פרסומת
פגיעות ה- SSL של Heartbleed עולה לכותרות ברחבי העולם - והתייחסות לא נכונה בעיתונות ובאינטרנט גורמת לבלבול. כיצד תוכלו להישאר בטוחים והפרטים האישיים שלכם לא ידלפו?
מה דופק הלב? ובכן, זה לא נגיף
בטח שמעת את Heartbleed מתואר כנגיף. זה לא המקרה: למעשה, זו חולשה, פגיעות בשרתים שמריצים את OpenSSL. זהו יישום הקוד הפתוח של SSL ו- TLS, הפרוטוקולים המשמשים לחיבורים מאובטחים - אלה המתחילים https: // ולא מהרגיל http: //.
פגיעות זו - המכונה יותר באג - יוצרת למעשה חור שדרכו האקרים יכולים לעקוף את ההצפנה. אושר ב- 7 באפרילth 2014, זה מתרחש בכל הגרסאות של OpenSSL למעט 1.0.1 גרם. האיום מוגבל לאתרים המריצים OpenSSL - ספריות SSL ו- TLS אחרות זמינות, אך OpenSSL מועסקת באופן נרחב בשרתים ברחבי האינטרנט. קיים תיקון לבעיה, אך יתכן כי הדבר לא הוחל באתרים שבהם אתה מבקר באופן קבוע לצורך פעילויות מאובטחות. אלה עשויים להיות קניות מקוונות, הימורים ואתרי נושא למבוגרים אחרים או אפילו רשת חברתית.
כתוצאה מכך, כל סוג של מידע אישי וכלכלי יכול להיות בסיכון.
כדי לקבל מושג עד כמה עסקה גדולה של Heartbleed (ולמה זה מה שנקרא),
לאחרונה הכניס ריאן את הבאג המתפשט באינטרנט באג מסיבי ב- OpenSSL מכניס הרבה לסכנה באינטרנטאם אתה אחד מאותם אנשים שתמיד האמינו שקריפטוגרפיה של קוד פתוח היא הדרך הבטוחה ביותר לתקשר באופן מקוון, אתה יכול להפתיע קצת. קרא עוד . עלינו להדגיש כי Heartbleed היא פגיעות מבוססת אינטרנט ולכן היא משפיעה על המשתמשים בכל מערכות ההפעלה, שולחן העבודה והמובייל.אז זה עניין גדול - אבל מה אתה יכול לעשות בקשר לזה?
התעלם מההייפ ואל תיבהלו
ובכן, יש דבר אחד שאסור לעשות: בהלה. הרבה נכתבו ברחבי האינטרנט ובתקשורת המודפסת בימים האחרונים והרבה מהם הייפ, פורנו אבדון שיעלה את ההשפעות של הרדיו המפורסם של מלחמת העולמות של אורסון וולס בושה.
חלק גדול ממה שכבר ראית יהיה מרוצף יחד מהודעות לעיתונות ואחרות דיווחים של עיתונאים שאינם מכירים את המינוח וחוסר הבנה ברורה בנושא סיכונים.
לדוגמה, ייתכן שתדע שעליך לשנות את הסיסמאות שלך באופן מיידי (לא נכון לחלוטין, עלינו להוסיף - ראה להלן). אך האם ידעת על סיכון התחזות?
סיכון הדיוג
שירותי אינטרנט אחראיים, בנקים ורשתות חברתיות שהושפעו על ידי Heartbleed יפילו אותך דוא"ל כדי ליידע אותך כי תיקנו את הפגיעות וממליץ לך לשנות את כתובת הדוא"ל שלך סיסמה.
באופן טבעי, עליכם לעשות זאת - אך היו מודעים לכך שמצב זה מהווה הזדמנות אידיאלית לפיזים להתחיל לשלוח כתובות דוא"ל מזויפות, שלמות עם קישורים משובצים לדף "שנה סיסמא" - במציאות, אתר שנועד לקצור את שלך פרטים.
אף אחד מהשירותים שבהם אתה משתמש לא אמור להמליץ לך ללחוץ על קישור שינוי סיסמא בהודעת דוא"ל שנשלחה ללא בקשה. למרבה הצער, IFTTT כן, כמו גם פינטרסט (למעלה). זהו תרגול גרוע ונותן רושם שקישור כזה מקובל ויש ללחוץ עליו.
