Hirdetés

A Heartbleed SSL sebezhetőség címsorokat vált szerte a világon - és a sajtóban és az online téves jelentések zavart okoznak. Hogyan lehet biztonságban maradni, és megakadályozhatja, hogy személyes adatai ne szivárogjanak fel?

Mi a szívverés? Nos, ez nem vírus

Valószínűleg hallotta, hogy a Heartbleed vírus. Nem ez a helyzet: valójában gyengeség, sebezhetőség az OpenSSL-t futtató szervereknél. Ez az SSL és a TLS nyílt forráskódú megvalósítása, a biztonságos kapcsolatokhoz használt protokollok - azok, amelyek kezdődnek https: // a szokásos helyett http: //.

MUO-heartbleed-help-https

Ez a sebezhetőség - amelyet általában hibának hívnak - alapvetően egy lyukat hoz létre, amelyen keresztül a hackerek megkerülhetik a titkosítást. Megerősítettük április 7-énth 2014-ben, az OpenSSL összes verziójában előfordul, az 1.0.1g kivételével. A fenyegetés az OpenSSL-t futtató webhelyekre korlátozódik - más SSL és TLS könyvtárak is elérhetők, de az OpenSSL-t széles körben alkalmazzák az interneten működő szerverekre. A probléma megoldódott, de valószínűleg nem alkalmazták azt a weboldalt, amelyet rendszeresen meglátogat a biztonságos tevékenységek érdekében. Lehet, hogy online vásárlás, szerencsejáték és más felnőtt témájú webhelyek vagy akár közösségi hálózatok.

instagram viewer

Ennek eredményeként mindenféle személyes és pénzügyi információ veszélyben lehet.

Hogy képet kapjon arról, hogy mekkora egy üzlet a szívverésből (és miért nevezik úgynevezettnek), Ryan a közelmúltban összetette az internetre kiterjedő hibát a kontextusba Az OpenSSL nagy hibája az Internet nagy részét veszélyeztetiHa Ön azon emberek közé tartozik, akik mindig is azt hitték, hogy a nyílt forráskódú kriptográfia a legbiztonságosabb módja az online kommunikációnak, akkor egy kicsit meglepődik. Olvass tovább . Hangsúlyoznunk kell, hogy a Heartbleed egy Internet alapú sebezhetőség, és ezért az összes operációs rendszer - asztali és mobil - felhasználóira kihat.

Tehát ez nagy dolog - de mit tehetne vele?

Hagyja figyelmen kívül a Hype & Don’t Panic-t

Nos, van egy dolog, amit nem szabad megtenni: pánik. Az elmúlt napokban sokat írtak az interneten és a nyomtatott sajtóban, és nagyon sok az hype, végzet pornó, amely Orson Welles híres világháborújának rádióműsorának hatásait közvetíti szégyen.

MUO-heartbleed-help-dontpanic

A már látott események nagy részét a sajtóközleményekből és másból összerakják az újságírók jelentései, amelyek ismeretlenek a terminológiáról és a világos ismeretek hiányáról kockázatok.

Például, tudhatja, hogy azonnal meg kell változtatnia a jelszavait (nem teljesen igaz, hozzá kell tennünk - lásd alább). De tudott-e az adathalász kockázatáról?

Az adathalász kockázat

A felelősségteljes webszolgáltatások, bankok és közösségi hálózatok, amelyeket a Szívverés érintettek, el fog hagyni e-mailben, hogy tudatja Önnel, hogy kijavították a biztonsági rést, és javasolja, hogy cserélje ki Jelszó.

Természetesen ezt meg kell tennie, de vegye figyelembe, hogy ez a helyzet ideális lehetőséget kínál az adathalászoknak a küldés megkezdésére hamis e-mailek, beágyazott linkekkel a „jelszó megváltoztatása” oldalhoz - a valóságban egy olyan webhely, amelynek célja a részletek.

MUO-heartbleed-help-pinterest

Az Ön által használt szolgáltatások egyikének sem javasolhatja, hogy kattintson a jelszó megváltoztatás linkre egy kéretlen e-mailben. Sajnos az IFTTT megtette, mint a Pinterest (fent). Ez rossz gyakorlat, és azt a benyomást kelti, hogy egy ilyen link elfogadható, és rá kell kattintani.

Ha nem kérte az e-mailt, akkor erre a linkre nem szabad kattintani.

