Publicitate

Vulnerabilitatea Heartbleed SSL face titluri în întreaga lume - iar raportarea eronată în presă și online provoacă confuzii. Cum poți să rămâi în siguranță și să nu îți dai seama de datele tale personale?

Ce este Heartbleed? Ei bine, nu este un virus

Probabil că ați auzit Heartbleed descris ca un virus. Nu este cazul: de fapt, este o slăbiciune, o vulnerabilitate în serverele care operează OpenSSL. Aceasta este implementarea open source a SSL și TLS, protocoalele utilizate pentru conexiunile sigure - cele care încep https: // mai degrabă decât de obicei http: //.

Muo-heartbleed-help-https

Această vulnerabilitate - denumită mai degrabă o eroare - creează în esență o gaură prin care hackerii pot evita criptarea. Confirmat pe 7 aprilielea 2014, apare în toate versiunile OpenSSL, cu excepția 1.0.1g. Amenințarea este limitată la site-urile care rulează OpenSSL - alte biblioteci SSL și TLS sunt disponibile, dar OpenSSL este utilizat pe scară largă pe serverele de pe web. O soluție pentru problemă există, dar este posibil să nu fi fost aplicată site-urilor web pe care le vizitați în mod regulat pentru activități sigure. Acestea pot fi cumpărături online, jocuri de noroc și alte site-uri web cu temă pentru adulți sau chiar rețele de socializare.

instagram viewer

Drept urmare, orice fel de informații personale și financiare ar putea fi în pericol.

Pentru a vă face o idee despre cât de mare este o afacere Heartbleed (și de ce este așa-numita), Ryan a pus recent acest bug care se întinde pe Internet Bug Massive în OpenSSL pune mare parte din Internet în pericolDacă sunteți unul dintre acei oameni care au crezut întotdeauna că criptografia open source este cea mai sigură modalitate de a comunica online, sunteți într-o surpriză. Citeste mai mult . Ar trebui să subliniem că Heartbleed este o vulnerabilitate bazată pe Internet și, prin urmare, afectează utilizatorii tuturor sistemelor de operare, desktop și mobile.

Deci, este o afacere mare - dar ce poți face despre asta?

Ignorați Hype-ul și nu vă panicați

Ei bine, există un lucru pe care nu ar trebui să îl faci: panică. S-au scris multe pe Internet și în presa scrisă în ultimele zile și o mulțime de lucruri este hype, porno doom care ar pune efectele celebrului film de radio al Orson Welles difuzat de radio rușine.

Muo-heartbleed-help-dontpanic

O mare parte din ceea ce ați văzut deja a fost împărțit împreună din comunicate de presă și altele rapoarte ale jurnaliștilor care nu sunt familiarizați cu terminologia și lipsa unei înțelegeri clare cu privire la riscuri.

De exemplu, este posibil să știți că ar trebui să vă schimbați parolele imediat (nu este adevărat, ar trebui să adăugăm - a se vedea mai jos). Dar știați despre riscul de phishing?

Riscul de phishing

Serviciile web responsabile, băncile și rețelele sociale care au fost afectate de Heartbleed vă vor renunța e-mail pentru a vă anunța că au reparat vulnerabilitatea și vă recomandă să vă schimbați parola.

Desigur, ar trebui să faceți acest lucru - dar trebuie să fiți conștienți de faptul că această situație oferă o ocazie ideală pentru phiseri să înceapă expedierea e-mailuri false, completate cu link-uri încorporate către pagina „Modifica parola” - în realitate, un site web conceput pentru a vă recolta Detalii.

Muo-heartbleed-help-pinterest

Niciunul dintre serviciile pe care le utilizați nu ar trebui să vă recomande să faceți clic pe un link de modificare a parolei într-un e-mail trimis nesolicitat. Din păcate, IFTTT, așa cum a făcut Pinterest (mai sus). Aceasta este o practică proastă și dă impresia că un astfel de link este acceptabil și ar trebui să fie dat clic.

