Reklame

Heartbleed SSL-sårbarheden skaber overskrifter over hele verden - og forkert rapportering i pressen og online skaber forvirring. Hvordan kan du forblive i sikkerhed og følge, at dine personlige oplysninger ikke lækker?

Hvad er Heartbleed? Det er ikke en virus

Du har sandsynligvis hørt Heartbleed beskrevet som en virus. Dette er ikke tilfældet: det er faktisk en svaghed, en sårbarhed på servere, der kører OpenSSL. Dette er open source-implementeringen af ​​SSL og TLS, de protokoller, der bruges til sikre forbindelser - dem, der begynder https: // snarere end det sædvanlige http: //.

Muo-heartbleed-bug-help-https

Denne sårbarhed - mere almindeligt omtalt som en fejl - skaber i det væsentlige et hul, gennem hvilket hackere kan omgå krypteringen. Bekræftet den 7. aprilth 2014 forekommer det i alle versioner af OpenSSL undtagen 1.0.1g. Truslen er begrænset til websteder, der kører OpenSSL - andre SSL- og TLS-biblioteker er tilgængelige, men OpenSSL anvendes bredt på servere rundt på nettet. Der findes en løsning på problemet, men dette er muligvis ikke blevet anvendt på de websteder, du regelmæssigt besøger for sikre aktiviteter. Dette kan være online shopping, spil og andre voksne websteder med temaer eller endda sociale netværk.

instagram viewer

Som et resultat kan alle former for personlig og økonomisk information være i fare.

For at få en idé om, hvor stor en Heartbleed er (og hvorfor den er såkaldt), Ryan har for nylig sat denne internetspændingsfejl i en sammenhæng Massiv fejl i OpenSSL lægger meget af Internet i fareHvis du er en af ​​de mennesker, der altid har troet, at open source-kryptografi er den mest sikre måde at kommunikere online på, er du i en overraskelse. Læs mere . Vi skal understrege, at Heartbleed er en internetbaseret sårbarhed og derfor påvirker brugere af alle operativsystemer, desktop og mobil.

Så det er en big deal - men hvad kan du gøre ved det?

Ignorer Hype & Don’t Panic

Der er en ting, du ikke skal gøre: panik. Der er skrevet meget over internettet og i de trykte medier i de sidste par dage, og meget er det hype, undergangsporno, der ville sætte virkningerne af Orson Welles berømte War of the Worlds radioudsendelse til skam.

Muo-heartbleed-bug-help-dontpanic

Meget af det, du allerede har set, vil være blevet brostensbelagt sammen fra pressemeddelelser og andet rapporter fra journalister, der ikke kender terminologien og en mangel på klar forståelse af risici.

For eksempel ved du måske, at du skal ændre dine adgangskoder med det samme (ikke helt sandt, vi skal tilføje - se nedenfor). Men vidste du om phishing-risikoen?

Phishing-risikoen

Ansvarlige webservices, banker og sociale netværk, der er blevet påvirket af Heartbleed, vil give dig en e-mail for at fortælle dig, at de har repareret sårbarheden og anbefaler, at du ændrer din adgangskode.

Naturligvis skal du gøre dette - men vær opmærksom på, at denne situation er en ideel mulighed for phishere til at begynde at sende falske e-mails, komplet med indlejrede links til siden "ændre adgangskode" - i virkeligheden et websted designet til at høste din detaljer.

Muo-heartbleed-bug-help-pinterest

Ingen af ​​de tjenester, du bruger, bør anbefale dig at klikke på et link til ændring af adgangskode i en e-mail sendt uopfordret e-mail. Desværre gjorde IFTTT det, som Pinterest gjorde (ovenfor). Dette er dårlig praksis og giver indtryk af, at et sådant link er acceptabelt og bør klikkes på.

Medmindre du har anmodet om e-mailen, skal der ikke klikkes på et sådant link.

E-mail med nulstillet kodeord til nulstilling af kodeord bør ikke indeholde login-links. Hvis de gør det, skal du slette dem og derefter besøge webstedet ved at skrive adressen i din browser (eller vælge den fra historikken eller favoritter afhængigt af, hvordan du ruller med disse ting). Nulstil dit kodeord derfra ...

... men kun hvis du faktisk har brug for det på dette tidspunkt.

Desværre kan det PR-drevne behov for virksomhederne se ud som om de gør noget ved trusler som Heartbleed vise sig at være lige så ødelæggende som selve truslen.

Så skal du ændre dine adgangskoder?

Et af de vigtigste stykker af Heartbleed-rådgivning i omløb er, at du straks skal ændre dine adgangskoder.

Allesammen.

Dette er desværre et eksempel på den fejlinformation, jeg henviste til i introduktionen. Lad os sige, at du bruger den samme adgangskode til flere websteder. Først og fremmest er dette dårlig praksis, og du bør overveje at gøre det i fremtiden (for ikke at nævne oprette mere sikre adgangskoder Sikker adgangskode: Generer en anden adgangskode til hvert websted Læs mere ).

Muo-heartbleed-bug-help-adgangskode

For det andet, hvis du uretfærdigt ændrer alle dine adgangskoder, er chancerne for, at du vil gøre det på et websted, der ikke kører på en opdateret server - en som Heartbleed stadig er en sårbarhed.

Uforvarende har du potentielt delt din gamle adgangskode og din nye adgangskode med dem, der er i stand til at udnytte sårbarheden for deres identitetssvindel og spam-operationer.

Som sådan skal du kun ændre din adgangskode fra side til side, når du ved, at de er blevet lappet - det vil sige, rettelsen er blevet anvendt og sårbarheden lukket.

Kontroller, hvilke websteder der er blevet lappet

Kom i gang ved at kontrollere, hvilke websteder der er fri for Heartbleed-sårbarheden.

Der er to måder at gøre dette på. Først skal du gå til Mashable, hvor en Du kan finde en ajourført liste over websteder med store navne, der er berørt af Heartbleedsammen med råd om, hvorvidt du skal ændre din adgangskode eller ej.

For de mindre websteder, dette fremragende søgeværktøj vil med det samme fortælle dig, om webstedet er blevet lappet eller ej.

Et alternativ er Chromebleed Checker udvidelse til Google Chrome.

Hvis de websteder, du bruger, er blevet påvirket og endnu ikke har opdateret Heartbleed-sårbarheden, skal du undgå at logge ind, indtil situationen er løst.

Konklusion: Det er et ventende spil

At håndtere den hjertesukkende storm burde ikke være et problem for de fleste. Hold dig til det kursus, vi har anbefalet ovenfor, og skift ikke adgangskoder, før du bliver bedt om at gøre det af de tilsvarende websteder og tjenester.

Muo-heartbleed-bug-help-hjerte

Du kan også bruge nye værktøjer til at kontrollere, om det websted, du planlægger at besøge (eller endda det, du kører), er blevet påvirket, og om en rettelse er blevet anvendt.

Vigtigst af alt skal du være sikker og være tålmodig. Potentialet for Heartbleed til at forårsage massive problemer er stadig der - undgå websteder, der kræver programrettelse, indtil du ved, at de nu er sikre.

Billedkreditter: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Panik ikke-knappen via Shutterstock, Adgangskode via Shutterstock

Christian Cawley er viceaditor for sikkerhed, Linux, DIY, programmering og teknisk forklaret. Han producerer også The Really Useful Podcast og har lang erfaring med support til desktop og software. Christian bidrager til Linux Format-magasinet og er en Raspberry Pi-tinkerer, Lego-elsker og retro-spil-fan.