A szívveréses jelszó-visszaállítási e-mailek nem tartalmazhatnak bejelentkezési linkeket. Ha igen, törölje őket, majd látogasson el a webhelyre, és írja be a címet a böngészőjébe (vagy válassza ki az előzményekből vagy a kedvencek közül, attól függően, hogy miként mozog ezekkel a dolgokkal). Innentől kezdve állítsa vissza a jelszavát ...

… De csak akkor, ha ténylegesen szüksége van erre a szakaszra.

Sajnos a vállalatok PR-vezérelt igénye, hogy úgy tűnjön, mintha valami olyan fenyegetéssel foglalkozik, mint például a Heartbleed, ugyanolyan károsnak bizonyulhat, mint maga a fenyegetés.

Tehát, ha meg kell változtatnia a jelszavait?

A forgalomban lévő Heartbleed tanácsok egyik fő eleme, hogy azonnal meg kell változtatnia a jelszavait.

Mindegyikük.

Sajnos ez egy példa a téves információkra, amelyekre az intro-ban hivatkoztam. Tegyük fel, hogy ugyanazt a jelszót használja több webhelyen. Mindenekelőtt ez rossz gyakorlat, és ezt a jövőben meg kell fontolnia (nem is beszélve hozzon létre biztonságosabb jelszavakat Biztonságos jelszavak: Hozzon létre más jelszót minden webhelyhez Olvass tovább ).

MUO-heartbleed-help-jelszó

Másodszor, ha megkülönböztetés nélkül megváltoztatja az összes jelszavát, akkor valószínű, hogy meg fogja változtatni egy olyan webhelyen, amely nem fut javított szerveren - amelyen a Heartbleed továbbra is a sebezhetőség.

Véletlenül megosztotta a régi jelszavát és az új jelszavát azokkal, akik képesek kihasználni a biztonsági rést személyazonosság-csalás és spamműveletek miatt.

Mint ilyen, csak akkor kell megváltoztatnia a jelszavát helyről-helyre, ha tudja, hogy javításuk történt - azaz a javítást alkalmazták és a biztonsági rést bezárták.

Ellenőrizze, mely webhelyek javultak

Kezdje el ellenőrizni, hogy mely webhelyek mentesek a Heartbleed sebezhetőségtől.

Ennek két módja van. Először menj Mashable-hez, ahol egy A Heartbleed által érintett nagy névű webhelyek naprakész listája megtalálhatóvalamint tanácsot arra vonatkozóan, hogy meg kell-e változtatnia a jelszavát.

A kisebb webhelyek esetében ez a kiváló kereső eszköz azonnal megmondja, hogy a webhely javításra került-e vagy sem.

Alternatív megoldás a Krómozott ellenőrző kiterjesztés a Google Chrome-hoz.

Ha az Ön által használt webhelyek érintettek, és még nem javították ki a Heartbleed biztonsági rését, kerülje a bejelentkezést, amíg a helyzet meg nem oldódik.

Következtetés: Várakozó játék

A szívveréses vihar kezelése a legtöbb ember számára nem jelent problémát. Maradjon a fent javasolt kurzuson, és ne módosítsa a jelszavakat, amíg a megfelelő webhelyek és szolgáltatások nem utasítják erre.

MUO-heartbleed-help-szív

Új eszközöket is használhat annak ellenőrzésére, hogy a webhely, amelyet meglátogat (vagy akár az ön által üzemeltetett) webhelyet érint-e, és hogy van-e javítás.

A legfontosabb: maradj biztonságban és légy türelmes. Még mindig fennáll a lehetősége, hogy a Heartbleed hatalmas problémákat okozzon - kerülje el a javításra szoruló webhelyeket, amíg nem tudja, hogy azok biztonságban vannak.

Kép kreditek: Bullet Heart keresztül Shutterstock, HTTPS a Shutterstockon keresztül, Ne pánik gombot indítson a Shutterstockon keresztül, Jelszó a Shutterstock-on keresztül

Christian Cawley a biztonság, a Linux, a barkácsolás, a programozás és a műszaki magyarázatú szerkesztőhelyettes. Előállítja a The Really Useful Podcast-ot is, és nagy tapasztalattal rendelkezik az asztali és szoftver támogatással kapcsolatban. Christian, a Linux Format magazin közreműködője, egy Raspberry Pi gyártója, Lego szeretője és retro játék rajongója.