Advertentie
De Heartbleed SSL-kwetsbaarheid haalt de krantenkoppen over de hele wereld - en verkeerde rapportage in de pers en online veroorzaakt verwarring. Hoe kunt u veilig blijven en ervoor zorgen dat uw persoonlijke gegevens niet worden gelekt?
Wat is Heartbleed? Nou, het is geen virus
Je hebt Heartbleed waarschijnlijk als virus beschreven. Dit is niet het geval: in feite is het een zwakte, een kwetsbaarheid in servers met OpenSSL. Dit is de open source-implementatie van SSL en TLS, de protocollen die worden gebruikt voor beveiligde verbindingen - degene die beginnen https: // in plaats van het gebruikelijke http: //.
Deze kwetsbaarheid - meestal een bug genoemd - creëert in wezen een gat waardoor hackers de codering kunnen omzeilen. Bevestigd op 7 aprilth 2014, het komt voor in alle versies van OpenSSL behalve 1.0.1g. De dreiging is beperkt tot sites met OpenSSL - er zijn andere SSL- en TLS-bibliotheken beschikbaar, maar OpenSSL wordt veel gebruikt op servers op internet. Er is een oplossing voor het probleem, maar deze is mogelijk niet toegepast op de websites die u regelmatig bezoekt voor veilige activiteiten. Dit kunnen online winkelen, gokken en andere websites met een volwassen thema zijn, of zelfs sociale netwerken.
Als gevolg hiervan kan allerlei persoonlijke en financiële informatie in gevaar komen.
Om een idee te krijgen hoe groot Heartbleed is (en waarom het zo genoemd wordt), Ryan heeft onlangs deze internet-omvattende bug in zijn context geplaatst Grote bug in OpenSSL brengt een groot deel van het internet in gevaarAls jij een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, sta je voor een beetje een verrassing. Lees verder . We moeten benadrukken dat Heartbleed een op internet gebaseerde kwetsbaarheid is en daarom gebruikers van alle besturingssystemen, desktop en mobiel treft.
Het is dus een groot probleem, maar wat kun je eraan doen?
Negeer de hype en raak niet in paniek
Nou, er is één ding dat je niet moet doen: paniek. Er is de afgelopen dagen veel geschreven op internet en in de gedrukte media en veel is dat ook hype, doom porno die de effecten van Orson Welles 'beroemde War of the Worlds radio-uitzending zou veroorzaken schaamte.
Veel van wat je al hebt gezien, is aan elkaar geplakt door persberichten en andere rapporten van journalisten die niet bekend zijn met de terminologie en een gebrek aan duidelijk begrip van de risico's.
U weet bijvoorbeeld misschien dat u uw wachtwoorden onmiddellijk moet wijzigen (niet helemaal waar, we moeten toevoegen - zie hieronder). Maar wist u van het phishing-risico?
Het phishing-risico
Verantwoordelijke webservices, banken en sociale netwerken die door Heartbleed zijn getroffen, zullen u laten vallen e-mail om u te laten weten dat ze het beveiligingslek hebben gerepareerd en u aan te bevelen uw wachtwoord.
Natuurlijk moet u dit doen, maar houd er rekening mee dat deze situatie een ideale gelegenheid voor phishers is om te beginnen met verzenden nep-e-mails, compleet met ingesloten links naar de pagina 'wachtwoord wijzigen' - in werkelijkheid een website die is ontworpen om uw oogst binnen te halen details.
Geen van de services die u gebruikt, zou u moeten aanraden om op een link voor het wijzigen van het wachtwoord te klikken in een e-mail die ongevraagd is verzonden. Helaas deed IFTTT dat, net als Pinterest (hierboven). Dit is een slechte gewoonte en geeft de indruk dat een dergelijke link acceptabel is en moet worden aangeklikt.
Tenzij u de e-mail heeft aangevraagd, mag er niet op een dergelijke link worden geklikt.
