Reklama

Zraniteľnosť SSL s podporou Heartbleed robí titulky po celom svete - a nesprávny ohlas v tlači a online spôsobuje zmätok. Ako môžete zostať v bezpečí a zistiť, že vaše osobné údaje neboli prezradené?

Čo je to Heartbleed? Nie je to vírus

Pravdepodobne ste počuli Heartbleed opísaný ako vírus. To nie je tento prípad: v skutočnosti je to slabina, zraniteľnosť na serveroch so systémom OpenSSL. Toto je open source implementácia SSL a TLS, protokolov používaných pre zabezpečené pripojenia - tie, ktoré sa začínajú https: // namiesto obvyklých http: //.

Muo-heartbleed-help-https

Táto zraniteľnosť, ktorá sa bežne označuje ako chyba, v podstate vytvára dieru, prostredníctvom ktorej hackeri môžu šifrovanie obísť. Potvrdené 7. aprílath 2014 sa vyskytuje vo všetkých verziách OpenSSL okrem 1.0.1g. Hrozba je obmedzená na weby, na ktorých je spustený OpenSSL - sú k dispozícii ďalšie knižnice SSL a TLS, ale OpenSSL sa bežne používa na serveroch po celom webe. Oprava problému existuje, ale nemusí sa to týkať webových stránok, ktoré pravidelne navštevujete kvôli zabezpečeným činnostiam. Môže ísť o online nakupovanie, hazardné hry a iné webové stránky zamerané na dospelých alebo dokonca o vytváranie sociálnych sietí.

instagram viewer

V dôsledku toho by mohli byť ohrozené všetky osobné a finančné informácie.

Ak chcete získať predstavu o tom, aká veľká dohoda je Heartbleed (a prečo je takzvaná), Ryan nedávno uviedol túto chybu súvisiacu s internetom do kontextu Masívna chyba v OpenSSL kladie veľa internetu na rizikoAk ste jedným z tých ľudí, ktorí vždy verili, že kryptografia s otvoreným zdrojom je najbezpečnejším spôsobom komunikácie online, ste na chvíľu prekvapení. Čítaj viac . Mali by sme zdôrazniť, že Heartbleed je zraniteľnosťou na internete, a preto ovplyvňuje používateľov všetkých operačných systémov, stolných aj mobilných.

Takže je to veľká vec - ale čo s tým môžete urobiť?

Ignorujte The Hype & Don't Panic

Nemali by ste robiť jednu vec: paniku. Za posledných pár dní sa toho veľa napísalo na internete av tlačených médiách a veľa z toho je humbuk, doom porno, na ktoré by sa preniesli účinky známeho rozhlasového vysielania Vojny svetov Orsona Wellesa škoda.

Muo-heartbleed-help-dontpanic

Veľa z toho, čo ste už videli, bude spolu dláždených z tlačových správ a ďalších správy novinárov, ktorí nie sú oboznámení s terminológiou a nedostatkom jasného porozumenia riskuje.

Napríklad by ste mohli vedieť, že by ste si mali okamžite zmeniť svoje heslá (nie je to úplne pravda, mali by sme ich pridať - pozri nižšie). Ale vedeli ste o riziku phishingu?

Riziko phishingu

Zodpovedné webové služby, banky a sociálne siete, ktoré boli zasiahnuté Heartbleedom, vás upustia e-mail, ktorý vás informuje o tom, že chybu odstránili a odporučili vám zmeniť váš heslá.

Prirodzene, mali by ste to urobiť - ale uvedomte si, že táto situácia predstavuje pre phisherov ideálnu príležitosť začať odosielať správy falošné e-maily, doplnené vloženými odkazmi na stránku „Zmena hesla“ - v skutočnosti web navrhnutý na zber vašich údajov detaily.

Muo-heartbleed-help-Pinterest

Žiadna zo služieb, ktorú používate, by vám nemala odporučiť kliknúť na odkaz na zmenu hesla v e-maile odoslanom nevyžiadanou poštou. Bohužiaľ, IFTTT áno, rovnako ako Pinterest (vyššie). Toto je zlý postup a vyvoláva dojem, že takýto odkaz je prijateľný a malo by sa naň kliknúť.

