Lesley Fowler
0 
3323
10
Chyba zabezpečení Heartbleed SSL přináší titulky po celém světě - a nesprávné hlášení v tisku a online způsobuje zmatek. Jak můžete zůstat v bezpečí a vyvodit, že vaše osobní údaje nejsou prozrazeny?
Co je to Heartbleed? No, nejedná se o virus
Pravděpodobně jste slyšeli, že Heartbleed je popsán jako virus. To není tento případ: ve skutečnosti jde o slabost, zranitelnost na serverech s OpenSSL. Toto je open source implementace SSL a TLS, protokolů používaných pro zabezpečená připojení - ty, které začínají https: // spíše než obvykle http: //.
Tato zranitelnost - běžně označovaná jako chyba - v zásadě vytváří díru, kterou hackeři mohou šifrování obejít. Potvrzeno 7. dubnatis 2014 se vyskytuje ve všech verzích OpenSSL s výjimkou 1.0.1g. Hrozba je omezena na weby provozující OpenSSL - jsou k dispozici další knihovny SSL a TLS, ale OpenSSL je široce využíván na serverech po celém webu. Oprava problému existuje, ale to nemusí být aplikováno na weby, které pravidelně navštěvujete kvůli zabezpečeným činnostem. Může se jednat o online nakupování, hazardní hry a další webové stránky zaměřené na dospělé nebo dokonce o vytváření sociálních sítí.
V důsledku toho by mohly být ohroženy všechny osobní a finanční informace.
Abychom získali představu o tom, jak velká je dohoda Heartbleed (a proč je tak zvaná), Ryan nedávno uvedl tuto chybu týkající se Internetu do kontextu. V ohrožení Pokud jste jedním z těch lidí, kteří vždy věřili, že kryptografie s otevřeným zdrojovým kódem je nejbezpečnějším způsobem komunikace online, jste na trochu překvapení. . Měli bychom zdůraznit, že Heartbleed je zranitelnost na internetu, a proto ovlivňuje uživatele všech operačních systémů, stolních i mobilních.
Takže je to hodně - ale co s tím můžete dělat?
Ignorujte The Hype & Don't Panic
Je tu jedna věc, kterou byste neměli dělat: panika. V posledních několika dnech bylo na internetu a v tištěných médiích napsáno mnoho a mnoho z toho je humbuk, porno doom, které by zahanbilo účinky slavného rozhlasového vysílání War of the World Orsona Wellese..
Mnoho z toho, co jste již viděli, bylo dlážděno společně z tiskových zpráv a dalších zpráv novinářů, kteří nejsou obeznámeni s terminologií a nedostatkem jasného porozumění rizikům..
Můžete například vědět, že byste měli okamžitě změnit svá hesla (ne zcela pravda, měli bychom přidat - viz níže). Věděli jste ale o riziku phishingu?
Riziko phishingu
Odpovědné webové služby, banky a sociální sítě, které zasáhl Heartbleed, vám zašlou e-mail s upozorněním, že opravili chybu zabezpečení a doporučili změnit heslo.
Samozřejmě byste to měli udělat - ale uvědomte si, že tato situace představuje pro phishery ideální příležitost začít odesílat falešné e-maily, doplněné vloženými odkazy na “změnit heslo” stránka - ve skutečnosti web navržený ke shromažďování vašich údajů.
Žádná ze služeb, které používáte, by vám neměla doporučit kliknout na odkaz na změnu hesla v e-mailu zasílaném nevyžádanou poštou. Bohužel, IFTTT ano, stejně jako Pinterest (výše). To je špatný postup a vyvolává dojem, že takový odkaz je přijatelný a mělo by se na něj kliknout.
Pokud jste e-mail nevyžádali, neměli byste na takový odkaz kliknout.
E-maily s nastaveným heslem by neměly obsahovat přihlašovací odkazy. Pokud ano, odstraňte je a poté navštivte web zadáním adresy do svého prohlížeče (nebo výběrem z historie nebo oblíbených položek podle toho, jak se s nimi pohybujete). Odtud resetujte své heslo ...
… Ale pouze tehdy, pokud to skutečně potřebujete.
Bohužel, potřeba PR, aby společnosti vypadaly, jako by dělaly něco o hrozbách, jako je Heartbleed, se mohou ukázat stejně škodlivé jako samotná hrozba.
Takže, pokud změníte hesla?
Jednou z hlavních částí Heartbleed rady v oběhu je to, že byste měli okamžitě změnit svá hesla.
Všichni.
To je, bohužel, příklad dezinformace, o které jsem se zmínil v úvodu. Řekněme, že používáte stejné heslo pro několik webů. Zaprvé je to špatná praxe a měli byste ji v budoucnu znovu zvážit (nemluvě o vytváření bezpečnějších hesel. Zabezpečená hesla: vygenerujte pro každý web jiné heslo Zabezpečená hesla: vygenerujte pro každý web jiné heslo).
Zadruhé, pokud bez rozdílu změníte všechna svá hesla, je pravděpodobné, že tak učiníte na webu, který neběží na opraveném serveru - na kterém je Heartbleed stále zranitelným.
Neúmyslně jste své staré heslo a nové heslo sdíleli s těmi, kteří jsou schopni zneužít tuto chybu zabezpečení pro podvody s identitou a nevyžádanou poštu.
Jako takové byste měli měnit své heslo pouze pro jednotlivé stránky, když víte, že byly opraveny - to znamená, že oprava byla použita a zranitelnost byla uzavřena.
Zkontrolujte, které weby byly opraveny
Začněte tím, že zkontrolujete, které weby neobsahují chybu zabezpečení Heartbleed.
Existují dva způsoby, jak toho dosáhnout. Nejprve se vydejte na Mashable, kde najdete aktuální seznam velkých webových stránek ovlivněných Heartbleed, spolu s radou, zda byste měli změnit své heslo nebo ne.
U menších webů vám tento vynikající vyhledávací nástroj okamžitě řekne, zda byl web opraven.
Alternativou je rozšíření Chromebleed Checker pro Google Chrome.
Pokud byly webové stránky, které používáte, ovlivněny a dosud neopravily chybu zabezpečení Heartbleed, vyhněte se přihlašování, dokud nebude situace vyřešena..
Závěr: Je to hra na čekání
Řešení s bouří Heartbleed by nemělo být problém pro většinu. Držte se kurzu, který jsme vám poradili výše, a neměňte žádná hesla, dokud k tomu nebudete vyzváni odpovídajícími weby a službami..
Můžete také použít nové nástroje ke kontrole, zda byl ovlivněn web, který plánujete na návštěvě (nebo dokonce ten, který provozujete), a zda byla oprava použita..
A co je nejdůležitější, zůstaňte v bezpečí a buďte trpěliví. Možnost, že Heartbleed způsobí obrovské problémy, stále existuje - vyhněte se jakýmkoli webům, které vyžadují opravu, dokud nevíte, že jsou nyní zabezpečené.
Obrázek Kredity: Bullet Heart přes Shutterstock, HTTPS přes Shutterstock, Don't Panic Button přes Shutterstock, Heslo přes Shutterstock