Рекламное объявление

Уязвимость Heartbleed SSL делает заголовки во всем мире, а искажение информации в прессе и в Интернете вызывает путаницу. Как вы можете быть в безопасности, и ваши личные данные не будут пропущены?

Что такое Heartbleed? Ну, это не вирус

Возможно, вы слышали, что Heartbleed описан как вирус. Это не так: на самом деле это слабость, уязвимость на серверах под управлением OpenSSL. Это реализация SSL и TLS с открытым исходным кодом, протоколы, используемые для безопасных соединений - те, которые начинаются https: // а не обычный Http: //.

Ая-heartbleed-помощь по протоколу HTTPS

Эта уязвимость, чаще называемая ошибкой, по существу создает дыру, через которую хакеры могут обойти шифрование. Подтверждено 7 апреляго 2014, это происходит во всех версиях OpenSSL, кроме 1.0.1g. Угроза ограничена сайтами, на которых работает OpenSSL - доступны другие библиотеки SSL и TLS, но OpenSSL широко используется на серверах в Интернете. Исправление проблемы существует, но оно может не применяться к веб-сайтам, которые вы регулярно посещаете для обеспечения безопасности. Это могут быть интернет-магазины, азартные игры и другие тематические сайты для взрослых или даже социальные сети.

instagram viewer

В результате, вся личная и финансовая информация может оказаться под угрозой.

Чтобы понять, насколько велика сделка Heartbleed (и почему она так называемая), Райан недавно поместил эту интернет-ошибку в контекст Огромная ошибка в OpenSSL ставит под угрозу большую часть ИнтернетаЕсли вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз. Подробнее . Мы должны подчеркнуть, что Heartbleed - это уязвимость, связанная с Интернетом, и поэтому она затрагивает пользователей всех операционных систем, как настольных, так и мобильных.

Итак, это большое дело, но что вы можете с этим поделать?

Проигнорируйте Обман & Не Паникуйте

Ну, есть одна вещь, которую вы не должны делать: паника. За последние несколько дней в Интернете и в печатных СМИ было написано очень много, и многое из этого шумиха, думы порно, который поставил бы последствие Орсона Уэллса известной Войну Миров радио для позор.

Ий-heartbleed-помощь-dontpanic

Многое из того, что вы уже видели, будет вымощено из пресс-релизов и других репортажи журналистов, не знакомых с терминологией, и отсутствие четкого понимания риски.

Например, вы можете знать, что вам следует немедленно изменить свои пароли (не совсем верно, мы должны добавить - см. Ниже). Но знаете ли вы о фишинг-риске?

Фишинговый риск

Ответственные веб-сервисы, банки и социальные сети, пострадавшие от Heartbleed, оставят вас по электронной почте, чтобы вы знали, что они исправили уязвимость, и рекомендуем вам изменить пароль.

Естественно, вы должны это сделать, но имейте в виду, что эта ситуация предоставляет фишерам идеальную возможность начать отправку поддельные электронные письма со встроенными ссылками на страницу «изменить пароль» - на самом деле, веб-сайт, предназначенный для сбора ваших подробности.

Ая-heartbleed-помощь-Pinterest

Ни одна из служб, которые вы используете, не должна рекомендовать вам щелкать ссылку смены пароля в электронном письме, отправленном по незапрошенной электронной почте. К сожалению, IFTTT сделалКак и Pinterest (выше). Это плохая практика и создает впечатление, что такая ссылка является приемлемой и должна быть нажата.

Если вы не запросили электронное письмо, по такой ссылке не следует нажимать.

Письма для сброса пароля Heartbleed не должны содержать ссылки для входа. Если они это сделают, удалите их, а затем посетите веб-сайт, введя адрес в браузере (или выбрав его из истории или избранного в зависимости от того, как вы катитесь с этим). Оттуда сбросьте свой пароль ...

... но только если вам действительно нужно на этом этапе.

К сожалению, потребность PR в том, чтобы компании выглядели так, как будто они что-то делают с такими угрозами, как Heartbleed, может оказаться столь же разрушительной, как и сама угроза.

Так стоит ли менять пароли?

Одним из основных советов Heartbleed в обращении является то, что вы должны немедленно изменить свои пароли.

Все они.

К сожалению, это пример дезинформации, о которой я говорил во вступлении. Допустим, вы используете один и тот же пароль для нескольких сайтов. Прежде всего, это плохая практика, и вы должны пересмотреть ее в будущем (не говоря уже о создавать более безопасные пароли Безопасные пароли: генерировать разные пароли для каждого сайта Подробнее ).

Ая-heartbleed-помощь-пароль

Во-вторых, если вы без разбора измените все свои пароли, есть вероятность, что вы это сделаете на веб-сайте, который не работает на пропатченном сервере, на котором Heartbleed все еще уязвимость.

Случайно вы потенциально поделились своим старым паролем и новым паролем с теми, кто может использовать уязвимость для своих мошеннических действий и операций со спамом.

Таким образом, вы должны изменять свой пароль только для каждого сайта, если вы знаете, что они были исправлены, то есть исправление применено и уязвимость закрыта.

Проверьте, какие сайты были исправлены

Начните с проверки того, какие веб-сайты свободны от уязвимости Heartbleed.

Есть два способа сделать это. Во-первых, отправляйтесь в Mashable, где актуальный список известных сайтов, затронутых Heartbleed, можно найтивместе с рекомендациями относительно того, стоит ли менять пароль или нет.

Для небольших сайтов этот отличный инструмент поиска мгновенно сообщит вам, был ли сайт исправлен.

Альтернативой является Chromebleed Checker расширение для Google Chrome.

Если используемые вами сайты были затронуты и еще не исправили уязвимость Heartbleed, избегайте входа в систему до тех пор, пока ситуация не будет решена.

Вывод: это игра ожидания

Борьба с ураганом «Кровотечение» не должна быть проблемой для большинства. Придерживайтесь курса, который мы советовали выше, и не меняйте пароли, пока вас не проинструктируют соответствующие веб-сайты и службы.

Ая-heartbleed-помощь-сердце

Вы также можете использовать новые инструменты, чтобы проверить, был ли затронут сайт, который вы планируете посетить (или даже тот, который вы запускаете), и было ли применено исправление.

Самое главное, оставаться в безопасности и быть терпеливым. Потенциал Heartbleed вызывать серьезные проблемы все еще существует - избегайте любых сайтов, которые требуют исправлений, пока вы не знаете, что они теперь безопасны.

Кредиты изображений: Пуля Сердце через Shutterstock, HTTPS через Shutterstock, Не паникуйте кнопку через Shutterstock, Пароль через Shutterstock

Кристиан Коули - заместитель редактора по безопасности, Linux, DIY, программированию и технологиям. Он также выпускает подкаст «Действительно полезный» и имеет большой опыт в поддержке настольных компьютеров и программного обеспечения. Кристиан - участник журнала Raspberry Pi, любитель лего и поклонник ретро-игр.