Reklaam

Heartbleed SSL-i haavatavus muudab pealkirju kogu maailmas - ajakirjanduses ja veebis valeandmete esitamine põhjustab segadust. Kuidas saate olla turvaline ja seada enda isikuandmeid lekitamata?

Mis on südamevalu? Noh, see ei ole viirus

Tõenäoliselt olete kuulnud, et Heartbleedit kirjeldatakse kui viirust. See pole nii: tegelikult on see OpenSSL-i käitavate serverite nõrkus või haavatavus. See on SSL ja TLS avatud lähtekoodiga rakendused, turvaliste ühenduste jaoks kasutatavad protokollid - need, mis algavad https: // mitte tavaline http: //.

muo-südamega-abi-https

See haavatavus - mida sagedamini nimetatakse veaks - loob sisuliselt augu, mille kaudu häkkerid saavad krüptimisest kõrvale hoida. Kinnitatud 7. aprillilth 2014, esineb see kõigis OpenSSL-i versioonides, välja arvatud 1.0.1g. Oht on piiratud ainult OpenSSL-i käitavate saitidega - saadaval on ka muid SSL- ja TLS-teegid, kuid OpenSSL-i kasutatakse laialdaselt veebiserverites. Probleem on parandatud, kuid seda ei pruugitud veebisaitidel, mida regulaarselt turvaliste tegevuste jaoks külastate, rakendada. Need võivad olla veebikaubad, hasartmängud ja muud täiskasvanutele mõeldud veebisaidid või isegi suhtlusvõrgud.

Seetõttu võib igasugune isiklik ja finantsteave olla ohus.

Et saada aimu, kui suur tehing on Heartbleed (ja miks see nn on), Ryan pani selle Interneti-põhise vea hiljuti konteksti Massiivne viga OpenSSL-is ohustab suurt osa InternetistKui olete üks neist inimestest, kes on alati uskunud, et avatud lähtekoodiga krüptograafia on kõige turvalisem viis veebis suhelda, olete selle jaoks pisut üllatunud. Loe rohkem . Peaksime rõhutama, et Heartbleed on Interneti-põhine haavatavus ja mõjutab seetõttu kõigi opsüsteemide, nii laua- kui ka mobiiltelefonide, kasutajaid.

Niisiis, see on suur asi - aga mida saate selle vastu teha?

Ignoreerige hüpe & ärge paanitsege

Noh, on üks asi, mida te ei tohiks teha: paanika. Internetis ja trükimeedias on viimastel päevadel palju kirjutatud ja suur osa sellest on hype, doom porn, mis paneks Orson Wellesi kuulsa raadiosõja raadiosaadete eetrisse häbi.

muo-südamega-abi-dontpanic

Suur osa sellest, mida olete juba näinud, on pressiteadetest ja muustki kaetud ajakirjanike teadmised, kes ei tunne terminoloogiat ja puuduvad selged arusaamad selle kohta riskid.

Näiteks võite teada, et peaksite oma paroole kohe muutma (see pole täiesti tõsi, peaksime lisama - vt allpool). Kuid kas teadsite andmepüügiriskist?

Andmepüügioht

Vastutustundlikud veebiteenused, pangad ja sotsiaalsed võrgustikud, mida Heartbleed on mõjutanud, panevad teid maha e-posti teel, et anda teile teada, et nad on selle haavatavuse parandanud, ja soovitame teil muuta oma parool.

Loomulikult peaksite seda tegema, kuid pidage meeles, et selline olukord pakub andmepüüdjatele ideaalset võimalust saatmise alustamiseks võltsmeilisõnumid koos manustatud linkidega parooli muutmise lehele - tegelikkuses veebisait, mis on loodud teie üksikasjad.

muo-südamega-abi-pinterest

Ühelgi teie kasutataval teenusel ei tohiks soovitada klõpsata soovimatute e-kirjade lingil parooli muutmine. Kahjuks IFTTT tegi seda, nagu ka Pinterest (ülal). See on halb tava ja jätab mulje, et selline link on vastuvõetav ja sellele tuleks klõpsata.

