Annons

Den Heartbleed SSL sårbarheten gör rubriker runt om i världen - och felrapportering i pressen och online orsakar förvirring. Hur kan du hålla dig säker och säkerställa att dina personliga uppgifter inte läcker ut?

Vad är Heartbleed? Det är inte ett virus

Du har förmodligen hört Heartbleed beskrivas som ett virus. Detta är inte fallet: det är faktiskt en svaghet, en sårbarhet på servrar som kör OpenSSL. Detta är öppen källkodsimplementering av SSL och TLS, protokollen som används för säkra anslutningar - de som börjar https: // snarare än det vanliga http: //.

Muo-heartbleed-help-https

Denna sårbarhet - oftare kallad en bugg - skapar i huvudsak ett hål genom vilket hackare kan kringgå krypteringen. Bekräftade den 7 aprilth 2014 förekommer det i alla versioner av OpenSSL förutom 1.0.1g. Hotet är begränsat till webbplatser som kör OpenSSL - andra SSL- och TLS-bibliotek finns tillgängliga, men OpenSSL används mycket på servrar runt webben. En lösning för problemet finns, men det kanske inte har använts på de webbplatser du besöker regelbundet för säkra aktiviteter. Det kan handla om online-shopping, spel och andra webbplatser för vuxna tema eller till och med socialt nätverk.

instagram viewer

Som ett resultat kan alla typer av personlig och ekonomisk information vara i riskzonen.

För att få en uppfattning om hur stor affär Heartbleed är (och varför den är så kallad), Ryan har nyligen satt detta Internet-spännande fel i sammanhang Massive Bug i OpenSSL sätter mycket av Internet i riskzonenOm du är en av de människor som alltid har trott att öppen källkryptografi är det säkraste sättet att kommunicera på nätet, är du för en överraskning. Läs mer . Vi bör understryka att Heartbleed är en internetbaserad sårbarhet och därför påverkar användare av alla operativsystem, stationära och mobila.

Så det är mycket - men vad kan du göra med det?

Ignorera Hype & Don’t Panic

Nåväl, det är en sak du inte bör göra: panik. Mycket har skrivits över Internet och i de tryckta medierna under de senaste dagarna, och mycket av det är det hype, undergångsporr som skulle sätta effekterna av Orson Welles berömda War of the Worlds radiosändning till skam.

Muo-heartbleed-help-dontpanic

Mycket av det du redan har sett kommer att ha kullats samman från pressmeddelanden och annat rapporter från journalister som inte känner till terminologin och bristen på tydlig förståelse för risker.

Till exempel kanske du vet att du ska ändra dina lösenord omedelbart (inte helt sant, vi bör lägga till - se nedan). Men visste du om phishing-risken?

Phishing-risken

Ansvariga webbtjänster, banker och sociala nätverk som har påverkats av Heartbleed släpper dig en e-post för att informera dig om att de har reparerat sårbarheten och rekommenderar att du ändrar din Lösenord.

Naturligtvis bör du göra detta - men var medveten om att den här situationen är en idealisk möjlighet för phishers att börja skicka falska e-postmeddelanden, kompletta med inbäddade länkar till sidan "ändra lösenord" - i verkligheten, en webbplats designad för att skörda din detaljer.

Muo-heartbleed-help-pinterest

Ingen av de tjänster du använder bör rekommendera att du klickar på en länk för att ändra lösenord i en e-post som skickas oönskad e-post. Tyvärr gjorde IFTTT det, liksom Pinterest (ovan). Detta är dålig praxis och ger intrycket av att en sådan länk är acceptabel och bör klickas.

Om du inte har begärt e-postmeddelandet, bör du inte klicka på en sådan länk.

E-postmeddelanden om återställning av lösenord med lösenord bör inte innehålla inloggningslänkar. Om de gör det, ta bort dem och besök webbplatsen genom att skriva adressen i din webbläsare (eller välj den från historik eller favoriter beroende på hur du rullar med den här saken). Återställ ditt lösenord därifrån ...

... men bara om du faktiskt behöver det i detta skede.

Tyvärr kan det PR-drivna behovet av företag se ut som om de gör något åt ​​hot som Heartbleed vara lika skadligt som själva hotet.

Ska du ändra dina lösenord?

En av de viktigaste delarna av Heartbleed-råd i omlopp är att du bör byta lösenord omedelbart.

Allihopa.

Detta är tyvärr ett exempel på den felaktiga informationen jag hänvisade till i introduktionen. Säg att du använder samma lösenord för flera webbplatser. Först och främst är detta dålig praxis och du bör överväga att göra det i framtiden (för att inte tala om skapa säkrare lösenord Säkra lösenord: Skapa ett annat lösenord för varje webbplats Läs mer ).

Muo-heartbleed-help-lösenord

För det andra, om du på ett kritiskt sätt ändrar alla dina lösenord, är chansen stor att du kommer att göra det på en webbplats som inte körs på en patchad server - en på vilken Heartbleed fortfarande är en sårbarhet.

Oavsiktligt har du eventuellt delat ditt gamla lösenord och ditt nya lösenord med de som kan utnyttja sårbarheten för deras identitetsbedrägeri och skräppost.

Som sådant bör du bara ändra ditt lösenord på en webbplats-för-webbplats-basis när du vet att de har korrigerats - det vill säga fixen har tillämpats och sårbarheten stängts.

Kontrollera vilka webbplatser som har korrigerats

Kom igång genom att kontrollera vilka webbplatser som är fria från Heartbleed-sårbarheten.

Det finns två sätt att göra detta. Först, ta dig till Mashable där en aktuell uppdaterad lista över webbplatser med stora namn som påverkas av Heartbleed kan hittas, tillsammans med råd om du ska ändra ditt lösenord eller inte.

För de mindre webbplatserna, detta utmärkta sökverktyg kommer att berätta direkt om webbplatsen har lagats eller inte.

Ett alternativ är Chromebleed Checker tillägg för Google Chrome.

Om webbplatserna du använder har påverkats och ännu inte har korrigerat Heartbleed-sårbarheten, undvik att logga in tills situationen är löst.

Slutsats: Det är ett väntande spel

Att hantera hjärtat stormen borde inte vara ett problem för de flesta. Håll dig fast vid kursen som vi har rekommenderat ovan och ändra inga lösenord förrän du har instruerats att göra det av motsvarande webbplatser och tjänster.

Muo-heartbleed-help-hjärta

Du kan också använda nya verktyg för att kontrollera om webbplatsen du planerar att besöka (eller till och med den du kör) har påverkats och om en fix har tillämpats.

Viktigast av allt, vara säker och vara tålamod. Potentialen för Heartbleed att orsaka massiva problem finns fortfarande - undvik alla webbplatser som kräver lapp tills du vet att de nu är säkra.

Bildkrediter: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Panicera inte knappen via Shutterstock, Lösenord via Shutterstock

Christian Cawley är vice redaktör för säkerhet, Linux, DIY, Programmering och Tech Explained. Han producerar också The Really Useful Podcast och har lång erfarenhet av stationär och mjukvarosupport. Christian är en bidragsyter till Linux Format-magasinet, en Raspberry Pi-tinkerer, Lego-älskare och retro-spel-fan.