Η ευπάθεια του Heartbleed SSL κάνει πρωτοσέλιδα σε όλο τον κόσμο - και η εσφαλμένη αναφορά στον τύπο και στο διαδίκτυο προκαλεί σύγχυση. Πώς μπορείτε να μείνετε ασφαλείς και να μην διαρρεύσετε τα προσωπικά σας στοιχεία;
Τι είναι το Heartbleed; Λοιπόν, δεν είναι ιός
Ίσως έχετε ακούσει τον Heartbleed που περιγράφεται ως ιός. Αυτό δεν συμβαίνει: στην πραγματικότητα, είναι μια αδυναμία, μια ευπάθεια στους διακομιστές που εκτελούν OpenSSL. Αυτή είναι η υλοποίηση ανοιχτού κώδικα SSL και TLS, τα πρωτόκολλα που χρησιμοποιούνται για ασφαλείς συνδέσεις - εκείνες που ξεκινούν το https: // και όχι το συνηθισμένο http: // .
Αυτή η ευπάθεια, που συνήθως αναφέρεται ως σφάλμα, δημιουργεί ουσιαστικά μια οπή μέσω της οποίας οι χάκερ μπορούν να παρακάμψουν την κρυπτογράφηση. Επιβεβαιώθηκε στις 7 Απριλίου 2014, εμφανίζεται σε όλες τις εκδόσεις του OpenSSL εκτός από το 1.0.1g. Η απειλή περιορίζεται σε ιστότοπους που εκτελούν OpenSSL - υπάρχουν άλλες βιβλιοθήκες SSL και TLS, αλλά το OpenSSL χρησιμοποιείται ευρέως σε διακομιστές σε όλο τον ιστό. Υπάρχει μια λύση για το πρόβλημα, αλλά αυτό μπορεί να μην έχει εφαρμοστεί στις ιστοσελίδες που επισκέπτεστε τακτικά για ασφαλείς δραστηριότητες. Αυτά μπορεί να είναι αγορές μέσω διαδικτύου, τυχερά παιχνίδια και άλλες ιστοσελίδες με θέμα τα ενήλικα ή ακόμα και κοινωνική δικτύωση.
Ως αποτέλεσμα, θα μπορούσαν να διακινδυνεύσουν όλες οι προσωπικές και οικονομικές πληροφορίες.
Για να πάρετε μια ιδέα για το πόσο μεγάλη είναι η συμφωνία Heartbleed (και γιατί είναι το λεγόμενο), ο Ryan έχει πρόσφατα βάλει αυτό το bug-spanning στο πλαίσιο Massive Bug στο OpenSSL Βάζει μεγάλο μέρος του Διαδικτύου σε κίνδυνο Massive Bug στο OpenSSL Βάζει μεγάλο μέρος του Internet Σε κίνδυνο Εάν είστε ένας από εκείνους τους ανθρώπους που πάντα πίστευα ότι η κρυπτογραφία ανοιχτής πηγής είναι ο ασφαλέστερος τρόπος επικοινωνίας στο διαδίκτυο, βρίσκεστε για λίγο μια έκπληξη. Διαβάστε περισσότερα . Πρέπει να υπογραμμίσουμε ότι το Heartbleed είναι μια ευπάθεια που βασίζεται στο Διαδίκτυο και επομένως επηρεάζει τους χρήστες όλων των λειτουργικών συστημάτων, επιτραπέζιων και κινητών.
Έτσι, είναι μια μεγάλη υπόθεση - αλλά τι μπορείτε να κάνετε για αυτό;
Αγνοήστε το Hype & Μην πανικοβάλλεστε
Λοιπόν, υπάρχει ένα πράγμα που δεν πρέπει να κάνετε: πανικό. Πολλά έχουν γραφτεί στο Διαδίκτυο και στα έντυπα μέσα τις τελευταίες μέρες και πολλά από αυτά είναι η διαφημιστική εκστρατεία, η πορνογραφική πορνογραφία που θα έβαζε τις ντροπές για το ντεμπούτο της διάσημης εκπομπής του War of the Worlds του Orson Welles.