Heartbleed e-mails voor het opnieuw instellen van wachtwoorden mogen geen inloglinks bevatten. Als ze dat doen, verwijder ze dan en bezoek de website door het adres in uw browser te typen (of selecteer het uit de geschiedenis of favorieten, afhankelijk van hoe u met dit ding rolt). Van daaruit stelt u uw wachtwoord opnieuw in ...
... maar alleen als het in dit stadium echt nodig is.
Helaas kan de PR-gestuurde behoefte aan bedrijven om eruit te zien alsof ze iets doen aan bedreigingen zoals Heartbleed, net zo schadelijk zijn als de bedreiging zelf.
Dus, moet u uw wachtwoorden wijzigen?
Een van de belangrijkste adviezen van Heartbleed die in omloop is, is dat je je wachtwoorden onmiddellijk moet wijzigen.
Allemaal.
Dit is helaas een voorbeeld van de verkeerde informatie die ik in de intro noemde. Stel dat u voor meerdere websites hetzelfde wachtwoord gebruikt. Allereerst is dit een slechte gewoonte en moet u het in de toekomst opnieuw overwegen (om nog maar te zwijgen) maak veiligere wachtwoorden Veilige wachtwoorden: genereer voor elke website een ander wachtwoord Lees verder ).
Ten tweede, als u al uw wachtwoorden zonder onderscheid wijzigt, is de kans groot dat u dit gaat doen op een website die niet draait op een gepatchte server - een waarop Heartbleed nog steeds een is kwetsbaarheid.
Onbedoeld hebt u mogelijk uw oude wachtwoord en uw nieuwe wachtwoord gedeeld met degenen die de kwetsbaarheid kunnen misbruiken voor hun identiteitsfraude en spamoperaties.
Daarom moet u uw wachtwoord alleen per site wijzigen als u weet dat ze zijn gepatcht - dat wil zeggen dat de oplossing is toegepast en de kwetsbaarheid is gesloten.
Controleer welke websites zijn gepatcht
Ga aan de slag door te controleren welke websites vrij zijn van de Heartbleed-kwetsbaarheid.
Dit kan op twee manieren. Ga eerst naar Mashable waar een up-to-date lijst van grote websites die getroffen zijn door Heartbleed is te vinden, samen met advies over het al dan niet wijzigen van uw wachtwoord.
Voor de kleinere websites, deze uitstekende zoekfunctie zal u onmiddellijk vertellen of de site al dan niet is gepatcht.
Een alternatief is de Chromebleed Checker extensie voor Google Chrome.
Als de websites die u gebruikt zijn aangetast en de Heartbleed-kwetsbaarheid nog niet hebben gepatcht, log dan niet in totdat de situatie is opgelost.
Conclusie: het is een wachtspel
Omgaan met de Heartbleed-storm zou voor de meesten geen probleem moeten zijn. Blijf bij de cursus die we hierboven hebben geadviseerd en wijzig geen wachtwoorden totdat u daartoe opdracht krijgt van de bijbehorende websites en services.
U kunt ook nieuwe tools gebruiken om te controleren of de website die u van plan bent te bezoeken (of zelfs de website die u gebruikt) is beïnvloed en of er een oplossing is toegepast.
Het belangrijkste is dat u veilig blijft en geduldig bent. De mogelijkheid dat Heartbleed enorme problemen veroorzaakt, is er nog steeds - vermijd websites die moeten worden gepatcht totdat je weet dat ze nu veilig zijn.
Afbeeldingscredits: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Raak niet in paniek via Shutterstock, Wachtwoord via Shutterstock
Christian Cawley is adjunct-redacteur voor beveiliging, Linux, doe-het-zelf, programmeren en technische uitleg. Hij produceert ook The Really Useful Podcast en heeft uitgebreide ervaring met desktop- en softwareondersteuning. Christian is een medewerker van het Linux Format-tijdschrift en is een Raspberry Pi-knutselaar, Lego-liefhebber en retro-gamingfan.