Den sårbare SSL-sårbarhed gør overskrifter rundt om i verden - og fejlrapportering i pressen og online skaber forvirring. Hvordan kan du forblive sikker og følg dine personlige oplysninger ikke lækket?
Hvad er Heartbleed? Nå, det er ikke et virus
Du har sikkert hørt Heartbleed beskrevet som en virus. Dette er ikke tilfældet: Det er faktisk en svaghed, en sårbarhed i servere, der kører OpenSSL. Dette er open source implementeringen af SSL og TLS, de protokoller, der bruges til sikre forbindelser - de der begynder https: // snarere end de sædvanlige http: // .
Denne sårbarhed - mere almindeligt benævnt en fejl - skaber i det væsentlige et hul, hvor hackere kan omgå krypteringen. Bekræftet den 7. april 2014, forekommer det i alle versioner af OpenSSL undtagen 1.0.1g. Truslen er begrænset til websteder, der kører OpenSSL - andre SSL- og TLS-biblioteker er tilgængelige, men OpenSSL er ansat bredt på servere rundt om i nettet. Der findes en løsning på problemet, men det er måske ikke tilfældet på de websteder, du regelmæssigt besøger for sikre aktiviteter. Disse kan være online shopping, gambling og andre voksne tema websteder eller endda sociale netværk.
Som følge heraf kan al form for personlig og finansiel information være i fare.
For at få en ide om, hvor stor en aftale Heartbleed er (og hvorfor det er såkaldt), har Ryan for nylig sat denne internetforstærkende fejl i kontekst. Massiv fejl i OpenSSL sætter meget af internet i fare Massive fejl i OpenSSL lægger meget af internettet I fare Hvis du er en af de mennesker, der altid har troet, at open source kryptografi er den mest sikre måde at kommunikere online på, er du i for en smule overraskelse. Læs mere . Vi bør understrege, at Heartbleed er en internetbaseret sårbarhed og derfor berører brugere af alle operativsystemer, desktop og mobile.
Så det er en big deal - men hvad kan du gøre ved det?
Ignorer Hype & Do not Panic
Nå, der er en ting, du ikke bør gøre: panik. Meget har været skrevet over internettet og i de trykte medier i de sidste par dage, og meget er det hype, doom porno, der ville sætte effekten af Orson Welles 'berømte World of Warcraft radio udsendelse til skamme.
Meget af det, du allerede har set, har været brolagt sammen fra pressemeddelelser og andre rapporter fra journalister, der ikke er bekendt med terminologien, og manglende klar forståelse af risiciene.
Du kan f.eks. Vide, at du skal ændre dine adgangskoder med det samme (ikke helt sandt, vi bør tilføje - se nedenfor). Men vidste du om phishing-risikoen?
Phishing Risikoen
Ansvarlige webtjenester, banker og sociale netværk, der er blevet påvirket af Heartbleed, vil droppe dig en email for at fortælle dig, at de har repareret sårbarheden og anbefaler at du ændrer din adgangskode.
Det skal du selvfølgelig gøre - men vær opmærksom på, at denne situation er en ideel mulighed for phishere at begynde at sende falske e-mails, komplet med embedded links til siden "Change Password" - i virkeligheden et website designet til at høste dine detaljer.
Ingen af de tjenester, du bruger, anbefaler dig at klikke på et link til skift adgangskode i en email sendt uopfordret email. Desværre gjorde IFTTT, ligesom Pinterest (ovenfor). Dette er dårlig praksis og giver indtryk af, at et sådant link er acceptabelt og skal klikkes.
Medmindre du har bedt om e-mailen, skal et sådant link ikke klikkes.
Heartbleed password reset e-mails skal ikke indeholde login links. Hvis de gør det, skal du slette dem og derefter besøge hjemmesiden ved at indtaste adressen i din browser (eller vælge den fra historie eller favoritter afhængigt af hvordan du ruller med disse ting). Derefter nulstil din adgangskode ...
... men kun hvis du faktisk har brug for på dette tidspunkt.
Desværre er det PR-drevne behov for, at virksomheder ser ud som om de gør noget ved trusler som Heartbleed, kan vise sig at være lige så skadelige som selve truslen.
Så skal du ændre dine adgangskoder?
Et af de vigtigste stykker af Heartbleed rådgivning i omløb er, at du skal ændre dine adgangskoder med det samme.
Allesammen.
Dette er desværre et eksempel på den misinformation, som jeg omtalte i intro. Sig, at du bruger den samme adgangskode til flere websteder. Først og fremmest er dette dårlig praksis, og du bør genoverveje at gøre det i fremtiden (for ikke at nævne skabe sikrere adgangskoder. Sikker adgangskode: Generer et andet kodeord for hvert websted Sikker adgangskode: Generer et andet kodeord for hver hjemmeside Læs mere).
For det andet, hvis du indirekte ændrer alle dine adgangskoder, er chancerne for, at du vil gøre det på et websted, der ikke kører på en patched server - en som Heartbleed stadig er en sårbarhed på.
Utilsigtvis har du muligvis delt din gamle adgangskode og din nye adgangskode med dem, der kan udnytte sårbarheden for deres identitetssvindel og spam-operationer.
Som sådan skal du kun ændre dit kodeord på et websted-ved-websted, når du ved, at de er blevet patched - det vil sige at rettelsen er blevet anvendt, og sårbarheden er lukket.
Kontroller, hvilke websteder der er blevet pakket
Kom i gang ved at tjekke, hvilke websteder der er fri for Heartbleed sårbarheden.
Der er to måder at gøre dette på. Først skal du gå til Mashable, hvor du kan finde en opdateret liste over big-name websites, der berøres af Heartbleed, sammen med råd om, om du skal ændre dit kodeord eller ej.
For de mindre hjemmesider vil dette fremragende søgeværktøj straks fortælle dig, om webstedet er blevet patched.
Et alternativ er Chromebleed Checker-udvidelsen til Google Chrome.
Hvis de websteder, du bruger, er blevet påvirket og endnu ikke har patchet Heartbleed sårbarheden, skal du undgå at logge ind, indtil situationen er løst.
Konklusion: Det er et ventende spil
Håndtering af Heartbleed stormen bør ikke være et problem for de fleste. Hold dig til det kursus, vi har anbefalet ovenfor, og ændrer ikke adgangskoder, før du bliver instrueret om at gøre det af de tilsvarende websteder og tjenester.
Du kan også bruge nye værktøjer til at kontrollere, om den hjemmeside, du planlægger at besøge (eller endog den du kører) er blevet påvirket, og om en rettelse er blevet anvendt.
Vigtigst er det, vær sikker og vær tålmodig. Potentialet for Heartbleed at forårsage massive problemer er stadig der - undgå websteder, der kræver patching, indtil du ved, at de nu er sikre.
Billedkreditter: Bullet Heart via Shutterstock, HTTPS via Shutterstock, ikke panikknap via Shutterstock, adgangskode via Shutterstock