Πολλά από αυτά που έχετε ήδη δει θα έχουν καλυφθεί από τα δελτία τύπου και άλλες εκθέσεις δημοσιογράφων που δεν είναι εξοικειωμένοι με την ορολογία και την έλλειψη σαφούς κατανόησης των κινδύνων.
Για παράδειγμα, ίσως να γνωρίζετε ότι πρέπει να αλλάξετε τους κωδικούς πρόσβασής σας αμέσως (δεν είναι εξ ολοκλήρου αληθές, πρέπει να προσθέσουμε - βλ. Παρακάτω). Αλλά ξέρατε για τον κίνδυνο ηλεκτρονικού ψαρέματος;
Ο κίνδυνος ηλεκτρονικού "ψαρέματος"
Οι υπεύθυνες υπηρεσίες ιστού, οι τράπεζες και τα κοινωνικά δίκτυα που έχουν επηρεαστεί από το Heartbleed θα σας αφήσουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να σας ενημερώσουμε ότι έχουν επιδιορθώσει το θέμα ευπάθειας και σας συνιστούμε να αλλάξετε τον κωδικό πρόσβασής σας.
Φυσικά, πρέπει να το κάνετε αυτό - αλλά να γνωρίζετε ότι αυτή η κατάσταση παρουσιάζει μια ιδανική ευκαιρία για τους phishers να ξεκινήσουν να στέλνουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου, συμπληρώνοντας ενσωματωμένους συνδέσμους στη σελίδα "αλλαγή κωδικού πρόσβασης" - στην πραγματικότητα, μια ιστοσελίδα σχεδιασμένη να συλλέγει τα στοιχεία σας.
Καμία από τις υπηρεσίες που χρησιμοποιείτε δεν θα σας συνιστούσε να κάνετε κλικ σε έναν σύνδεσμο αλλαγής κωδικού πρόσβασης σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που στέλνει ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Δυστυχώς, το IFTTT έκανε, όπως και ο Pinterest (παραπάνω). Πρόκειται για κακή πρακτική και δίνει την εντύπωση ότι ένας τέτοιος σύνδεσμος είναι αποδεκτός και θα πρέπει να γίνει κλικ.
Εάν δεν έχετε ζητήσει την ηλεκτρονική αλληλογραφία, δεν πρέπει να κάνετε κλικ σε αυτόν τον σύνδεσμο.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου επαναφοράς κωδικού πρόσβασης με κρυπτογραφημένα μηνύματα δεν θα πρέπει να περιλαμβάνουν συνδέσεις σύνδεσης. Αν το κάνουν, διαγράψτε τις και στη συνέχεια επισκεφτείτε τον ιστότοπο, πληκτρολογώντας τη διεύθυνση στο πρόγραμμα περιήγησής σας (ή επιλέγοντας την από το ιστορικό ή τα αγαπημένα ανάλογα με τον τρόπο με τον οποίο μετακινείτε με αυτά τα αντικείμενα). Από εκεί, επαναφέρετε τον κωδικό πρόσβασής σας ...
... αλλά μόνο αν χρειάζεστε πραγματικά αυτό το στάδιο.
Δυστυχώς, η αναγκαιότητα των εταιρειών να δείχνουν ότι κάνουν κάτι σχετικά με απειλές όπως η Heartbleed μπορεί να αποδειχθεί εξίσου επιζήμια με την ίδια την απειλή.
Έτσι, πρέπει να αλλάξετε τους κωδικούς πρόσβασης;
Ένα από τα βασικά κομμάτια των συμβουλών Heartbleed στην κυκλοφορία είναι ότι πρέπει να αλλάξετε τους κωδικούς πρόσβασής σας αμέσως.
Ολα τους.
Αυτό, δυστυχώς, είναι ένα παράδειγμα της παραπληροφόρησης που ανέφερα στην εισαγωγή. Ας υποθέσουμε ότι χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για αρκετούς ιστότοπους. Πρώτα απ 'όλα, αυτό είναι κακή πρακτική και θα πρέπει να επανεξετάσετε το κάνει στο μέλλον (για να μην αναφέρουμε να δημιουργήσετε πιο ασφαλή κωδικούς πρόσβασης Ασφαλής κωδικοί πρόσβασης: Δημιουργήστε ένα διαφορετικό κωδικό πρόσβασης για κάθε δικτυακό τόπο Ασφαλείς κωδικοί πρόσβασης: Δημιουργήστε έναν διαφορετικό κωδικό πρόσβασης για κάθε ιστοσελίδα Διαβάστε περισσότερα).
