reklama

Chyba zabezpečení Heartbleed SSL přináší titulky po celém světě - a nesprávné hlášení v tisku a online způsobuje zmatek. Jak můžete zůstat v bezpečí a vyvodit, že vaše osobní údaje nebyly prozrazeny?

Co je to Heartbleed? No, nejedná se o virus

Pravděpodobně jste slyšeli, že Heartbleed je popsán jako virus. To není tento případ: ve skutečnosti jde o slabost, zranitelnost na serverech s OpenSSL. Toto je open source implementace SSL a TLS, protokolů používaných pro zabezpečená připojení - ty, které začínají https: // spíše než obvykle http: //.

muo-heartbleed-help-https

Tato zranitelnost - běžně označovaná jako chyba - v zásadě vytváří díru, kterou hackeři mohou šifrování obejít. Potvrzeno 7. dubnatis 2014 se vyskytuje ve všech verzích OpenSSL s výjimkou 1.0.1g. Hrozba je omezena na weby provozující OpenSSL - jsou k dispozici další knihovny SSL a TLS, ale OpenSSL je široce využíván na serverech po celém webu. Oprava problému existuje, ale to nemusí být aplikováno na weby, které pravidelně navštěvujete kvůli zabezpečeným činnostem. Může se jednat o online nakupování, hazardní hry a další webové stránky zaměřené na dospělé nebo dokonce o vytváření sociálních sítí.

instagram viewer

V důsledku toho by mohly být ohroženy všechny osobní a finanční informace.

Chcete-li získat představu o tom, jak velká je dohoda Heartbleed (a proč je takzvaná), Ryan nedávno uvedl tuto chybu týkající se Internetu do kontextu Masivní chyba v OpenSSL staví hodně internetu v ohroženíPokud jste jedním z těch lidí, kteří vždy věřili, že kryptografie s otevřeným zdrojovým kódem je nejbezpečnějším způsobem komunikace online, jste na trochu překvapení. Přečtěte si více . Měli bychom zdůraznit, že Heartbleed je zranitelnost na internetu, a proto ovlivňuje uživatele všech operačních systémů, stolních i mobilních.

Takže je to hodně - ale co s tím můžete dělat?

Ignorujte The Hype & Don't Panic

Neměli byste dělat jednu věc: panika. V posledních několika dnech bylo na internetu a v tištěných médiích napsáno mnoho a mnoho z toho je humbuk, doom porno, které by přineslo účinky známého Orsona Wellesovy známé války z rádia Válka světů ostuda.

mu-srdíčko-pomoc-dontpanic

Hodně z toho, co jste již viděli, bylo dlážděno společně z tiskových zpráv a dalších zprávy novinářů, kteří nejsou obeznámeni s terminologií a nedostatkem jasného porozumění rizika.

Můžete například vědět, že byste měli okamžitě změnit svá hesla (ne zcela pravda, měli bychom přidat - viz níže). Ale věděli jste o riziku phishingu?

Riziko phishingu

Odpovědné webové služby, banky a sociální sítě, které byly ovlivněny Heartbleedem, vás upustí e-mail, aby vás informoval, že tuto chybu zabezpečení opravili a doporučili vám změnit váš Heslo.

Samozřejmě byste to měli udělat - ale uvědomte si, že tato situace představuje phisherům ideální příležitost začít posílat falešné e-maily, doplněné vloženými odkazy na stránku „změnit heslo“ - ve skutečnosti web navržený k získání vašich podrobnosti.

muno-srdečno-help-pinterest

Žádná ze služeb, které používáte, by vám neměla doporučit kliknout na odkaz na změnu hesla v e-mailu zasílaném nevyžádaným e-mailem. Bohužel, IFTTT ano, stejně jako Pinterest (výše). To je špatný postup a vyvolává dojem, že takový odkaz je přijatelný a mělo by se na něj kliknout.

Pokud jste o e-mail nepožádali, neměli byste na takový odkaz kliknout.