Pokiaľ ste o e-mail nepožiadali, na tento odkaz by ste nemali kliknúť.

E-maily s obnoveným heslom by nemali obsahovať prihlasovacie odkazy. Ak áno, odstráňte ich a potom navštívte webovú stránku zadaním adresy do svojho prehliadača (alebo výberom z histórie alebo obľúbených položiek v závislosti od toho, ako sa s nimi pohybujete). Odtiaľ obnovte svoje heslo ...

... ale iba vtedy, ak to skutočne potrebujete.

Bohužiaľ, potreba PR, aby spoločnosti vyzerali, akoby niečo robili s hrozbami, ako je Heartbleed, sa môže ukázať rovnako škodlivá ako samotná hrozba.

Takže, mali by ste zmeniť svoje heslá?

Jednou z hlavných častí rady Heartbleed v obehu je, že by ste si mali okamžite zmeniť svoje heslá.

Všetky.

Toto je, žiaľ, príklad dezinformácie, ktorú som uviedol v úvode. Povedzme, že používate rovnaké heslo pre niekoľko webových stránok. V prvom rade je to zlá prax a mali by ste ju v budúcnosti znovu zvážiť (nehovoriac o tom) vytvárať bezpečnejšie heslá Bezpečné heslá: Vytvorte pre každý web iné heslo Čítaj viac ).

Muo-heartbleed-help-password

Po druhé, ak bez rozdielu zmeníte všetky svoje heslá, je pravdepodobné, že to urobíte na webe, ktorý nie je spustený na opravenom serveri - na ktorom je Heartbleed stále zraniteľnosť.

Neúmyselne ste potenciálne zdieľali svoje staré heslo a svoje nové heslo s tými, ktorí sú schopní zneužiť túto zraniteľnosť pre ich podvody s identitou a spam.

Z tohto dôvodu by ste mali meniť svoje heslo iba pre jednotlivé lokality, keď viete, že boli opravené - to znamená, že oprava bola použitá a zraniteľnosť bola uzavretá.

Skontrolujte, ktoré webové stránky boli opravené

Začnite tým, že skontrolujete, ktoré webové stránky neobsahujú chybu zabezpečenia Heartbleed.

Existujú dva spôsoby, ako to urobiť. Najprv choďte na Mashable, kde nájdete najaktuálnejší zoznam veľkých webových stránok postihnutých Heartbleedom, spolu s radou, či by ste si mali zmeniť svoje heslo alebo nie.

Pre menšie webové stránky tento vynikajúci vyhľadávací nástroj okamžite vám povie, či bol web opravený.

Alternatívou je internet Chromebleed Checker rozšírenie pre Google Chrome.

Ak boli webové stránky, ktoré používate, ovplyvnené a ešte neopravili chybu zabezpečenia Heartbleed, vyhnite sa prihláseniu, kým sa situácia nevyrieši.

Záver: Je to čakacia hra

Zaobchádzanie s búrkou Heartbleed by nemalo byť problémom pre väčšinu. Držte sa kurzu, ktorý sme už uviedli, a nemeňte žiadne heslá, kým na to nedostanete pokyn od príslušných webových stránok a služieb.

Muo-heartbleed-help-heart

Môžete tiež použiť nové nástroje na kontrolu, či bol ovplyvnený web, ktorý plánujete navštíviť (alebo dokonca ten, ktorý prevádzkujete) a či bola oprava použitá.

A čo je najdôležitejšie, zostaňte v bezpečí a buďte trpezliví. Stále existuje potenciál pre Heartbleed spôsobiť veľké problémy - vyhnite sa akýmkoľvek webovým stránkam, ktoré vyžadujú opravu, až kým neviete, že sú v bezpečí.

Kredity obrázkov: Bullet Heart prostredníctvom Shutterstock, HTTPS cez Shutterstock, Neprepadajte panike cez Shutterstock, Heslo cez Shutterstock

Christian Cawley je zástupcom redaktora pre bezpečnosť, Linux, DIY, programovanie a techniku. Produkuje tiež skutočne užitočný podcast a má bohaté skúsenosti s podporou počítačov a softvéru. Christian je prispievateľom do časopisu Linux Format a je fanúšikom Raspberry Pi, milencom Lego a retro hráčom.