Annonse

Heartbleed SSL-sårbarheten gir overskrifter over hele verden - og feilrapportering i pressen og online forårsaker forvirring. Hvordan kan du holde deg trygg og sikre at dine personlige detaljer ikke lekker?

Hva er hjertet? Vel, det er ikke et virus

Du har sikkert hørt Heartbleed beskrevet som et virus. Dette er ikke tilfelle: det er faktisk en svakhet, en sårbarhet på servere som kjører OpenSSL. Dette er åpen kildekodeimplementering av SSL og TLS, protokollene som brukes for sikre tilkoblinger - de som begynner https: // heller enn det vanlige http: //.

BUO-heartbleed-help-https

Denne sårbarheten - ofte referert til som en feil - skaper egentlig et hull som hackere kan omgå krypteringen. Konfirmert 7. aprilth 2014 forekommer det i alle versjoner av OpenSSL unntatt 1.0.1g. Trusselen er begrenset til nettsteder som kjører OpenSSL - andre SSL- og TLS-biblioteker er tilgjengelige, men OpenSSL brukes mye på servere rundt på nettet. En løsning på problemet eksisterer, men dette kan ikke ha blitt brukt på nettstedene du regelmessig besøker for sikre aktiviteter. Dette kan være netthandel, pengespill og andre nettsteder for voksne temaer eller til og med sosiale nettverk.

instagram viewer

Som et resultat kan all slags personlig og økonomisk informasjon være i faresonen.

For å få et inntrykk av hvor stor avtale Heartbleed er (og hvorfor den er såkalt), Ryan har nylig satt denne Internett-sprikende feilen i en sammenheng Massive Bug i OpenSSL setter mye av internett i fareHvis du er en av de menneskene som alltid har trodd at åpen kildekodekryptografi er den sikreste måten å kommunisere på nettet, er du litt overraskende. Les mer . Vi bør understreke at Heartbleed er et Internett-basert sårbarhet og derfor påvirker brukere av alle operativsystemer, stasjonær og mobil.

Så det er en stor avtale - men hva kan du gjøre med det?

Ignorer The Hype & Don’t Panic

Det er en ting du ikke bør gjøre: panikk. Mye har blitt skrevet over Internett og i trykte medier de siste dagene, og mye av det er det hype, undergangsporno som ville sette effekten av Orson Welles berømte War of the Worlds radio-sendingen til skam.

BUO-heartbleed-help-dontpanic

Mye av det du allerede har sett, vil ha blitt brolagt sammen fra pressemeldinger og annet rapporter fra journalister som ikke er kjent med terminologien og mangelen på klar forståelse av risikoer.

For eksempel vil du kanskje vite at du bør endre passordene dine umiddelbart (ikke helt sant, vi må legge til - se nedenfor). Men visste du om phishing-risikoen?

Phishing-risikoen

Ansvarlige webtjenester, banker og sosiale nettverk som har blitt påvirket av Heartbleed, vil gi deg en e-post for å gi deg beskjed om at de har reparert sikkerhetsproblemet og anbefaler at du endrer din passord.

Naturligvis bør du gjøre dette - men vær klar over at denne situasjonen gir phishers en ideell mulighet til å begynne å sende falske e-postmeldinger, komplett med innebygde lenker til siden "endre passord" - i virkeligheten et nettsted designet for å høste din detaljer.

BUO-heartbleed-help-pinte

Ingen av tjenestene du bruker, bør anbefale deg å klikke på en kobling for endring av passord i en e-post sendt uoppfordret e-post. Dessverre gjorde IFTTT det, som Pinterest (over). Dette er dårlig praksis og gir inntrykk av at en slik lenke er akseptabel og bør klikkes.

Med mindre du har bedt om e-posten, bør du ikke klikke på en slik lenke.

E-postmeldinger om tilbakestilling av passord skal ikke inneholde påloggingslenker. Hvis de gjør det, slett dem, og besøk nettstedet ved å skrive inn adressen i nettleseren din (eller velg den fra historikk eller favoritter, avhengig av hvordan du ruller med disse tingene). Tilbakestill passordet ditt derfra ...

... men bare hvis du faktisk trenger det på dette stadiet.

Dessverre kan det PR-drevne behovet for at selskaper ser ut som de gjør noe med trusler som Heartbleed, være like skadelig som selve trusselen.

Så, bør du endre passordene dine?

En av hovedbitene med Heartbleed-rådene i omløp er at du bør endre passordene dine umiddelbart.

Alle sammen.

Dette er dessverre et eksempel på feilinformasjon jeg henviste til i introen. Si at du bruker det samme passordet for flere nettsteder. Først av alt, dette er dårlig praksis, og du bør vurdere å gjøre det i fremtiden (for ikke å nevne lag sikrere passord Sikre passord: Generer et annet passord for hvert nettsted Les mer ).

BUO-heartbleed-help-passord

For det andre, hvis du på en vilkårlig måte endrer alle passordene dine, er sjansen stor for at du kommer til å gjøre det på et nettsted som ikke kjører på en lappet server - som Heartbleed fremdeles er en sårbarhet.

Uforvarende har du potensielt delt det gamle passordet og det nye passordet ditt med de som kan utnytte sårbarheten for identitetssvindel og spam-operasjoner.

Som sådan bør du bare endre passordet ditt fra sted til side når du vet at de har blitt lappet - det vil si at fiksen er brukt og sikkerhetsproblemet er lukket.

Sjekk hvilke nettsteder som har blitt oppdatert

Kom i gang ved å sjekke hvilke nettsteder som er fri for Heartbleed-sårbarheten.

Det er to måter å gjøre dette på. Først, ta turen til Mashable der en Du kan finne en oppdatert liste over nettsteder med store navn som er berørt av Heartbleed, sammen med råd om du bør endre passord eller ikke.

For de mindre nettstedene, dette utmerkede søkeverktøyet vil fortelle deg umiddelbart om nettstedet har blitt lappet eller ikke.

Et alternativ er Chromebleed Checker utvidelse for Google Chrome.

Hvis nettstedene du bruker har blitt påvirket og ennå ikke har oppdatert Heartbleed-sårbarheten, bør du unngå å logge deg på før situasjonen er løst.

Konklusjon: Det er et ventende spill

Å håndtere den hjertekjære stormen burde ikke være noe problem for de fleste. Hold deg til kurset vi har anbefalt ovenfor, og endre ikke passord før du blir bedt om det av de tilsvarende nettsteder og tjenester.

BUO-heartbleed-help-hjerte

Du kan også bruke nye verktøy for å sjekke om nettstedet du planlegger å besøke (eller til og med det du kjører) har blitt påvirket, og om en løsning har blitt brukt.

Det viktigste er å være trygg og være tålmodig. Potensialet for Heartbleed å forårsake massive problemer er fremdeles der - unngå nettsteder som krever lapping til du vet at de nå er sikre.

Bildetillegg: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Ikke trykk på panikk via Shutterstock, Passord via Shutterstock

Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring innen stasjonær og programvare. Christian er en bidragsyter til Linux Format-magasinet, en Raspberry Pi tinkerer, Lego-elsker og retrospill-fan.