Heartbleed - o que você pode fazer para se manter seguro?
A vulnerabilidade heartbleed SSL está fazendo manchetes em todo o mundo - e misreporting na imprensa e online está causando confusão. Como você pode ficar seguro e seguirá seus dados pessoais não são divulgados?
Conteúdo
- Video: capture https passwords with heartbleed
- O que é heartbleed? bem, não é um vírus
- Ignore the hype & não entre em pânico
- Video: what is the heartbleed encryption bug? | mashable explains
- O risco phishing
- Então, você deve alterar suas senhas?
- Video: what is the heartbleed bug?
- Verificar sites que foram remendado
- Conclusão: É um jogo de espera
Video: Capture HTTPS passwords with Heartbleed
O que é heartbleed? Bem, não é um vírus
Você provavelmente já ouviu heartbleed descrito como um vírus. Este não é o caso: de fato, é uma fraqueza, uma vulnerabilidade no servidores que executam OpenSSL. Esta é a implementação open source do SSL e TLS, os protocolos utilizados para conexões seguras - aqueles que começam https: // ao invés do habitual http: //.
Esta vulnerabilidade - mais comumente referido como um bug - essencialmente cria um buraco através do qual os hackers podem contornar a criptografia. Confirmado em 7 de abrilº 2014, que ocorre em todas as versões do OpenSSL, exceto 1.0.1g. A ameaça é limitado a sites executando OpenSSL - outra SSL e TLS bibliotecas estão disponíveis, mas OpenSSL é empregada amplamente em servidores de todo o web. Uma correção para o problema existe, mas isso pode não ter sido aplicado aos sites que você visita regularmente para atividades seguras. Estes podem ser compras on-line, jogos de azar e outros sites temáticos adultos ou mesmo de redes sociais.
Como resultado, todo o tipo de informação pessoal e financeira pode estar em risco.
Para se ter uma idéia de quão grande é a heartbleed negócio é (e por que ele é chamado), Ryan colocou recentemente este bug-medindo Internet em contexto. Devemos sublinhar que heartbleed é uma vulnerabilidade com base na Internet e, portanto, afeta os usuários de todos os sistemas, desktop operando e móvel.Bug maciço em OpenSSL coloca muito de Internet em riscoBug maciço em OpenSSL coloca muito de Internet em riscoSe você é uma daquelas pessoas que sempre acreditei que fonte criptografia aberto é a maneira mais segura de se comunicar on-line, você está em um pouco de surpresa.consulte Mais informação
Então, é um grande negócio - mas o que você pode fazer sobre isso?
Ignore The Hype & Não entre em pânico
Bem, há uma coisa que você não deve fazer: pânico. Muito tem sido escrito através da Internet e na mídia impressa nos últimos dias e um monte de que é hype, pornografia desgraça que iria colocar os efeitos da famosa Guerra da transmissão Worlds rádio para vergonha Orson Welles.
Muito do que você já viu terão sido remendada de comunicados de imprensa e outros relatos de jornalistas não estão familiarizados com a terminologia e uma falta de compreensão clara sobre os riscos.
Video: What Is the Heartbleed Encryption Bug? | Mashable Explains
Por exemplo, você pode saber que você deve mudar suas senhas imediatamente (não é inteiramente verdade, devemos acrescentar - veja abaixo). Mas você sabia sobre o risco de phishing?
O Risco Phishing
serviços responsáveis da web, bancos e redes sociais que foram afetados por heartbleed vai deixá-los um e-mail para que você saiba que eles têm reparado a vulnerabilidade e recomendamos que você altere sua senha.
Naturalmente, você deve fazer isso - mas esteja ciente de que esta situação apresenta uma oportunidade ideal para phishers para começar a enviar e-mails falsos, completo com links embutidos para a página de “alteração de senha” - na realidade, um website concebido para colher seus dados.
Nenhum dos serviços que você usa deve recomendamos que você clique em um link de alteração de senha em um email enviado e-mail não solicitado. Infelizmente, IFTTT fez, como fez Pinterest (acima). Esta é uma prática ruim e dá a impressão de que essa ligação é aceitável e deve ser clicado.
A menos que você tenha solicitado o e-mail, um link deve ser clicado.
Heartbleed e-mails de redefinição de senha não deve incluir links de login. Se eles, excluí-los, em seguida, visite o site digitando o endereço no seu navegador (ou selecionando-história ou favoritos dependendo de como você rolar com estas coisas). A partir daí, redefinir sua senha ...