אלא אם כן ביקשת את הדוא"ל, אין ללחוץ על קישור כזה.
כתובות דוא"ל לאיפוס סיסמא עם לב אינן כוללות קישורי כניסה. אם כן, מחק אותם, ואז בקר באתר האינטרנט על ידי הקלדת הכתובת בדפדפן שלך (או בחירה בהיסטוריה או מועדפים בהתאם לאופן שבו אתה מתגלגל עם הדבר הזה). משם, אפס את הסיסמה שלך ...
... אבל רק אם אתה באמת צריך בשלב זה.
לרוע המזל, הצורך מונע יחסי ציבור של חברות שייראו כאילו הן עושות משהו בקשר לאיומים כמו Heartbleed יכול להוכיח כמזיק באותה מידה כמו האיום עצמו.
אז האם עלי לשנות את הסיסמאות שלך?
אחד החלקים העיקריים של העצות Heartbleed במחזור הוא שאתה צריך לשנות את הסיסמאות שלך באופן מיידי.
כולם.
זו, למרבה הצער, דוגמא למידע השגוי אליו התייחסתי במבוא. נניח שאתה משתמש באותה סיסמה בכמה אתרים. ראשית, מדובר בתרגול רע וכדאי לשקול שוב לעשות זאת בעתיד (שלא לדבר על כך צור סיסמאות מאובטחות יותר סיסמאות מאובטחות: צור סיסמא שונה לכל אתר קרא עוד ).
שנית, אם תשנה ללא הבחנה את כל הסיסמאות שלך, רוב הסיכויים שתעשה זאת באתר שאינו פועל בשרת מתוקן - אתר שעליו Heartbleed עדיין פגיעות.
שלא בכוונה שיתפת את הסיסמה הישנה שלך ואת הסיסמה החדשה שלך עם אלו שיכולים לנצל את הפגיעות בגלל הונאת זהויות ופעולות ספאם.
ככאלה, עליכם לשנות את הסיסמה רק על בסיס אתר אחר כאשר אתם יודעים שהם טופלו - כלומר, התיקון הוחל והפגיעות נסגרה.
בדוק אילו אתרים טופלו
התחל בבדיקה אילו אתרים חפים מפגיעות Heartbleed.
ישנן שתי דרכים לעשות זאת. ראשית, פנה אל Mashable איפה ניתן למצוא רשימה מעודכנת של אתרים בעלי שם גדול המושפעים מ Heartbleed, יחד עם עצות אם עליך לשנות את הסיסמה שלך או לא.
באתרים הקטנים יותר, כלי חיפוש מצוין זה יגיד לך מייד אם האתר טופל או לא.
אלטרנטיבה היא בודק Chromebleed תוסף ל- Google Chrome.
אם האתרים שבהם אתה משתמש הושפעו וטרם טופלו את הפגיעות של Heartbleed, הימנע מהתחברות עד לפתרון המצב.
מסקנה: זה משחק ממתין
התמודדות עם הסערה הלבבבית לא אמורה להיות בעיה לרוב. הקפידו על הקורס שהמלצנו לעיל, ואל תשנו סיסמאות עד שתורצו לעשות זאת על ידי אתרי האינטרנט והשירותים המתאימים.
אתה יכול גם להשתמש בכלים חדשים כדי לבדוק אם האתר שאתה מתכנן לבקר בו (או אפילו זה שאתה מנהל) הושפע והאם הוחל תיקון.
והכי חשוב, הישארו בטוחים והיו סבלניים. הפוטנציאל של Heartbleed לגרום לבעיות מאסיביות הוא עדיין קיים - הימנע מכל אתרי אינטרנט שדורשים טלאים עד שתדעו שהם מאובטחים כעת.
זיכויים לתמונה: לב כדור דרך Shutterstock, HTTPS דרך Shutterstock, אל תיכנס לחצן מצוקה באמצעות Shutterstock, סיסמא דרך Shutterstock
כריסטיאן קאוולי הוא סגן עורך לביטחון, לינוקס, עשה זאת בעצמך, תכנות וטכנולוגיות. הוא גם מייצר את הפודקאסט שימושי באמת ובעל ניסיון רב בתמיכה בשולחן עבודה ותוכנה. תורם למגזין Linux Format, כריסטיאן הוא טינקרר Raspberry Pi, חובב לגו וחובב משחקי הרטרו.
