Gabriel Brooks
0 
3850
762
Rasprostranjenost SSL-a Heartbleed stvara naslove širom svijeta - a pogrešno izvještavanje u tisku i na mreži uzrokuje zbrku. Kako možete biti sigurni i slijediti vaše osobne podatke, ne propuštaju se?
Što je srce? Pa, to nije virus
Vjerojatno ste čuli Heartbleed opisan kao virus. To nije slučaj: u stvari, to je slabost, ranjivost na poslužiteljima koji pokreću OpenSSL. Ovo je implementacija otvorenog koda SSL i TLS, protokola koji se koriste za sigurne veze - onih koji započinju https: // a ne uobičajeno http: //.
Ta ranjivost - koja se češće naziva bugom - u osnovi stvara rupu kroz koju hakeri mogu zaobići šifriranje. Potvrđeno 7. travnjath 2014. pojavljuje se u svim verzijama OpenSSL-a osim 1.0.1g. Prijetnja je ograničena na web mjesta koja pokreću OpenSSL - dostupne su i druge SSL i TLS knjižnice, ali je OpenSSL široko korišten na poslužiteljima širom weba. Postoji problem za rješenje problema, ali to se možda nije primijenilo na web mjesta koja redovito posjećujete zbog sigurnih aktivnosti. To mogu biti internetska kupovina, kockanje i druge web-lokacije s temama za odrasle ili čak društvene mreže.
Zbog toga bi sve vrste osobnih i financijskih podataka mogle biti izložene riziku.
Kako bi dobio ideju o tome koliko je velika ponuda Heartbleed-a (i zašto je takozvana), Ryan je nedavno stavio ovu grešku koja se prenosi putem Interneta u kontekst Massive Bug in OpenSSL stavlja mnogo interneta na rizik Massive Bug in OpenSSL stavlja mnogo interneta U riziku Ako ste jedan od onih ljudi koji su oduvijek vjerovali da je kriptografija otvorenog koda najsigurniji način za komuniciranje putem interneta, čeka vas neko iznenađenje. , Treba naglasiti da je Heartbleed ranjivost koja se temelji na Internetu i stoga utječe na korisnike svih operativnih sustava, desktop i mobilnih uređaja.
Dakle, velika je stvar - ali što možete učiniti u vezi s tim?
Zanemarite hipe i nemojte paničariti
Pa, postoji jedna stvar koju ne bi trebali raditi: panika. Proteklih dana puno se pisalo putem interneta i u tiskanim medijima, a puno toga je bilo hiper, doom pornića koji bi učinke čuvenog radija "Rat svjetskih svjetova" Orsona Wellesa sramotili.
Mnogo onoga što ste već vidjeli napravljeno je iz priopćenja za medije i drugih izvještaja novinara koji nisu upoznati s terminologijom i nedostatkom jasnog razumijevanja rizika.
Na primjer, možda znate da biste trebali odmah promijeniti lozinke (nije u potpunosti točno, trebali bismo dodati - vidi dolje). Ali jeste li znali za rizik krađe identiteta?
Rizik krađe identiteta
Odgovorne web usluge, banke i društvene mreže na koje je Heartbleed utjecao, uputit će vam poruku e-pošte kako bi vas obavijestili da su popravili ranjivost i preporučili vam da promijenite zaporku.
Naravno, trebali biste to učiniti - ali budite svjesni da ova situacija predstavlja idealnu priliku da lažnjaci započnu slati lažne e-poruke, zajedno s ugrađenim vezama na “promijenite lozinku” stranica - u stvarnosti web mjesto dizajnirano za prikupljanje vaših podataka.
Nijedna usluga koju koristite ne bi vam trebala preporučiti da kliknete vezu za promjenu zaporke u poruci e-pošte poslanoj neželjenoj e-pošti. Nažalost, IFTTT je to učinio, kao i Pinterest (gore). To je loša praksa i stvara dojam da je takva veza prihvatljiva i da je treba kliknuti.
Ako niste zatražili e-poštu, na takvu se vezu ne bi smjelo kliknuti.
E-poruke o ponovnom postavljanju lozinke ne smiju sadržavati veze za prijavu. U tom slučaju obrišite ih, a zatim posjetite web mjesto upisivanjem adrese u vaš preglednik (ili odabirom iz povijesti ili favorita, ovisno o tome kako se krećete s tim stvarima). Od tamo resetirajte zaporku ...
… Ali samo ako stvarno trebate u ovoj fazi.
Nažalost, potreba da kompanije izgledaju kao da rade nešto o prijetnjama poput Heartbleed-a može se pokazati jednako štetnom koliko i sama prijetnja.
Dakle, trebate li promijeniti lozinke?
Jedan od glavnih dijelova Heartbleed savjeta u optjecaju je da biste trebali odmah promijeniti svoje lozinke.
Svi oni.
To je, nažalost, primjer dezinformacija koje sam naveo u uvodu. Recimo da koristite istu lozinku za nekoliko web lokacija. Prije svega, ovo je loša praksa i trebali biste je ponovno razmotriti kako to raditi u budućnosti (a da ne spominjemo stvaranje sigurnijih zaporki. Sigurne lozinke: stvorite drugačiju lozinku za svaku sigurnu lozinku web lokacije: stvorite različitu lozinku za svaku web stranicu).
Drugo, ako neselektivno promijenite sve svoje lozinke, vjerovatno je da ćete to učiniti na web mjestu koje ne radi na zakrpljenom poslužitelju - onom na kojem Heartbleed i dalje predstavlja ranjivost.
Nehotice ste potencijalno podijelili staru i novu lozinku s onima koji mogu iskoristiti ranjivost za svoje prijevare s identitetom i neželjenu poštu..
Kao takvu, zaporku biste trebali mijenjati samo na mjestu do mjesta, samo kad znate da su zakrpljeni - to jest, ispravka je primijenjena i ranjivost zatvorena.
Provjerite koje su web stranice zakrpljene
Započnite provjerom koje web stranice ne uključuju ranjivost Heartbleeda.
Postoje dva načina za to. Prvo, krenite na Mashable na kojem se može pronaći ažurni popis web lokacija s velikim imenom na koje utječe Heartbleed, zajedno sa savjetima da li trebate promijeniti zaporku ili ne.
Za manje web stranice ovaj će izvrsni alat za pretraživanje odmah reći je li stranica zakrpana ili ne.
Alternativa je Chromebleed Checker proširenje za Google Chrome.
Ako su web-lokacije koje koristite bile pogođene i još nisu zakrpile ranjivost Heartbleed-a, izbjegavajte prijavu dok se situacija ne riješi..
Zaključak: To je igra koja čeka
Suočavanje sa olujom Heartbleed za većinu ne bi trebao biti problem. Pridržavajte se kursa koji smo prethodno savjetovali i nemojte mijenjati nikakve lozinke dok vas to ne navede na odgovarajućim web lokacijama i uslugama.
Također možete koristiti nove alate za provjeru je li utjecalo na web mjesto koje planirate posjetiti (ili čak ono koje pokrećete) i je li primijenjen ispravak.
Ono što je najvažnije, budite sigurni i budite strpljivi. Mogućnost da Heartbleed prouzrokuje velike probleme još uvijek postoji - izbjegavajte web stranice koje zahtijevaju krpanje sve dok ne znate da su sada sigurne.
Slikovni krediti: Bullet Heart putem Shutterstock-a, HTTPS-a preko Shutterstocka, gumba ne panika preko Shutterstocka, lozinke putem Shutterstocka.