Mainos

Heartbleed-SSL-haavoittuvuus tekee otsikoista ympäri maailmaa - ja väärät ilmoitukset lehdistössä ja verkossa aiheuttavat sekaannusta. Kuinka voit pysyä turvassa ja johtaa siihen, että henkilökohtaisia ​​tietojasi ei vuoda?

Mitä sydämenlyönti on? No, se ei ole virus

Olet todennäköisesti kuullut, että Heartbleed on kuvattu virukseksi. Näin ei ole: itse asiassa se on heikkous, haavoittuvuus OpenSSL: ää käyttävissä palvelimissa. Tämä on SSL: n ja TLS: n avoimen lähdekoodin toteutus, turvallisiin yhteyksiin käytettävät protokollat ​​- ne, jotka alkavat https: // pikemminkin kuin tavallista http: //.

MUO-heartbleed-haavoittuvuus-help-https

Tämä haavoittuvuus - jota yleisemmin kutsutaan virheeksi - luo olennaisesti reikän, jonka läpi hakkerit voivat kiertää salauksen. Vahvistettu 7. huhtikuutath 2014, se esiintyy kaikissa OpenSSL-versioissa paitsi 1.0.1g. Uhka on rajoitettu OpenSSL: ää käyttäviin sivustoihin - muita SSL- ja TLS-kirjastoja on saatavana, mutta OpenSSL: ää käytetään laajasti webin palvelimilla. Ongelman ratkaisu on olemassa, mutta sitä ei ehkä ole sovellettu verkkosivustoihin, joissa säännöllisesti käyt turvallisten toimien vuoksi. Ne voivat olla verkkokaupoissa, uhkapeleissä ja muissa aikuisille suunnattuissa verkkosivustoissa tai jopa sosiaalisessa verkostoitumisessa.

Tämän seurauksena kaikenlaiset henkilökohtaiset ja taloudelliset tiedot voivat olla vaarassa.

Saadaksesi kuvan siitä, kuinka suuri kauppa Heartbleed on (ja miksi se on niin kutsuttu), Ryan on äskettäin ottanut tämän Internet-kattavan virheen kontekstiin Massiivinen vika OpenSSL: ssä vaarantaa suuren osan InternetistäJos olet yksi niistä ihmisistä, jotka ovat aina uskoneet, että avoimen lähdekoodin salaus on turvallisin tapa kommunikoida verkossa, olet hieman yllättynyt. Lue lisää . Meidän on korostettava, että Heartbleed on Internet-pohjainen haavoittuvuus ja vaikuttaa siten kaikkien käyttöjärjestelmien, pöytäkoneiden ja mobiililaitteiden, käyttäjiin.

Joten, se on iso juttu - mutta mitä voit tehdä asialle?

Ohita hype & älä paniikkia

On yksi asia, jota sinun ei pitäisi tehdä: paniikki. Internetissä ja painetussa mediassa on kirjoitettu paljon viime päivinä, ja paljon siitä on hype, doom porn, joka saattaisi Orson Wellesin kuuluisan maailmansota-radiolähetyksen vaikutukset häpeä.

MUO-heartbleed-haavoittuvuus-help-dontpanic

Suuri osa siitä, mitä olet jo nähnyt, on mukiteltu yhdessä lehdistötiedotteiden ja muun kanssa sellaisten toimittajien raportit, jotka eivät tunne terminologiaa ja selkeän ymmärryksen puutetta aiheesta riskejä.

Saatat esimerkiksi tietää, että sinun tulisi vaihtaa salasanasi välittömästi (ei täysin totta, meidän pitäisi lisätä - katso alla). Mutta tiesitkö tietojenkalasteluriskistä?

Tietokalasteluriski

Vastuulliset verkkopalvelut, pankit ja sosiaaliset verkostot, joihin Heartbleed on vaikuttanut, pudottaa sinut sähköpostitse ilmoittaaksesi, että he ovat korjattaneet haavoittuvuuden, ja suosittelen vaihtamaan Salasana.

Luonnollisesti sinun pitäisi tehdä tämä - mutta huomaa, että tämä tilanne tarjoaa kalastajalle ihanteellisen mahdollisuuden aloittaa lähettäminen väärennetyt sähköpostiviestit, varustetut upotetut linkit "vaihda salasana" -sivulle - todellisuudessa verkkosivusto, joka on suunniteltu keräämään yksityiskohdat.

MUO-heartbleed-haavoittuvuus-help-pinterest

Mitään käyttämistäsi palveluista ei tulisi suositella napsauttamalla vaihto salasana -linkkiä sähköpostiviestissä, joka on lähetetty ei-toivotulla sähköpostilla. Valitettavasti IFTTT teki, samoin kuin Pinterest (yllä). Tämä on huono käytäntö ja antaa vaikutelman, että tällainen linkki on hyväksyttävä ja että se olisi napsautettava.