Δεύτερον, αν αλλάξετε αδιακρίτως όλους τους κωδικούς σας, οι πιθανότητες είναι ότι θα το κάνετε σε έναν ιστότοπο που δεν εκτελείται σε έναν patched server - έναν από τον οποίο η Heartbleed εξακολουθεί να είναι ευάλωτη.
Αθέλητα έχετε μοιραστεί δυνητικά τον παλιό κωδικό πρόσβασής σας και τον νέο κωδικό πρόσβασής σας με εκείνους που είναι σε θέση να εκμεταλλευτούν την ευπάθεια για την απάτη ταυτότητας και τις λειτουργίες ανεπιθύμητης αλληλογραφίας.
Ως εκ τούτου, θα πρέπει να αλλάξετε τον κωδικό πρόσβασής σας μόνο σε έναν ιστότοπο, όταν γνωρίζετε ότι έχουν τροποποιηθεί - δηλαδή, η διόρθωση έχει εφαρμοστεί και η ευπάθεια έχει κλείσει.
Ελέγξτε ποιοι ιστοτόποι έχουν σχεδιαστεί
Ξεκινήστε ελέγχοντας ποιες ιστοσελίδες είναι απαλλαγμένες από την ευπάθεια Heartbleed.
Υπάρχουν δύο τρόποι να το κάνετε αυτό. Αρχικά, κατευθυνθείτε στο Mashable, όπου μπορείτε να βρείτε μια ενημερωμένη λίστα ιστοτόπων μεγάλων ονομάτων που επηρεάζονται από το Heartbleed, μαζί με συμβουλές σχετικά με το εάν πρέπει να αλλάξετε τον κωδικό πρόσβασής σας ή όχι.
Για τους μικρότερους ιστότοπους, αυτό το εξαιρετικό εργαλείο αναζήτησης θα σας ενημερώσει αμέσως αν έχει εγκατασταθεί ή όχι το site.
Μια εναλλακτική λύση είναι η επέκταση του Chromebleed Checker για το Google Chrome.
Εάν οι ιστότοποι που χρησιμοποιείτε έχουν επηρεαστεί και δεν έχουν ακόμη επιδιορθώσει την ευπάθεια Heartbleed, αποφύγετε την καταγραφή μέχρι να επιλυθεί η κατάσταση.
Συμπέρασμα: Είναι παιχνίδι αναμονής
Η αντιμετώπιση της κακοκαιρίας δεν πρέπει να αποτελεί πρόβλημα για τους περισσότερους. Παρακολουθήστε το μάθημα που έχουμε συμβουλευθεί παραπάνω και μην αλλάζετε κωδικούς πρόσβασης μέχρι να σας δοθούν οδηγίες από τους αντίστοιχους ιστότοπους και υπηρεσίες.
Μπορείτε επίσης να χρησιμοποιήσετε νέα εργαλεία για να ελέγξετε αν έχει επηρεαστεί ο ιστότοπος που σχεδιάζετε κατά την επίσκεψή σας (ή ακόμα και αυτόν που εκτελείτε) και αν έχει εφαρμοστεί μια διόρθωση.
Το σημαντικότερο είναι να μείνετε ασφαλείς και να είστε υπομονετικοί. Η δυνατότητα του Heartbleed να προκαλέσει τεράστια προβλήματα εξακολουθεί να υπάρχει - αποφύγετε τυχόν ιστοσελίδες που απαιτούν επιδιόρθωση μέχρι να ξέρετε ότι είναι πλέον ασφαλείς.
Εικόνες Credits: Bullet Καρδιά μέσω Shutterstock, HTTPS μέσω shutterstock, Μην πανικοβληθείτε μέσω Shutterstock, Κωδικός μέσω Shutterstock