Jeśli masz trudności ze zrozumieniem zalewu informacji na temat Podatność na Krwawienie Serca, nie jesteś sam. Niektóre raporty mówią nam o natychmiastowej zmianie wszystkich naszych haseł internetowych, inne ostrzegają nas, że może to wyrządzić więcej szkody niż pożytku. Istnieje wiele dezinformacji.
Ważne jest, aby nie panikować, ale nie należy też popadać w samozadowolenie. Wszyscy potrzebujemy dobrej, staromodnej mieszanki zdrowego rozsądku i rozwagi.
Co to jest Heartbleed?
Na wielu serwerach i usługach internetowych, z których korzystamy, istnieje bezpłatna i otwarta technologia bezpieczeństwa o nazwie OpenSSL. Mówiąc prościej, gdy zobaczysz kłódkę obok strony internetowej URL, masz bezpieczne i szyfrowane połączenie internetowe, które mogło być zarządzane przez OpenSSL oprogramowanie.
Do tej pory OpenSSL działał niesamowicie dobrze. Inżynierowie sieci i użytkownicy tacy jak Ty byli bardziej niż zadowoleni ze świadczonych przez nich usług. Ale zabezpieczenia Google i Kodnomikon niedawno odkryłem usterkę w systemie, teraz nazwaną heartbleed i ogłosił to światu 7 kwietnia 2014 r. Błąd mógł pozostać niezauważony przez ostatnie dwa lata.
Mówiąc prosto, heartbleed to luka w pamięci serwera. Oznacza to, że cała baza danych wszystkich klientów Twojego ulubionego sprzedawcy internetowego nie jest zagrożona, ale każda transakcja, która ma miejsce w chwili ataku cyberprzestępcy na witrynę, może być zagrożona. Dlatego niektórzy eksperci doradzili Ci, aby powstrzymać się od przeprowadzania ważnych transakcji online, gdy sytuacja jest rozwiązywana.
heartbleed jest poważnym problemem dla firm, z których wiele co godzinę obsługuje tysiące transakcji. Zagorzały cyberprzestępca mógłby z łatwością napisać narzędzie do przesłuchań, które wykorzystuje heartbleed błąd co kilka sekund, co pozwala na pozyskiwanie dużych ilości danych klientów. To, jakie informacje zostaną pobrane, będzie całkowicie zależeć od tego, co jest wymieniane w danym momencie.
To tak, jakby ktoś czytał w twoich myślach, gdy czytasz ten artykuł. Nie zobaczą całego artykułu, ale przez krótką chwilę zajrzą w twoją głowę, zobaczą te same słowa, które właśnie przeczytałeś.
Pamięć serwera jest tak aktualna, jak aktualna transakcja lub wykonywane zadanie. Dlatego jest mało prawdopodobne, że jakiekolwiek stare transakcje sprzed minut, godzin lub dni zostaną zapisane w pamięci.
Co musisz zrobić?
Na początek nie panikuj. Niektórzy radzą, abyś zmienił wszystkie swoje hasła, ale jeśli nie wiesz, że witryna, do której uzyskujesz dostęp, korzysta z OpenSSL, możesz stwarzać sobie więcej problemów, zmieniając ustawienia.
Dzieje się tak po części dlatego, że możesz zmienić hasło na serwerze, który nie został załatany i dlatego nadal mają problem, podczas gdy pozostają podatne. Jeśli witryna nadal jest podatna na ataki, Twoje nowe hasło również będzie podatne na ataki.
Sprawdź w witrynach, z których korzystasz. Większość witryn informuje, czy wprowadziła jakieś zmiany lub rozpoznała problem. IFTTT, popularna usługa mashupowa w mediach społecznościowych, wysłała już e-mailem całą bazę użytkowników, informując ich, że oferowane przez nich usługi zostały zabezpieczone.
