Zachowaj swoje urządzenia chronione przed Heartbleed

Heartbleed, kwestia, która wyglądała jak kolejna "zmiana hasła dla tej małej luki bezpieczeństwa", okazała się czymś znacznie poważniejszym. Oto kilka wskazówek, jak zabezpieczyć siebie i swoje dane przed ich skutkami.

Co to jest Heartbleed?

Jest to luka w zabezpieczeniach w Open SSL, która była obecna na wolności w ciągu ostatnich dwóch lat, ale niedawno została przedstawiona opinii publicznej. W prostym języku może posłużyć do kradzieży certyfikatów bezpieczeństwa i sprawi, że pomyślisz, że fałszywa strona to ta, którą planujesz odwiedzić - jak PayPal lub inna strona, którą próbujesz odwiedzić.

Szacuje się, że wpłynęło na nie mniej niż dwie trzecie internetu, ale nie ujawniono zbyt wielu sytuacji, w których został on wykorzystany. Mimo to lepiej być bezpiecznym, niż żałować, więc wszystkie strony, których dotyczy problem, będą musiały zastosować tę poprawkę, odwołać swoje certyfikaty bezpieczeństwa i wydać nowe.

Aby uzyskać więcej aktualnych informacji na temat tego błędu, odwiedź stronę heartbleed.com. Więc co możesz zrobić, aby się chronić? Oto ważne i cenne sugestie.

Sprawdź witryny, których używasz regularnie

Przede wszystkim dobrzy ludzie w LastPass - prawdopodobnie najlepszym menedżerze haseł, dostarczają ci Heartbleed Checker - znajdź to tutaj. To narzędzie pozwala sprawdzić, czy witryna, z której korzystasz, ma wpływ na Heartbleed i udziela porad w razie jej wystąpienia.

Wystarczy wpisać adres strony i postępować zgodnie z instrukcjami. Zrobiłem to na Facebooku poniżej i powiedziano mi, że powinienem zmienić hasło, jeśli zostało zmienione ponad tydzień temu.

Należy używać tego narzędzia przed zmianą haseł, ponieważ jeśli certyfikat nie został zmieniony, zmiana hasła nie przyniesie żadnego pożytku, ponieważ została potencjalnie naruszona.

Inne witryny, które chcesz często dodawać do zakładek i sprawdzać, to ta stale aktualizowana lista stron, których dotyczy problem, na Mashable. Lista jest również dostępna na GitHub.

Chroń swoich przeglądarek

Będziesz chciał ustawić swoje przeglądarki internetowe, aby sprawdzały unieważnienie certyfikatu serwera. Internet Explorer powinien być ustawiony tak, aby domyślnie sprawdzał certyfikaty. Ale powinieneś dwukrotnie sprawdzić. Przejdź do Opcje internetowe> Zaawansowane. Następnie przewiń w dół do sekcji Bezpieczeństwo i sprawdź, czy zaznaczono pole wyboru Sprawdź, czy serwer nie odwołuje certyfikatu. Jeśli tak nie jest, zaznacz go, kliknij OK i zrestartuj IE.

W Google Chrome upewnij się, że ustawienie jest włączone. Można go łatwo włączyć, przechodząc do Ustawień zaawansowanych Następnie przewiń w dół, aż znajdziesz sekcję HTTPS / SSL i upewnij się, że zaznaczono pole wyboru Sprawdź certyfikat serwera .

Jeśli jesteś użytkownikiem Mozilla Firefox, istnieją dodatki, które pomogą Ci zachować bezpieczeństwo. Dobry nazywa się Heartbleed-Ext i można go znaleźć tutaj. Pokaże Ci, czy odwiedzana witryna jest narażona na ataki.

Microsoft i Apple Services Safe

Usługi firmy Microsoft w dużym stopniu nie mają wpływu na błąd Heartbleed. Szefowie firm ogłosili w następującym poście na blogu:

na to konto Microsoft, Microsoft Azure, Office 365, Yammer i Skype oraz większość usług Microsoft nie ma wpływu luka w zabezpieczeniach OpenSSL "Heartbleed". Nie ma to wpływu na implementację protokołu SSL / TLS w systemie Windows. Niektóre Usługi są nadal przeglądane i aktualizowane przy użyciu dodatkowych zabezpieczeń.

Dobra wiadomość, prawda? Apple powiedział również, w oświadczeniu do Recode, że

Systemy iOS i OS X nigdy nie zawierały wrażliwego oprogramowania i nie miały wpływu na kluczowe usługi internetowe.

Dotyczy Androida 4.1.1

Google wydało oświadczenie, że tylko jedna wersja Androida jest dotknięta problemem Heartbleed - Androidem 4.1.1, ale firma rozpowszechniała informacje o łataniu swoich partnerów. Naprawiono również wszystkie usługi przeciw temu problemowi. Aby upewnić się, że dobrzy ludzie w Lookout, odpowiedzialni za jeden z najlepszych systemów bezpieczeństwa Androida, Lookout Mobile Security, wypuścili małą aplikację, która sprawdzi w telefonie otwartą wersję SSL i powie, czy jesteś dotknięty albo nie. Możesz zainstalować go stąd, w sklepie Google Play (to nic nie kosztuje).

Lub, jeśli jesteś użytkownikiem Windows Phone 8, możesz zainstalować tę przydatną aplikację, po prostu zadzwoń Heartbleed.

Wniosek

Heartbleed to poważny problem i nie należy go lekceważyć. Jeśli jednak zastosujesz się do kilku prostych instrukcji, powinieneś być w porządku, ponieważ wszyscy podjęli kroki, aby rozwiązać problem.

Ponadto, jak już kilkakrotnie zgłaszaliśmy na tej stronie: Włącz uwierzytelnianie dwuetapowe (2FA) dla wszystkich usług, z których korzystasz. Pokazaliśmy, jak to zrobić w przypadku wielu popularnych usług wymienionych poniżej. Świetną stroną do monitorowania jest także twofactorauth.org. Ma listę witryn, które oferują 2FA i jest stale aktualizowana.

  • Przyspieszenie uwierzytelniania w Google Two Factor
  • Uwierzytelnianie dwuetapowe w Google Apps
  • Facebook Two Factor Authentication
  • Weryfikacja dwuetapowa Dropbox
  • Weryfikacja Microsoft Two Step
  • Uwierzytelnienie LastPass Two Factor
  • LinkedIn Two Factor Authentication