E-maily s nastaveným heslem by neměly obsahovat přihlašovací odkazy. Pokud ano, odstraňte je a poté navštivte web zadáním adresy do svého prohlížeče (nebo výběrem z historie nebo oblíbených položek v závislosti na tom, jak se s nimi pohybujete). Odtud resetujte své heslo ...

… Ale pouze tehdy, pokud to skutečně potřebujete.

Bohužel, potřeba PR, aby společnosti vypadaly, jako by dělaly něco o hrozbách, jako je Heartbleed, se může ukázat jako stejně škodlivá jako samotná hrozba.

Takže, měli byste změnit svá hesla?

Jednou z hlavních částí Heartbleed rady v oběhu je to, že byste měli okamžitě změnit svá hesla.

Všichni.

Toto je, bohužel, příklad mylných informací, o nichž jsem se zmínil v úvodu. Řekněme, že používáte stejné heslo pro několik webů. Nejprve je to špatná praxe a měli byste ji v budoucnu znovu zvážit (nemluvě o tom vytvořit bezpečnější hesla Zabezpečená hesla: Pro každý web vygenerujte jiné heslo Přečtěte si více ).

muo-heartbleed-help-password

Zadruhé, pokud bez rozdílu změníte všechna hesla, je pravděpodobné, že to uděláte na webu, který není spuštěn na opraveném serveru - na kterém je Heartbleed stále zranitelnost.

Nechtěně jste potenciálně sdíleli své staré heslo a nové heslo s těmi, kteří jsou schopni zneužít tuto chybu zabezpečení pro jejich podvody s identitou a spam.

Z tohoto důvodu byste měli měnit své heslo pouze pro jednotlivé weby, pokud víte, že byly opraveny - to znamená, že oprava byla použita a zranitelnost byla uzavřena.

Zkontrolujte, které weby byly opraveny

Začněte tím, že zkontrolujete, které weby neobsahují chybu zabezpečení Heartbleed.

Existují dva způsoby, jak toho dosáhnout. Nejprve se vydejte na Mashable, kde Aktuální seznam velkých webových stránek ovlivněných Heartbleed lze nalézt, spolu s radou, zda byste měli změnit své heslo nebo ne.

U menších webů tento vynikající vyhledávací nástroj vám okamžitě řekne, zda byl web opraven.

Alternativou je Chromebleed Checker rozšíření pro Google Chrome.

Pokud byly webové stránky, které používáte, ovlivněny a dosud neopravily chybu zabezpečení Heartbleed, vyhněte se přihlašování, dokud se situace nevyřeší.

Závěr: Je to hra na čekání

Řešení s bouří Heartbleed by nemělo být problém pro většinu. Držte se kurzu, který jsme výše doporučili, a neměňte žádná hesla, dokud k tomu nebudete vyzváni příslušnými weby a službami.

muno-srdečno-pomocné srdce

Můžete také použít nové nástroje ke kontrole, zda byl ovlivněn web, který plánujete na návštěvě (nebo dokonce ten, který provozujete), a zda byla oprava použita.

A co je nejdůležitější, zůstaňte v bezpečí a buďte trpěliví. Možnost, že Heartbleed způsobí obrovské problémy, stále existuje - vyhněte se jakýmkoli webům, které vyžadují opravu, dokud nevíte, že jsou nyní v bezpečí.

Obrazové kredity: Bullet Heart prostřednictvím Shutterstock, HTTPS přes Shutterstock, Nepropadejte panice tlačítku přes Shutterstock, Heslo přes Shutterstock

Christian Cawley je zástupcem editoru pro bezpečnost, Linux, kutilství, programování a techniku. Produkuje také opravdu užitečný podcast a má rozsáhlé zkušenosti s podporou počítačů a softwaru. Christian je přispěvatelem do časopisu Linux Format a je malířem Raspberry Pi, milencem Lego a retro herním fanouškem.