Jeśli masz inklinacje techniczne i chciałbyś zobaczyć na własne oczy, możesz użyć wielu różnych heartbleed sprawdzanie witryn które sprawdzają, czy usługa, z której korzystasz, jest zagrożona. Istnieją witryny, które teraz wyświetlają listę podatne witryny internetowe. Pod pewnymi względami jest to dobra wiadomość, ale oznacza to również, że witryny, które są podatne na ataki, zostały również ujawnione potencjalnym cyberprzestępcom. Jeśli Twoja witryna znajduje się na tych listach, przeczytaj uważnie porady, ponieważ niektórzy twierdzą, że nie wierzą, że mają jakiekolwiek problemy.
Jeśli nadal nie masz pewności, zmień hasło, ale użyj takiego, które zapamiętasz, aby nie potrzebować monitu ze strony. Powinno to być również hasło, które chcesz zmienić za kilka dni. Pamiętaj jednak, że zdziwisz się, ile witryn używasz, masz konta i hasła, które mogłeś zapomnieć. Jeśli zapomniałeś hasła, na razie trzymaj się z daleka.
Co robią profesjonaliści?
Wiele usług jest już naprawionych. Specjaliści sieciowi nie są zadowoleni z siebie i są bardzo skoncentrowani na bezpieczeństwie. Takie problemy są rzadkie, ale stanowią ważne wiadomości. Wielu mogło usunąć ten problem, zanim jeszcze stał się wiadomością.
Niektóre serwisy internetowe informują, czy zostały załatane i są bezpieczne, ale nie musisz się martwić, jeśli Twoja ulubiona witryna nie opublikuje komunikatu. Są szanse, że w ogóle nigdy nie używał OpenSSL.
Czy będą inne problemy?
Nieuniknione jest, że niektóre witryny nie zostaną załatane, ponieważ nie są to podstawowe usługi komercyjne, którymi się „opiekuje”. Zawsze istnieje możliwość znalezienia innych problemów OpenSSL lub inne bezpieczne usługi. SQL Injection, na przykład był problemem, który stał się szeroko znany w społeczności sieciowej w 2012 r., ale wciąż od czasu do czasu znajdujemy serwery, które nadal dopuszczają ten exploit.
Podsumowując, najlepszym sposobem działania jest sprawdzenie, na których stronach internetowych w Twoim cyfrowym życiu działają OpenSSL. Największe witryny będą się z Tobą komunikować, jeśli i kiedy będą tego potrzebować.
Ten artykuł pojawił się po raz pierwszy Konwersacje
Od webmastera InnerSelf: InnerSelf działa na systemie, który wykorzystuje OpenSSL ale naprawiliśmy lukę, gdy tylko się o tym dowiedzieliśmy heartbleed. Zachowujemy tylko Twoje imię (wystarczy imię) i adres e-mail dla Newsletter i Codzienna inspiracja. Żaden człowiek na to nie patrzy i nigdy nie jest udostępniany nikomu innemu. Ponieważ nie przetwarzamy kart kredytowych online, żadna z Twoich informacji nie jest dostępna. Oferujemy SSL abyś mógł czytać InnerSelf w niemożliwych do wyśledzenia warunkach, jeśli chcesz (https://innerself.com/content/).
O autorze
Andrew Smith jest wykładowcą Networkingu w Otwarty uniwersytet. autor i starszy egzaminator z doświadczeniem w 'infrastrukturze' sieci, a także programowaniem, które staje się nieco przestarzałe i bezpieczeństwem sieci (cyberbezpieczeństwem). Jego główne zainteresowania akademickie to technologie Cisco w ramach programu Cisco Academy.
Zalecana Book
Ochrona Twojej tożsamości w Internecie: Czy jesteś nagi w Internecie?
autorstwa Teda Claypoole i Theresy M. Payton.
Ochrona Twojej tożsamości w Internecie: Czy jesteś nagi w Internecie? pomaga czytelnikom, zarówno młodym, jak i starszym, zrozumieć konsekwencje ich osobowości i reputacji online. Autorzy oferują przewodnik po wielu pułapkach i zagrożeniach związanych z niektórymi działaniami online oraz zapewniają mapę drogową do przejęcia własnej reputacji online w celu osiągnięcia osobistego i zawodowego sukcesu.
Kliknij tutaj aby uzyskać więcej informacji i / lub zamówić tę książkę na Amazon.
