Heartbleed - Hva kan du gjøre for å være trygg?
Heartbleed SSL-sårbarheten gjør overskrifter rundt om i verden - og feilrapportering i pressen og online forårsaker forvirring. Hvordan kan du være trygg og følg dine personlige detaljer ikke lekket?
Hva er Heartbleed? Vel, det er ikke et virus
Du har sikkert hørt Heartbleed beskrevet som et virus. Dette er ikke tilfelle: Det er faktisk en svakhet, et sikkerhetsproblem i servere som kjører OpenSSL. Dette er åpen kildekodeimplementering av SSL og TLS, protokollene som brukes for sikre forbindelser - de som begynner https: // heller enn det vanlige http: //.
Dette sikkerhetsproblemet - mer ofte referert til som en feil - skaper i hovedsak et hull gjennom hvilket hackere kan omgå kryptering. Bekreftet 7. aprilth 2014, forekommer det i alle versjoner av OpenSSL unntatt 1.0.1g. Trusselen er begrenset til nettsteder som kjører OpenSSL - andre SSL- og TLS-biblioteker er tilgjengelige, men OpenSSL er ansett mye på servere rundt på nettet. Det finnes en løsning på problemet, men dette kan ikke ha blitt brukt på nettsteder du besøker regelmessig for sikre aktiviteter. Disse kan være online shopping, gambling og andre voksne tema nettsteder eller til og med sosiale nettverk.
Som et resultat kan all form for personlig og finansiell informasjon være i fare.
For å få en ide om hvor stor en avtale Heartbleed er (og hvorfor den er såkalt), har Ryan nylig satt denne Internett-spennende feilen inn i kontekst. Massiv feil i OpenSSL legger mye av Internett i fare Massiv feil i OpenSSL legger mye av Internett I fare Hvis du er en av de personene som alltid har trodd at åpen kildekryptografi er den sikreste måten å kommunisere på nettet, er du inne for litt overraskelse. Les mer . Vi bør understreke at Heartbleed er et internettbasert sikkerhetsproblem og derfor påvirker brukere av alle operativsystemer, skrivebord og mobil.
Så det er en stor avtale - men hva kan du gjøre med det?
Ignorer Hype & Do not Panic
Vel, det er en ting du ikke bør gjøre: panikk. Mye har blitt skrevet over Internett og i trykte medier de siste dagene, og mye av det er hype, doom porno som ville sette effekten av Orson Welles berømte World of Warcraft-radiosending til skamme.
Mye av det du allerede har sett, har vært brosteinsamlet sammen fra pressemeldinger og andre rapporter fra journalister som ikke er kjent med terminologien, og mangel på klar forståelse av risikoene.
For eksempel kan du vite at du bør endre passordene dine umiddelbart (ikke helt sant, vi bør legge til - se nedenfor). Men visste du om phishing-risikoen?
Phishing-risikoen
Ansvarlige webtjenester, banker og sosiale nettverk som har blitt påvirket av Heartbleed, vil gi deg en e-post for å fortelle deg at de har reparert sikkerhetsproblemet og anbefaler at du endrer passordet ditt.
Selvfølgelig bør du gjøre dette - men vær klar over at denne situasjonen gir en ideell mulighet til phishers å begynne å sende falske e-postmeldinger, komplett med innebygde linker til “Bytt passord” side - i virkeligheten et nettsted designet for å høste dine detaljer.
Ingen av tjenestene du bruker, anbefaler deg å klikke på en endringspassordlänk i en epost sendt uønsket e-post. Dessverre gjorde IFTTT, som gjorde Pinterest (over). Dette er dårlig praksis og gir inntrykk av at en slik link er akseptabel og bør klikkes.
Med mindre du har bedt om e-posten, må du ikke klikke på en slik lenke.
E-postmeldinger med hjertebortpasset passord tilbakestilles ikke med påloggingskoblinger. Hvis de gjør det, må du slette dem, og deretter besøke nettstedet ved å skrive adressen inn i nettleseren din (eller velge den fra historie eller favoritter avhengig av hvordan du ruller med disse tingene). Derfra, tilbakestill passordet ditt ...
... men bare hvis du faktisk trenger på dette stadiet.
Dessverre har PR-drevet behov for at selskaper skal se ut som om de gjør noe med trusler som Heartbleed, kan vise seg å være like skadelig som selve trusselen.
Så, bør du endre passordene dine?
En av de viktigste delene av Heartbleed råd i omløp er at du bør endre passordene dine umiddelbart.
Alle sammen.
Dette er dessverre et eksempel på feilinformasjonen jeg refererte til i introen. Si at du bruker det samme passordet for flere nettsteder. Først og fremst er dette dårlig praksis, og du bør revurdere å gjøre det i fremtiden (for ikke å nevne skape sikrere passord. Sikker passord: Generer et annet passord for hvert nettsted. Sikker passord: Generer et annet passord for hvert nettsted Les mer).
For det andre, hvis du unnskyldig endrer alle passordene dine, er sjansene at du skal gjøre det på et nettsted som ikke kjører på en patched server - en som Heartbleed fortsatt er en sårbarhet.
Utilsiktet har du potensielt delt det gamle passordet ditt og ditt nye passord med de som kan utnytte sikkerhetsproblemet for deres identitetssvindel og spam-operasjoner.
Som sådan bør du bare endre passordet ditt på en side-by-side-basis når du vet at de har blitt patched - det vil si at reparasjonen er brukt og sikkerheten er stengt.
Sjekk hvilke nettsider som er lagt inn
Kom i gang ved å sjekke hvilke nettsteder som er fri for Heartbleed-sårbarheten.
Det er to måter å gjøre dette på. Først, gå til Mashable der du finner en oppdatert liste over big-name nettsteder som påvirkes av Heartbleed, sammen med råd om hvorvidt du skal endre passordet ditt eller ikke.
For de mindre nettstedene, vil dette utmerkede søkeverktøyet fortælle deg om nettstedet har blitt oppdatert eller ikke.
Et alternativ er utvidelsen for Chromebleed Checker for Google Chrome.
Hvis nettstedene du bruker, har blitt påvirket og ikke har oppdatert Heartbleed-sårbarheten, må du unngå å logge inn til situasjonen er løst..
Konklusjon: Det er et ventende spill
Å håndtere Heartbleed-stormen bør ikke være et problem for de fleste. Hold deg til kurset vi har anbefalt ovenfor, og ikke endre noen passord før du blir bedt om å gjøre det av de tilsvarende nettstedene og tjenestene.
Du kan også bruke nye verktøy for å sjekke om nettstedet du planlegger å besøke (eller til og med det du kjører) har blitt påvirket, og om det har blitt lagt til en løsning.
Viktigst, vær trygg og vær tålmodig. Potensialet for Heartbleed å forårsake massive problemer er fortsatt der - unngå nettsteder som trenger patching til du vet at de nå er sikre.
Image Credits: Bullet Heart via Shutterstock, HTTPS via Shutterstock, ikke panikknapp via Shutterstock, passord via Shutterstock
Utforsk mer om: Internett-sikkerhet, passord, SSL.