Oglas

Ranljivost Heartbleed SSL postavlja naslove po vsem svetu - in napačno poročanje v tisku in spletu povzroča zmedo. Kako lahko ostanete na varnem in iz tega izpeljete svoje osebne podatke?

Kaj je srčno? No, to ni virus

Verjetno ste že slišali, da je Heartbleed opisan kot virus. Ni tako: v resnici gre za šibkost, ranljivost na strežnikih, ki poganja OpenSSL. To je odprtokodna implementacija SSL in TLS, protokolov, ki se uporabljajo za varne povezave - tiste, ki se začnejo https: // namesto običajnega http: //.

muo-heartbleed-help-https

Ta ranljivost - pogosteje imenovana hrošče - v bistvu ustvari luknjo, skozi katero lahko hekerji zaobidejo šifriranje. Potrjeno 7. aprilath 2014, pojavlja se v vseh različicah OpenSSL, razen 1.0.1g. Grožnja je omejena na spletna mesta, na katerih se izvaja OpenSSL - na voljo so druge knjižnice SSL in TLS, vendar je OpenSSL široko uporabljen na spletnih strežnikih. Odpravljanje težave obstaja, vendar to morda ni varno uporabljati na spletnih mestih, ki jih redno obiskujete. To so lahko spletna nakupovanja, igre na srečo in druga spletna mesta s temami za odrasle ali celo socialna omrežja.

instagram viewer

Posledično bi lahko bile ogrožene vse vrste osebnih in finančnih informacij.

Če želite razumeti, kako velik posel je Heartbleed (in zakaj je tako imenovan), Ryan je pred kratkim postavil to hrošč, ki se razgibava po internetu Masivna napaka v OpenSSL ogroža veliko internetaČe ste eden tistih ljudi, ki ste vedno verjeli, da je kriptografija odprtega koda najbolj varen način za komunikacijo prek spleta, vas čaka nekoliko presenečenje. Preberi več . Poudariti moramo, da je Heartbleed ranljivost na internetu in zato vpliva na uporabnike vseh operacijskih sistemov, namiznih in mobilnih telefonov.

Torej, je velika stvar - a kaj lahko storite glede tega?

Ignoriraj Hype & Don Panic

No, nekaj, česar ne bi smeli storiti, je: panika. V zadnjih dneh je bilo veliko napisanega po internetu in v tiskanih medijih in veliko je hype, doom porn, ki bi povzročil posledice radijske oddaje Orson Welles War of the Worlds sramota.

muo-srčno-pomoč-dontpanic

Velik del tega, kar ste že videli, je bilo stisnjenih skupaj iz sporočil za javnost in drugega poročila novinarjev, ki niso seznanjeni s terminologijo in pomanjkanjem jasnega razumevanja tveganja.

Na primer, morda veste, da morate takoj spremeniti gesla (ni povsem res, dodati bi morali - glejte spodaj). A ste vedeli za tveganje lažnega predstavljanja?

Tveganje lažnega predstavljanja

Odgovorne spletne storitve, banke in družbena omrežja, na katere je prizadel Heartbleed, vam bodo odpovedali sporočite, da so popravili ranljivost, in priporočamo, da spremenite svojo geslo.

Seveda bi morali to storiti - vendar se zavedajte, da takšna situacija predstavlja lažnikom priložnost, da začnejo pošiljati ponarejena e-poštna sporočila, skupaj z vdelanimi povezavami do strani »spremeni geslo« - v resnici je spletno mesto namenjeno pridobivanju vašega podrobnosti.

muo-heartbleed-help-pinterest

Nobena od storitev, ki jih uporabljate, ne bi smela priporočiti, da kliknete povezavo za spremembo gesla v e-poštnem sporočilu, ki je bilo poslano nezaželeno. Na žalost je IFTTT, kot je to storil Pinterest (zgoraj). To je slaba praksa in daje vtis, da je takšna povezava sprejemljiva in jo je treba klikniti.

Razen če niste zahtevali e-pošte, se takšne povezave ne sme klikati.