... mas só se você realmente precisa nesta fase.
Infelizmente, a necessidade impulsionado-PR para as empresas a olhar como eles estão fazendo algo sobre ameaças como heartbleed pode provar ser tão prejudicial quanto a própria ameaça.
Então, você deve alterar suas senhas?
Uma das principais peças de aconselhamento heartbleed em circulação é que você deve mudar suas senhas imediatamente.
Todos eles.
Este, infelizmente, é um exemplo da desinformação me referi na introdução. Digamos que você use a mesma senha para vários sites. Primeiro de tudo, esta é uma prática ruim e você deveria reconsiderar a fazê-lo no futuro (para não mencionar criar senhas mais seguras).As senhas seguras: Gerar uma senha diferente para cada siteAs senhas seguras: Gerar uma senha diferente para cada siteconsulte Mais informação
Segundo, se você indiscriminadamente alterar todas as suas senhas, as chances são que você vai fazê-lo em um site que não está sendo executado em um servidor remendado - uma sobre a qual heartbleed ainda é uma vulnerabilidade.
Inadvertidamente, você potencialmente compartilhado sua senha antiga e a nova senha com aqueles que são capazes de explorar a vulnerabilidade para suas operações fraude e spam de identidade.
Como tal, você só deve alterar sua senha em uma base site por site quando você sabe que eles foram corrigidos - ou seja, a correção foi aplicada e a vulnerabilidade fechado.
Video: What is the Heartbleed bug?
Verificar sites que foram remendado
Comece verificando os sites que estão livres da vulnerabilidade heartbleed.
Há duas maneiras de fazer isso. Primeiro, vá até Mashable, onde uma lista up-to-date de sites de grande nome afetadas por heartbleed podem ser encontrados, juntamente com conselhos sobre se você deve alterar sua senha ou não.
Para os sites menores, esta excelente ferramenta de busca irá dizer-lhe imediatamente se ou não o site foi remendado.
Uma alternativa é a extensão Verificador Chromebleed para o Google Chrome.
Se os sites que você usa foram afetadas e ainda não ter corrigido a vulnerabilidade heartbleed, evitar o login até que a situação seja resolvida.
Conclusão: É um jogo de espera
Lidar com a tempestade heartbleed não deve ser um problema para a maioria. Stick para o curso que já aconselhou acima, e não mudar todas as senhas até que você está instruído a fazê-lo pelos sites e serviços correspondentes.
Você também pode usar novas ferramentas para verificar se o site que você planeja visitar (ou mesmo o que você executar) foi afetada, e se a correção foi aplicada.
Mais importante ainda, permanecer seguro e ser paciente. O potencial para heartbleed para causar enormes problemas ainda está lá - evitar quaisquer sites que exigem patch até que você sabe que eles estão agora seguros.
Pior do que heartbleed? Conheça shellshock: uma nova ameaça de segurança para os x e linux
O linux fantasma falha: tudo o que você precisa saber
O governo nos infiltrou o projeto debian? (Não)
Tem linux sido vítima de seu próprio sucesso?
Heartbleed não é apenas um problema de desktop - o seu android pode ser um risco
Amazon atualização ar nobre, openssl autor fala, google vidro para todos [notícias de tecnologia resumo]
Nsa explora internet, irs mantém xp, aborrecedores de vidro google, conceito ipad [notícias de tecnologia resumo]
Windows phone 8.1 comentários, heartbleed android, a us airways de tweets [notícias de tecnologia resumo]
Encontrar as chaves secretas em aplicativos para android, mágoa heartbleed, e muito mais ... [Notícias de tecnologia resumo]
Cavando através da campanha publicitária: tem heartbleed realmente mal a ninguém?
Joe siegrist de lastpass: a verdade sobre a sua senha de segurança
4 Mitos de segurança cibernética que deve morrer
Os usuários do windows, cuidado: você tem um problema de segurança grave
Por que tv não é o lugar para ir para o conselho de segurança cibernética
Cinco violações à sua privacidade de 2014 que você pode ter falhado
Como e por que você precisa para instalar esse patch de segurança
Proprietários de laptop lenovo cuidado: o dispositivo pode ter o malware pré-instalado
Criptografia breaks velho bug internet 20 ano: como saber se o seu navegador é afetado
Gangue hacker russo capta 1,2 bilhão de credenciais: o que você deve fazer
Como a navegação na web está se tornando ainda mais segura
3 Perigos da exploração madeireira sobre a público wi-fi