реклама
Уязвимостта на Heartbleed SSL създава заглавия по целия свят - и неправилно докладване в печата и онлайн предизвиква объркване. Как можете да бъдете в безопасност и да следите, че личните ви данни не са изтекли?
Какво е сърцебиене? Е, това не е вирус
Вероятно сте чували Heartbleed описан като вирус. Това не е така: всъщност това е слабост, уязвимост в сървърите, работещи с OpenSSL. Това е реализацията на SSL и TLS с отворен код, протоколите, използвани за сигурни връзки - тези, които започват HTTPS: // а не обикновено HTTP: //.
Тази уязвимост - по-често наричана грешка - по същество създава дупка, през която хакерите могат да заобиколят криптирането. Потвърдено на 7 априлтата 2014 г., той се среща във всички версии на OpenSSL с изключение на 1.0.1g. Заплахата е ограничена до сайтове, работещи с OpenSSL - налични са други SSL и TLS библиотеки, но OpenSSL се използва широко на сървъри в мрежата. Решение на проблема съществува, но това може да не е приложено към уебсайтовете, които редовно посещавате за сигурни дейности. Това може да са онлайн пазаруване, хазартни игри и други уебсайтове с тематика за възрастни или дори социални мрежи.
В резултат на това всякакъв вид лична и финансова информация може да бъде изложен на риск.
За да добиете представа колко голяма сделка е Heartbleed (и защо е така наречена), Наскоро Райън постави тази контекстна грешка в контекста Масивна грешка в OpenSSL поставя голяма част от интернет на рискАко сте от онези хора, които винаги са вярвали, че криптографията с отворен код е най-сигурният начин за комуникация онлайн, ви предстои малко изненада. Прочетете още . Трябва да подчертаем, че Heartbleed е уязвимост, базирана на Интернет и следователно засяга потребителите на всички операционни системи, настолни и мобилни устройства.
Така че е голяма работа - но какво можете да направите за това?
Игнорирайте Hype & Donn Panic
Е, има едно нещо, което не бива да правите: паника. През последните дни се писа много в интернет и в печатни медии и много от тях са свръх, гибелно порно, което би довело до ефектите на известното радио на Орсън Уелс „Война на световете“ срам.
Голяма част от това, което вече видяхте, ще бъде събрано заедно с прессъобщения и други доклади на журналисти, непознати с терминологията и липсата на ясно разбиране за това рискове.
Например, може да знаете, че трябва незабавно да промените паролите си (не напълно вярно, трябва да добавим - вижте по-долу). Но знаете ли за риска от фишинг?
Риск от фишинг
Отговорните уеб услуги, банките и социалните мрежи, които са засегнати от Heartbleed, ще ви отпаднат имейл, за да ви уведомим, че са поправили уязвимостта и ви препоръчваме да промените вашата парола.
Естествено, трябва да направите това - но имайте предвид, че тази ситуация представлява идеална възможност за фишъри да започнат да изпращат фалшиви имейли, допълнени с вградени връзки към страницата „промяна на паролата“ - в действителност уебсайт, предназначен да събере вашите подробности.
Нито една от услугите, които използвате, не трябва да ви препоръчва да кликнете върху връзката за промяна на паролата в имейл, изпратен непоискан имейл. За съжаление IFTTT го направи, както направи Pinterest (по-горе). Това е лоша практика и създава впечатлението, че такава връзка е приемлива и трябва да се кликне.
Освен ако не сте поискали имейла, такава връзка не трябва да се кликва.
Имейлите за нулиране на парола за сърдечна връзка не трябва да включват връзки за вход. Ако го направят, изтрийте ги и след това посетете уебсайта, като въведете адреса в браузъра си (или го изберете от историята или любимите в зависимост от това как се търкаляте с тези неща). Оттам нулирайте паролата си ...
... но само ако действително трябва на този етап.
За съжаление, PR-ориентираната нужда от компаниите да изглеждат като, че правят нещо по отношение на заплахи като Heartbleed може да се окаже също толкова вредна, колкото и самата заплаха.
И така, трябва ли да промените паролите си?
Едно от основните съвети на Heartbleed съвети в обращение е, че трябва незабавно да промените паролите си.
Всички тях.
Това за съжаление е пример за дезинформация, за която споменах в интрото. Кажете, че използвате една и съща парола за няколко уебсайта. На първо място, това е лоша практика и трябва да преразгледате това в бъдеще (да не говорим създайте по-сигурни пароли Сигурни пароли: Генерирайте различна парола за всеки уебсайт Прочетете още ).
Второ, ако безразборно промените всичките си пароли, има вероятност да го направите на уебсайт, който не работи на патч сървър - такъв, на който Heartbleed все още е уязвимост.
Неволно сте споделили потенциално старата си парола и новата си парола с онези, които са в състояние да използват уязвимостта за своите измами с идентичност и спам операции.
Като такъв, трябва да променяте паролата си за всеки сайт само когато знаете, че са били кръпка - тоест, поправката е приложена и уязвимостта е затворена.
Проверете кои уебсайтове са били кръпка
Започнете с проверка кои уебсайтове са без уязвимостта на Heartbleed.
Има два начина да направите това. Първо се насочете към Mashable където може да се намери актуален списък на уебсайтове с големи имена, засегнати от Heartbleed, заедно със съвети дали трябва да промените паролата си или не.
За по-малките уебсайтове този отличен инструмент за търсене незабавно ще ви каже дали сайтът е изправен или не.
Алтернатива е Chromebleed Checker разширение за Google Chrome.
Ако уебсайтовете, които използвате, са били засегнати и все още не са закърпили уязвимостта на Heartbleed, избягвайте влизането, докато ситуацията не бъде разрешена.
Извод: Това е игра в очакване
Справянето с бурята в сърцето не би трябвало да е проблем за повечето. Придържайте се към курса, който препоръчахме по-горе, и не променяйте пароли, докато не бъдете инструктирани от съответните уебсайтове и услуги.
Можете също така да използвате нови инструменти, за да проверите дали уебсайтът, който планирате да посетите (или дори този, който стартирате), е засегнат и дали е приложено коригиране.
Най-важното е да сте в безопасност и да бъдете търпеливи. Потенциалът на Heartbleed да създаде големи проблеми все още е налице - избягвайте всякакви уебсайтове, които изискват кръпка, докато не разберете, че сега са защитени.
Кредити за изображения: Bullet Heart чрез Shutterstock, HTTPS чрез Shutterstock, Не паникьосвайте бутона чрез Shutterstock, Парола чрез Shutterstock
Кристиан Каули е заместник-редактор по сигурността, Linux, направи си сам, програмирането и обяснените технологии. Освен това той произвежда The Really Useful Podcast и има богат опит в поддръжката на десктоп и софтуер. Сътрудник на списание Linux Format, Кристиан е тенисър на Raspberry Pi, любител на Lego и фен на ретро игри.
