Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности?

Уязвимость Heartbleed SSL делает заголовки во всем мире, а искажение информации в прессе и в Интернете вызывает путаницу. Как вы можете оставаться в безопасности, и, следовательно, ваши личные данные не просочились?

Что такое Heartbleed? Ну, это не вирус

Вы, наверное, слышали, что Heartbleed описывается как вирус. Это не так: на самом деле это слабость, уязвимость серверов, работающих под управлением OpenSSL. Это реализация SSL и TLS с открытым исходным кодом, протоколы, используемые для безопасных соединений - те, которые начинаются https: // а не обычный Http: //.

Эта уязвимость, которую чаще называют ошибкой, по сути, создает дыру, через которую хакеры могут обойти шифрование. Подтверждено 7 апреля^го 2014, это происходит во всех версиях OpenSSL, кроме 1.0.1g. Угроза ограничена сайтами, на которых работает OpenSSL - доступны другие библиотеки SSL и TLS, но OpenSSL широко используется на серверах в Интернете. Исправление проблемы существует, но оно может не применяться к веб-сайтам, которые вы регулярно посещаете для обеспечения безопасности. Это могут быть интернет-магазины, азартные игры и другие тематические сайты для взрослых или даже социальные сети..

В результате, вся личная и финансовая информация может оказаться под угрозой..

Чтобы понять, насколько велика сделка с Heartbleed (и почему она так называемая), Райан недавно поместил эту распространяющуюся в Интернете ошибку в контекстную рассылку. Массивная ошибка в OpenSSL ставит большую часть риска в Интернет. Массовая ошибка в OpenSSL ставит большую часть Интернета. На риск Если вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз. , Мы должны подчеркнуть, что Heartbleed является уязвимостью в Интернете и поэтому затрагивает пользователей всех операционных систем, настольных и мобильных..

Итак, это большое дело - но что вы можете с этим поделать?

Проигнорируйте Обман & Не Паникуйте

Ну, есть одна вещь, которую вы не должны делать: паника. Много было написано через Интернет и в печатных средствах массовой информации в последние несколько дней, и это во многом шумиха, дум порно, который поставил бы последствия известного Орсона Уэллса Война Миров радио стыда.

Многое из того, что вы уже видели, будет выковано из пресс-релизов и других сообщений журналистов, не знакомых с терминологией, и отсутствия четкого понимания рисков.

Например, вы можете знать, что вам следует немедленно изменить свои пароли (не совсем верно, мы должны добавить - см. Ниже). Но знаете ли вы о фишинг-риске?

Фишинговый риск

Ответственные веб-службы, банки и социальные сети, пострадавшие от Heartbleed, отправят вам электронное письмо, чтобы сообщить, что они исправили уязвимость, и порекомендуют вам сменить пароль..

Естественно, вы должны это сделать, но имейте в виду, что эта ситуация предоставляет фишерам идеальную возможность начать отправку поддельных электронных писем со встроенными ссылками на “изменить пароль” страница - на самом деле, сайт, предназначенный для сбора ваших данных.

Ни одна из служб, которые вы используете, не должна рекомендовать вам щелкать ссылку смены пароля в электронном письме, отправленном по незапрошенному адресу. К сожалению, IFTTT сделал, как и Pinterest (выше). Это плохая практика и создает впечатление, что такая ссылка является приемлемой и должна быть нажата.

Если вы не запросили электронное письмо, по такой ссылке не следует нажимать.

Письма для сброса пароля Heartbleed не должны содержать ссылок для входа. Если они это сделают, удалите их, а затем посетите веб-сайт, введя адрес в браузере (или выбрав его из истории или избранного в зависимости от того, как вы катаетесь с этими вещами). Оттуда сбросьте свой пароль ...

… Но только если вам действительно нужно на этом этапе.

К сожалению, потребность PR в том, чтобы компании выглядели так, как будто они что-то делают с такими угрозами, как Heartbleed, может оказаться столь же разрушительной, как и сама угроза..

Итак, если вы измените свои пароли?

Одним из основных советов Heartbleed в обращении является то, что вы должны немедленно изменить свои пароли.

Все они.

К сожалению, это пример дезинформации, о которой я говорил во вступлении. Допустим, вы используете один и тот же пароль для нескольких сайтов. Прежде всего, это плохая практика, и вам следует пересмотреть ее в будущем (не говоря уже о создании более безопасных паролей. Безопасные пароли: создание разных паролей для каждого сайта. Безопасные пароли: создание разных паролей для каждого сайта)..

Во-вторых, если вы измените все свои пароли без разбора, есть вероятность, что вы собираетесь это сделать на веб-сайте, который не работает на пропатченном сервере - на котором Heartbleed остается уязвимой.

Возможно, вы случайно поделились своим старым паролем и новым паролем с теми, кто может использовать уязвимость в своих мошеннических действиях и спаме..

Таким образом, вы должны изменять свой пароль для каждого сайта, только когда вы знаете, что они были исправлены, то есть исправление применено и уязвимость закрыта..

Проверьте, какие сайты были исправлены

Начните с проверки, какие сайты свободны от уязвимости Heartbleed.

Есть два способа сделать это. Во-первых, отправляйтесь в Mashable, где можно найти актуальный список известных веб-сайтов, затронутых Heartbleed, а также советы о том, стоит ли менять пароль или нет..

Для небольших сайтов этот превосходный инструмент поиска мгновенно сообщит вам, был ли сайт исправлен..

Альтернативой является расширение Chromebleed Checker для Google Chrome..

Если веб-сайты, которые вы используете, были затронуты и еще не исправили уязвимость Heartbleed, избегайте входа в систему, пока ситуация не будет решена.

Вывод: это игра ожидания

Борьба с ураганом «Кровотечение» не должна быть проблемой для большинства. Придерживайтесь курса, который мы советовали выше, и не меняйте пароли, пока не получите соответствующие инструкции от соответствующих веб-сайтов и служб..

Вы также можете использовать новые инструменты, чтобы проверить, был ли затронут сайт, который вы планируете посетить (или даже тот, который вы запускаете), и было ли применено исправление.

Самое главное, оставаться в безопасности и быть терпеливым. Потенциал Heartbleed вызывать серьезные проблемы все еще существует - избегайте любых веб-сайтов, которые требуют исправлений, пока вы не знаете, что они теперь безопасны.

Кредиты изображений: Пуля Сердце через Shutterstock, HTTPS через Shutterstock, Не паникуйте кнопку через Shutterstock, Пароль через Shutterstock