Strona główna Bezpieczeństwo Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo?

Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo?

  • Edmund Richardson
  • 0
  • 1082
  • 175
Reklama

Luka w zabezpieczeniach Heartbleed SSL pojawia się w nagłówkach na całym świecie - a błędne zgłaszanie w prasie i Internecie powoduje zamieszanie. Jak możesz zachować bezpieczeństwo i upewnić się, że Twoje dane osobowe nie zostały ujawnione?

Co to jest Heartbleed? To nie jest wirus

Prawdopodobnie słyszałeś Heartbleed opisany jako wirus. Tak nie jest: w rzeczywistości jest to słabość, luka w zabezpieczeniach serwerów z OpenSSL. Jest to implementacja SSL i TLS typu open source, protokołów używanych do bezpiecznych połączeń - tych, które się rozpoczynają https: // raczej niż zwykle http: //.

Ta luka - częściej określana jako błąd - zasadniczo tworzy lukę, przez którą hakerzy mogą obejść szyfrowanie. Potwierdzony 7 kwietniath 2014, występuje we wszystkich wersjach OpenSSL z wyjątkiem 1.0.1g. Zagrożenie jest ograniczone do witryn z OpenSSL - dostępne są inne biblioteki SSL i TLS, ale OpenSSL jest szeroko stosowany na serwerach w Internecie. Rozwiązano problem, który nie został zastosowany w witrynach, które regularnie odwiedzasz w celu zapewnienia bezpiecznych działań. Mogą to być zakupy online, hazard i inne witryny o tematyce dla dorosłych, a nawet sieci społecznościowe.

W rezultacie wszelkie dane osobowe i finansowe mogą być zagrożone.

Aby dowiedzieć się, jak duże znaczenie ma Heartbleed (i dlaczego jest tak zwany), Ryan niedawno umieścił ten błąd obejmujący cały Internet w kontekście Ogromny błąd w OpenSSL stawia znaczną część Internetu Zagrożony Ogromny błąd w OpenSSL stawia dużo Internetu Zagrożony Jeśli jesteś jedną z osób, które zawsze wierzyły, że kryptografia typu open source jest najbezpieczniejszym sposobem komunikacji online, czeka Cię niespodzianka. . Powinniśmy podkreślić, że Heartbleed jest podatnością na zagrożenia internetowe i dlatego wpływa na użytkowników wszystkich systemów operacyjnych, komputerów i urządzeń mobilnych.

To wielka sprawa - ale co możesz z tym zrobić??

Zignoruj ​​szum i nie panikuj

Jest jedna rzecz, której nie powinieneś robić: panika. W ciągu ostatnich kilku dni wiele zostało napisanych w Internecie i w mediach drukowanych, a wiele z nich to hype, doom pornografia, które zawstydziłyby efekty słynnej audycji radiowej War of the Worlds Orsona Wellesa.

Wiele z tego, co już widzieliście, zostało zebrane w materiałach prasowych i innych raportach dziennikarzy niezaznajomionych z terminologią i braku jasnego zrozumienia ryzyka.

Na przykład możesz wiedzieć, że powinieneś natychmiast zmienić swoje hasła (nie do końca prawda, powinniśmy dodać - patrz poniżej). Ale czy wiesz o ryzyku phishingu?

Ryzyko phishingu

Odpowiedzialne usługi internetowe, banki i sieci społecznościowe, na które wpłynęła Heartbleed, wyślą Ci wiadomość e-mail z informacją, że usunęli lukę, i zalecą zmianę hasła.

Oczywiście powinieneś to zrobić - ale pamiętaj, że ta sytuacja stanowi dla phisherów idealną okazję do rozpoczęcia wysyłania fałszywych wiadomości e-mail wraz z osadzonymi linkami do “Zmień hasło” strona - w rzeczywistości strona zaprojektowana do zbierania twoich danych.

Żadna z usług, z których korzystasz, nie powinna zalecać kliknięcia linku zmiany hasła w wiadomości e-mail wysłanej niezamówionej wiadomości e-mail. Niestety zrobiło to IFTTT, podobnie jak Pinterest (powyżej). Jest to zła praktyka i sprawia wrażenie, że taki link jest akceptowalny i należy go kliknąć.