Cu excepția cazului în care ați solicitat e-mailul, nu trebuie să faceți clic pe un astfel de link.

E-mailurile de resetare a parolei cu inimă nu ar trebui să includă legături de conectare. Dacă o fac, ștergeți-le, apoi accesați site-ul web introducând adresa în browser-ul dvs. (sau selectând-o din istoric sau favorite, în funcție de modul de rulare cu aceste lucruri). De acolo, resetați parola ...

... dar numai dacă de fapt trebuie să faceți acest lucru.

Din păcate, nevoia de PR a companiilor să pară că fac ceva în ceea ce privește amenințările precum Heartbleed se poate dovedi la fel de dăunătoare ca amenințarea în sine.

Deci, ar trebui să vă schimbați parolele?

Una dintre principalele sfaturi ale Heartbleed în circulație este că ar trebui să vă schimbați parolele imediat.

Toti.

Acesta este, din păcate, un exemplu de dezinformare la care m-am referit în introducere. Spuneți că utilizați aceeași parolă pentru mai multe site-uri web. În primul rând, aceasta este o practică proastă și ar trebui să vă reconsiderați să o faceți în viitor (ca să nu mai vorbim creați parole mai sigure Parole sigure: generați o parolă diferită pentru fiecare site web Citeste mai mult ).

Muo-heartbleed-help-parolă

În al doilea rând, dacă schimbați fără discernământ toate parolele, este posibil să faceți acest lucru pe un site web care nu funcționează pe un server patched - unul pe care Heartbleed este încă un vulnerabilitate.

În mod invers, ați împărtășit parola veche și noua parolă cu cele care sunt capabile să exploateze vulnerabilitatea pentru frauda lor de identitate și operațiunile de spam.

Ca atare, ar trebui să îți schimbi parola numai de la un site la altul, atunci când știi că au fost corecți - adică remedierea a fost aplicată și vulnerabilitatea închisă.

Verificați ce site-uri web au fost conectate

Începeți să verificați care site-uri web sunt libere de vulnerabilitatea Heartbleed.

Există două modalități de a face acest lucru. În primul rând, îndreptați-vă spre Mashable, unde an Poți găsi o listă actualizată a site-urilor cu nume mari afectate de Heartbleed, împreună cu sfaturi pentru a vă schimba parola sau nu.

Pentru site-urile web mai mici, acest instrument excelent de căutare vă va spune instantaneu dacă site-ul a fost sau nu plasat.

O alternativă este Verificator Chromebleed extensie pentru Google Chrome.

Dacă site-urile web pe care le utilizați au fost afectate și nu au aplicat încă vulnerabilitatea Heartbleed, evitați să vă conectați până când situația este rezolvată.

Concluzie: este un joc de așteptare

Pentru a face față furtunii Heartbleed nu ar trebui să fie o problemă pentru cei mai mulți. Lipiți cursul pe care ni l-am recomandat mai sus și nu schimbați nicio parolă decât după ce veți primi acest lucru de către site-urile și serviciile respective.

Muo-heartbleed-help-inima

De asemenea, puteți utiliza instrumente noi pentru a verifica dacă site-ul web pe care intenționați să îl vizitați (sau chiar cel pe care îl conduceți) a fost afectat și dacă a fost aplicată o soluție.

Cel mai important, stai în siguranță și ai răbdare. Potențialul pentru Heartbleed de a cauza probleme masive este încă - evitați site-urile web care necesită corecție până când știți că acum sunt sigure.

Credite imagine: Bullet Heart via Shutterstock, HTTPS prin Shutterstock, Nu apăsați butonul de panică prin Shutterstock, Parolă prin Shutterstock

Christian Cawley este redactor redactor pentru securitate, Linux, bricolaj, programare și tehnică explicată. De asemenea, el produce Podcast-ul cu adevărat util și are o experiență vastă în suport pentru desktop și software. Colaborator al revistei Format Linux, Christian este un tinkerer Raspberry Pi, iubitor de Lego și fan de jocuri retro.