Important note: How-To Geek is not affected by this bug.
Hva er Heartbleed og hvorfor er det så farlig?
I ditt typiske sikkerhetsbrudd blir et enkelt selskaps brukerdata / passord eksponert. Det er forferdelig når det skjer, men det er en isolert affære. Firma X har et sikkerhetsbrudd, de utsteder en advarsel til brukerne, og folk som oss påminner alle om at det er på tide å begynne å praktisere god sikkerhetshygiene og oppdatere passordene sine. De, dessverre, typiske brudd er dårlige nok som det er. The Heartbleed Bug er noe mye,mye, verre.
Heartbleed Bug undergraver selve krypteringsskjemaet som beskytter oss mens vi e-post, bank og på annen måte samhandler med nettsteder som vi mener er sikre. Her er en vanlig engelsk beskrivelse av sikkerhetsproblemet fra Codenomicon, sikkerhetsgruppen som oppdaget og varslet publikum til feilen:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Det høres ganske dårlig ut, ja? Det høres enda verre ut når du skjønner om lag to tredjedeler av alle nettsteder som bruker SSL, bruker denne sårbare versjonen av OpenSSL. Vi snakker ikke små tidssider som hot rod forums eller samlebare kortspill bytte nettsteder, vi snakker banker, kredittkortselskaper, store e-forhandlere og e-postleverandører. Enda verre, har dette sårbarheten vært i naturen i rundt to år. Det er to år kan noen med riktig kunnskap og ferdigheter ha tappet inn på påloggingsinformasjonen og privatkommunikasjon av en tjeneste du bruker (og ifølge testen utført av Codenomicon, gjør du det uten spor).
For en enda bedre illustrasjon av hvordan Heartbleed-feilen virker. les denne xkcd tegneserien.
Hva gjør du etter Heartbleed Bug
Ethvert flertalls sikkerhetsbrudd (og dette absolutt kvalifiseres i stor skala) krever at du vurderer passordhåndteringspraksis. Gitt den brede rekkevidden til Heartbleed Bug er dette en perfekt mulighet til å gjennomgå et allerede løst løpende passordstyringssystem, eller hvis du har dradd føttene, for å sette en opp.
Før du dykker inn umiddelbart å endre passordene dine, vær oppmerksom på at sikkerhetsproblemet bare er oppdatert hvis selskapet har oppgradert til den nye versjonen av OpenSSL. Historien brøt på mandag, og hvis du sprang ut for å umiddelbart endre passordene dine på hvert nettsted, ville de fleste av dem fortsatt ha kjørt den sårbare versjonen av OpenSSL.
Nå, midt i uken, har de fleste nettstedene begynt prosessen med å oppdatere og i helgen er det rimelig å anta at flertallet av profilerte nettsteder vil ha byttet over.
Du kan bruke Heartbleed Bug-kontrolløren her for å se om sikkerhetsproblemet er åpen, eller, selv om nettstedet ikke svarer på forespørsler fra den nevnte kontrolløren, kan du bruke LastPass SSL-datokontroller for å se om den aktuelle serveren har oppdatert sine SSL-sertifikat nylig (hvis de oppdaterte det etter 4/7/2014, er det en god indikator på at de har lappet sårbarheten.) Merk: hvis du kjører howtogeek.com gjennom feilkontrollen, vil det returnere en feil fordi vi ikke bruker SSL-kryptering i utgangspunktet, og vi har også bekreftet at våre servere ikke kjører noen berørt programvare.
Når det er sagt, ser det ut til at denne helgen skaper en god helg for å bli seriøs om å oppdatere passordene dine. Først må du ha et passordstyringssystem. Ta en titt på vår guide for å komme i gang med LastPass for å sette opp et av de mest sikre og fleksible passordbehandlingsalternativene rundt. Du trenger ikke å bruke LastPass, men du trenger en form for system som lar deg spore og administrere et unikt og sterkt passord for hvert nettsted du besøker.
For det andre må du begynne å endre passordene dine. Krisestyringsoversikten i vår guide, Hvordan gjenopprette etter at passordet ditt er kompromittert, er en flott måte å sikre at du ikke går glipp av passord; det fremhever også grunnleggende om god passordhygiene, sitert her:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
For det tredje, når det er mulig, vil du aktivere tofaktorautentisering. Du kan lese mer om tofaktorautentisering her, men kort sagt, det lar deg legge til et ekstra lag med identifikasjon til innlogging.
Med Gmail krever for eksempel tofaktorautentisering at du ikke bare har innlogging og passord, men tilgang til mobiltelefonen registrert på Gmail-kontoen din, slik at du kan godta en tekstmeldingskode som skal legges inn når du logger på fra en ny datamaskin.
Med tofaktorautentisering aktivert gjør det det svært vanskelig for noen som har fått tilgang til innlogging og passord (som de kunne med Heartbleed Bug) for å få tilgang til kontoen din.
Sikkerhetsproblemer, spesielt de med så vidtgående implikasjoner, er aldri morsomme, men de gir oss mulighet til å stramme våre passordpraksis og sikre at unike og sterke passord holder skaden, når den oppstår, inneholdt.