E-poštna sporočila za ponastavitev gesla ne smejo vsebovati povezav za prijavo. V nasprotnem primeru jih izbrišite in obiščite spletno mesto tako, da v brskalnik vtipkate naslov (ali pa ga izberete iz zgodovine ali priljubljenih, odvisno od tega, kako se s to stvarjo kotaljete). Od tam ponastavite geslo ...

… Vendar le, če boste to dejansko morali v tej fazi.

Na žalost je potreba, ki jo vodijo PR, da bi podjetja izgledala, kot da delajo nekaj o grožnjah, kot je Heartbleed, lahko prav tako škodljiva kot grožnja sama.

Bi torej morali spremeniti gesla?

Eden glavnih nasvetov Heartbleed v obtoku je, da morate nemudoma spremeniti gesla.

Vse.

To je na žalost primer dezinformacij, ki sem jih omenil v uvodu. Recimo, da uporabljate isto geslo za več spletnih mest. Najprej je to slaba praksa in v prihodnosti bi morali znova razmisliti o tem ustvarite varnejša gesla Varna gesla: ustvarite različno geslo za vsako spletno mesto Preberi več ).

muo-heartbleed-help-geslo

Drugič, če neločljivo spremenite vsa gesla, obstaja velika verjetnost, da boste to storili na spletnem mestu, ki ne deluje na zakrpanem strežniku - tisto, na katerem je Heartbleed še vedno ranljivost.

Nenamerno ste potencialno delili svoje staro geslo in novo geslo s tistimi, ki lahko izkoristijo ranljivost za svoje goljufije z identiteto in nezaželeno pošto.

Kot geslo morate spremeniti geslo od mesta do mesta le, ko veste, da je bilo popravljeno - to je, da je bil popravek uporabljen in je ranljivost zaprta.

Preverite, katera spletna mesta so bila zakrpljena

Začnite s preverjanjem, katera spletna mesta ne vključujejo ranljivosti Heartbleed.

Obstajata dva načina. Najprej se odpravite do Mashable, kjer je najdete najnovejši seznam spletnih mest z velikimi imeni, na katere vpliva Heartbleed, skupaj z nasveti, ali morate spremeniti geslo ali ne.

Za manjša spletna mesta oz. to odlično orodje za iskanje vam bo takoj povedal, ali je spletno mesto zakrpljeno ali ne.

Druga možnost je Chromebleed Checker razširitev za Google Chrome.

Če so spletna mesta, ki jih uporabljate, prizadeta in še niso popravila ranljivosti Heartbleed, se izogibajte prijavi, dokler se situacija ne reši.

Zaključek: Igra čaka

Odpravljanje z nevihto v srcu za večino ne bi smelo biti problem. Držite se tečaja, ki smo vam ga svetovali zgoraj, in ne spreminjajte nobenega gesla, dokler vas ne bodo navodila za to s strani ustreznih spletnih mest in storitev.

muo-heartbleed-help-heart

Z novimi orodji lahko preverite tudi, ali je na spletno mesto, ki ga nameravate obiskati (ali celo tisto, ki ga zaženete), vplivalo in ali je bil uporabljen popravek.

Najpomembneje je, da ostanete na varnem in bodite potrpežljivi. Še vedno obstaja možnost, da Heartbleed povzroči ogromne težave - izogibajte se spletnim mestom, ki zahtevajo popravljanje, dokler ne veste, da so zdaj varne.

Slikovni krediti: Bullet Heart prek Shutterstocka, HTTPS prek Shutterstocka, Ne panirajte gumba prek Shutterstocka, Geslo prek Shutterstocka

Christian Cawley je namestnik urednika za varnost, Linux, samostojno delo, programiranje in razloženo tehnologijo. Proizvaja tudi Zares uporaben Podcast in ima bogate izkušnje na področju podpore za namizje in programsko opremo. Christian je sodelavec revije Linux Format, kristjalec Raspberry Pi, ljubitelj Lego in ljubitelj retro iger.