Ellet ole pyytänyt sähköpostia, tällaista linkkiä ei pitäisi napsauttaa.

Sydämen salasanan nollaussähköpostit eivät saisi sisältää kirjautumislinkkejä. Jos ne, poista ne, käy sitten verkkosivustolla kirjoittamalla osoite selaimeesi (tai valitsemalla se historiasta tai suosikkeista sen mukaan, miten liikut näiden asioiden kanssa). Siitä lähtien, vaihda salasanasi…

... mutta vain, jos sinun on todella tehtävä tässä vaiheessa.

Valitettavasti PR: n ajama tarve yrityksille näyttää siltä kuin ne tekevät jotain Heartbleedin kaltaisista uhista, voivat osoittautua yhtä vahingollisiksi kuin itse uhka.

Joten sinun pitäisi vaihtaa salasanasi?

Yksi liikkeessä olevista Heartbleed-neuvoista on, että sinun on vaihdettava salasanasi välittömästi.

Ne kaikki.

Tämä on valitettavasti esimerkki vääristä tiedoista, joihin viittasin johdannossa. Oletetaan, että käytät samaa salasanaa useilla verkkosivustoilla. Ensinnäkin, tämä on huono käytäntö, ja sinun pitäisi harkita sen tekemistä tulevaisuudessa (puhumattakaan luoda turvallisempia salasanoja Suojatut salasanat: Luo erilainen salasana jokaiselle verkkosivustolle Lue lisää ).

MUO-heartbleed-haavoittuvuus-help-salasana

Toiseksi, jos vaihdat valinnaisesti kaikki salasanasi, aiot tehdä niin verkkosivustolla, jota ei käytetä hajautetulla palvelimella - sellainen, jolla Heartbleed on edelleen a haavoittuvuus.

Olet vahingossa jakanut vanhan salasanasi ja uuden salasanasi sellaisten kanssa, jotka pystyvät hyödyntämään henkilöllisyyspetosten ja roskapostitoimintojen haavoittuvuutta.

Sinun tulisi siis vaihtaa salasanasi sivustokohtaisesti vain, kun tiedät, että ne on korjattu - eli korjaus on tehty ja haavoittuvuus suljettu.

Tarkista, mitkä verkkosivustot on korjattu

Aloita tarkistamalla, millä verkkosivustoilla ei ole Heartbleed-haavoittuvuutta.

Tähän on kaksi tapaa. Ensin suunnataan Mashableen, missä Ajantasainen luettelo suurimuotoisista verkkosivustoista, joihin Heartbleed vaikuttaasekä neuvoja siitä, onko sinun vaihtaa salasana vai ei.

Pienemmille verkkosivustoille tämä erinomainen hakutyökalu kertoo heti, onko sivusto ladattu.

Vaihtoehto on Chromebleed Checker laajennus Google Chromelle.

Jos käyttämäsi verkkosivustot ovat vaikuttaneet niihin ja et ole vielä korjannut Heartbleed-haavoittuvuutta, vältä kirjautumista, kunnes tilanne on ratkaistu.

Johtopäätös: Se on odottava peli

Sydämen myrskyn käsittelemisen ei pitäisi olla ongelma useimmille. Pysy yllä neuvomalla kurssilla, älä muuta salasanoja, ennen kuin vastaavat verkkosivustot ja palvelut ovat sinua kehottaneet tekemään niin.

MUO-heartbleed-haavoittuvuus-help-sydän

Voit myös käyttää uusia työkaluja tarkistaaksesi, onko se vaikuttanut verkkosivustolle, jota aiot käydä (tai edes sivustossasi), ja onko korjausta sovellettu.

Tärkeintä on, että pysyt turvassa ja ole kärsivällinen. Heartbleedin mahdollisuus aiheuttaa suuria ongelmia on edelleen olemassa - välttää korjaustöitä vaativia verkkosivustoja, kunnes tiedät, että ne ovat nyt turvassa.

Kuvapisteet: Luodinsydän Shutterstockin kautta, HTTPS Shutterstockin kautta, Älä paniikkipainiketta Shutterstockin kautta, Salasana Shutterstockin kautta

Christian Cawley on varatoimittaja turvallisuuteen, Linuxiin, itsehoitoon, ohjelmointiin ja teknisiin selityksiin. Hän tuottaa myös The Really Useful Podcastin ja hänellä on laaja kokemus työpöydän ja ohjelmistojen tuesta. Linux Format -lehden avustaja Christian on Vadelma Pi-tinkerer, Lego-rakastaja ja retro-fani.