Sellist linki ei tohiks klõpsata, kui te pole seda e-kirja taotlenud.

Südamega parooli lähtestamise e-kirjad ei tohiks sisaldada sisselogimislinke. Kui nad seda teevad, kustutage need ja külastage siis veebisaiti, sisestades aadressi oma brauserisse (või valides selle ajaloo või lemmikute hulgast sõltuvalt sellest, kuidas te nende asjadega kursis olete). Sealt lähtestage oma parool ...

... kuid ainult siis, kui teil on selles etapis tegelikult vaja.

Kahjuks võib PR-juhitud vajadus, et ettevõtted näeksid välja nagu tegevat midagi selliste ohtudega nagu Heartbleed, osutuda sama kahjulikuks kui oht ise.

Niisiis, kas peaksite oma paroole vahetama?

Üks peamisi ringluses olevaid Heartbleedi nõuandeid on see, et peaksite oma paroolid kohe ära vahetama.

Kõik nemad.

See on kahjuks näide väärast teabest, millele ma intro-osutasin. Oletame, et kasutate sama parooli mitme veebisaidi jaoks. Esiteks on see halb tava ja peaksite seda tulevikus uuesti kaaluma (rääkimata looge turvalisemaid paroole Turvalised paroolid: looge iga veebisaidi jaoks erinev parool Loe rohkem ).

muo-südamega-abi-parool

Teiseks, kui muudate valimatult kõiki oma paroole, on tõenäoline, et kavatsete seda teha veebisaidil, mis ei tööta paikses serveris - see, millel Heartbleed on endiselt a haavatavus.

Tahtmatult olete jaganud oma vana parooli ja uue parooli nendega, kes saavad oma identiteedipettuste ja rämpspostitoimingute haavatavust ära kasutada.

Sellisena peaksite oma parooli saidipõhiselt muutma ainult siis, kui teate, et need on paika pandud - see tähendab, et parandus on rakendatud ja haavatavus suletud.

Kontrollige, millised veebisaidid on parandatud

Alustuseks kontrollige, millistel veebisaitidel pole Heartbleedi haavatavust.

Selleks on kaks võimalust. Kõigepealt minge Mashable'i, kus Siit leiate ajakohastatud nimekirja suurte nimedega veebisaitidest, mida Heartbleed mõjutabkoos nõuandega, kas peaksite oma parooli muutma või mitte.

Väiksemate veebisaitide jaoks see suurepärane otsingutööriist annab kohe teada, kas sait on paigatud või mitte.

Alternatiiviks on Kroomitud kontrollija Google Chrome'i laiend.

Kui teie veebisaidid on mõjutatud ja te pole veel Heartbleed'i haavatavust parandanud, vältige sisselogimist, kuni olukord on lahendatud.

Järeldus: see on ootel mäng

Südamelöögitormiga toimetulek ei tohiks enamiku jaoks probleemiks olla. Pidage kinni kursusest, mida oleme ülalpool soovitanud, ja ärge muutke paroole enne, kui vastavad veebisaidid ja teenused on teid selleks juhendanud.

muo-südamega-abi-süda

Uute tööriistade abil saate kontrollida ka seda, kas teie veebisait, mida plaanite külastada (või isegi seda, mida käitate), on mõjutatud ja kas parandus on rakendatud.

Mis kõige tähtsam - ole ohutu ja ole kannatlik. Heartbleedi potentsiaal põhjustada tohutuid probleeme on endiselt olemas - vältige paigamist vajavaid veebisaite, kuni teate, et need on nüüd turvalised.

Pildikrediidid: Bullet Heart Shutterstocki kaudu, HTTPS Shutterstocki kaudu, Ärge paanikanuppu Shutterstocki kaudu, Parool Shutterstocki kaudu

Christian Cawley on turbe, Linuxi, meisterdamise, programmeerimise ja tehniliste selgituste turbetoimetaja asetäitja. Samuti toodab ta The Really Useful Podcast ning tal on laialdased kogemused töölaua- ja tarkvara tugiteenuste alal. Ajakirja Linux Format kaastöötaja Christian on Raspberry Pi looja, Lego väljavalitu ja retro mängude fänn.