea ar putea fi cumpărături online, jocuri de noroc și alte site-uri tematice pentru adulți sau chiar rețele sociale.
În consecință, toate tipurile de informații personale și financiare ar putea fi în pericol.
Pentru a obtine o idee despre cat de mare este o afacere Heartbleed (si de ce este asa-numita), Ryan a pus recent acest bug care se intinde pe Internet. Massive Bug in OpenSSL pune mult Internet in pericol Massive Bug in OpenSSL pune mult Internet La risc Dacă sunteți unul dintre acei oameni care au crezut întotdeauna că criptografia open source este cea mai sigură modalitate de a comunica online, sunteți în căutarea unui pic de surpriză. Citeste mai mult . Trebuie să subliniem faptul că Heartbleed este o vulnerabilitate bazată pe Internet și, prin urmare, afectează utilizatorii tuturor sistemelor de operare, desktop și mobile.
Deci, este o afacere mare - dar ce poti face despre asta?
Ignora The Hype & Nu vă faceți panică
Ei bine, există un singur lucru pe care să nu-l faceți: panică. O mulțime a fost scrisă pe internet și în presa scrisă în ultimele zile și o mulțime de ea este hype, pornografie doom care ar pune efectele celebrului serial al lui Orson Welles "War of the Worlds".
O mare parte din ceea ce ați văzut deja va fi cuprins de la comunicatele de presă și alte rapoarte ale jurnaliștilor care nu sunt familiarizați cu terminologia și de lipsa unei înțelegeri clare cu privire la riscuri.
De exemplu, s-ar putea să știți că trebuie să vă schimbați parolele imediat (nu este complet adevărat, ar trebui să adăugăm - a se vedea mai jos). Dar ați știut despre riscul de phishing?
Riscul de phishing
Serviciile web responsabile, băncile și rețelele sociale care au fost afectate de Heartbleed vă vor lăsa un e-mail pentru a vă informa că au reparat vulnerabilitatea și vă recomandă să vă schimbați parola.
Firește, ar trebui să faceți acest lucru - însă trebuie să fiți conștienți de faptul că această situație reprezintă o oportunitate ideală pentru phishers să înceapă să trimită e-mailuri false, completând link-uri încorporate “schimbați parola” pagina - în realitate, un site web creat pentru a vă culege detaliile.
Niciuna dintre serviciile pe care le utilizați nu vă recomandă să faceți clic pe un link de modificare a parolei într-un e-mail trimis prin e-mail nesolicitat. Din păcate, IFTTT a făcut, la fel ca Pinterest (de mai sus). Aceasta este o practică proastă și dă impresia că o astfel de legătură este acceptabilă și trebuie făcută clic pe ea.
Dacă nu ați solicitat e-mailul, nu trebuie să faceți clic pe un astfel de link.
E-mailurile de resetare a parolei cu e-mail nu ar trebui să includă link-uri de conectare. Dacă o fac, ștergeți-le, apoi vizitați site-ul introducând adresa în browserul dvs. (sau selectând-o din istoric sau preferat, în funcție de modul în care faceți clic pe acest lucru). De acolo, resetați parola ...
... dar numai dacă aveți nevoie de acest lucru în acest stadiu.
Din nefericire, necesitatea ca firmele să arate ca și cum ar face ceva cu amenințări precum Heartbleed se poate dovedi a fi la fel de dăunătoare ca amenințarea însăși.
Deci, ar trebui să vă schimbați parolele?
Una dintre principalele piese de sfaturi despre Heartbleed în circulație este că trebuie să vă schimbați imediat parolele.
Toti.
Acest lucru, din păcate, este un exemplu al dezinformării la care am făcut referire în introducere. Spuneți că utilizați aceeași parolă pentru mai multe site-uri web. Mai întâi de toate, aceasta este o practică proastă și ar trebui să vă reconsidere să o faceți în viitor (să nu mai vorbim de a crea parole mai sigure Parole securizate: Generați o parolă diferită pentru fiecare site Parole securizate: Generați o parolă diferită pentru fiecare site Citiți mai mult).
În al doilea rând, dacă schimbați fără restricții toate parolele dvs., este posibil să faceți acest lucru pe un site web care nu rulează pe un server patch - unul pe care Heartbleed este încă o vulnerabilitate.
Din neatenție, ați putut partaja vechea parolă și noua parolă cu cele care sunt capabile să exploateze vulnerabilitatea pentru fraudarea identității și operațiile de spam.
Ca atare, ar trebui să vă schimbați parola numai pe bază de site-uri, atunci când știți că au fost patch-uri - adică, soluția a fost aplicată și vulnerabilitatea închisă.
Verificați site-urile care au fost patch-uri
Începeți prin a verifica care site-uri Web sunt libere de vulnerabilitatea Heartbleed.
Există două moduri de a face acest lucru. În primul rând, mergeți la Mashable, unde puteți găsi o listă actualizată de site-uri cu nume mari afectate de Heartbleed, împreună cu sfaturi privind schimbarea parolei sau nu.
Pentru site-urile web mai mici, acest instrument de căutare excelent vă va spune instantaneu dacă site-ul a fost sau nu patch-uri.
O alternativă este extensia Chromeberated Checker pentru Google Chrome.
Dacă site-urile web pe care le utilizați au fost afectate și nu au patch-uri încă vulnerabilitatea Heartbleed, evitați conectarea până când situația este rezolvată.
Concluzie: Este un joc în așteptare
Atitudinea față de furtuna inimioasă nu ar trebui să fie o problemă pentru majoritatea. Respectați cursul pe care l-am recomandat mai sus și nu schimbați parolele până când nu sunteți instruit să faceți acest lucru prin site-urile și serviciile corespunzătoare.
De asemenea, puteți utiliza instrumente noi pentru a verifica dacă site-ul pe care intenționați să îl vizitați (sau chiar cel pe care îl executați) a fost afectat și dacă a fost aplicată o remediere.
Cel mai important este să rămâi în siguranță și să fii răbdător. Potențialul pentru Heartbleed de a provoca probleme masive este încă acolo - evitați orice site care necesită patch-uri până când știți că acestea sunt acum securizate.
Creditele de imagine: Bullet Heart prin Shutterstock, HTTPS prin Shutterstock, nu faceți panică prin Shutterstock, parola prin Shutterstock
Explorați mai multe despre: Securitate online, Parolă, SSL.