Takiego linku nie należy klikać, chyba że poprosiłeś o wiadomość e-mail.

E-maile dotyczące resetowania hasła Heartbleed nie powinny zawierać linków logowania. Jeśli tak, usuń je, a następnie odwiedź witrynę, wpisując adres w przeglądarce (lub wybierając go z historii lub ulubionych, w zależności od tego, jak sobie z tym radzisz). Stamtąd zresetuj hasło…

… Ale tylko wtedy, gdy naprawdę potrzebujesz na tym etapie.

Niestety, wynikająca z PR potrzeba, aby firmy wyglądały tak, jakby robiły coś z zagrożeniami takimi jak Heartbleed, może okazać się równie szkodliwe jak samo zagrożenie.

Więc powinieneś zmienić swoje hasła?

Jednym z głównych porad Heartbleed w obiegu jest to, że należy natychmiast zmienić hasło.

Wszyscy.

Jest to niestety przykład dezinformacji, o której wspomniałem we wstępie. Załóżmy, że używasz tego samego hasła do kilku stron internetowych. Przede wszystkim jest to zła praktyka i powinieneś ponownie rozważyć zrobienie tego w przyszłości (nie wspominając o stworzeniu bezpieczniejszych haseł Bezpieczne hasła: Wygeneruj inne hasło dla każdej witryny Bezpieczne hasła: Wygeneruj inne hasło dla każdej witryny).

Po drugie, jeśli bezkrytycznie zmienisz wszystkie swoje hasła, prawdopodobnie zrobisz to na stronie internetowej, która nie działa na łatanym serwerze - na którym Heartbleed wciąż jest podatny na atak.

Nieumyślnie potencjalnie podzieliłeś swoje stare hasło i nowe hasło z tymi, którzy są w stanie wykorzystać lukę w swoich operacjach oszustwa tożsamości i spamu.

W związku z tym należy zmieniać hasło tylko dla poszczególnych witryn, gdy wiadomo, że zostały one załatane - to znaczy, że poprawka została zastosowana, a luka zamknięta.

Sprawdź, które strony zostały załatane

Zacznij od sprawdzenia, które witryny są wolne od luki Heartbleed.

Można to zrobić na dwa sposoby. Najpierw udaj się do Mashable, gdzie można znaleźć aktualną listę znanych marek, na które wpływa Heartbleed, wraz z poradami, czy należy zmienić hasło, czy nie.

W przypadku mniejszych witryn ta doskonała wyszukiwarka natychmiast pokaże, czy witryna została załatana.

Alternatywą jest rozszerzenie Chromebleed Checker dla Google Chrome.

Jeśli wpłynęło to na witryny, z których korzystasz, i jeszcze nie załatały luki Heartbleed, unikaj logowania, dopóki sytuacja nie zostanie rozwiązana.

Wniosek: jest to gra oczekująca

Radzenie sobie z burzą Heartbleed nie powinno stanowić większego problemu. Trzymaj się kursu, który zaleciliśmy powyżej, i nie zmieniaj żadnych haseł, dopóki nie otrzymasz odpowiednich instrukcji od odpowiednich witryn i usług.

Możesz także użyć nowych narzędzi, aby sprawdzić, czy wpływ na witrynę, którą zamierzasz odwiedzić (lub nawet tę, którą prowadzisz), został naruszony oraz czy zastosowano poprawkę.

Co najważniejsze, bądź bezpieczny i bądź cierpliwy. Nadal istnieje potencjał powodowania przez Heartbleed ogromnych problemów - unikaj witryn wymagających łatania, dopóki nie dowiesz się, że są one bezpieczne.

Kredyty graficzne: Bullet Heart przez Shutterstock, HTTPS przez Shutterstock, Don't Panic Button przez Shutterstock, Hasło przez Shutterstock




Jeszcze bez komentarzy

3 szybkie sposoby kompresji plików PDF za darmo
Wydajność
Jak włączyć całkowitą liczbę wiadomości dla folderów w programie Outlook
Wydajność
Jak importować dane do arkuszy kalkulacyjnych Excel w czysty i łatwy sposób
Wydajność
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.