Heartbleed cosa puoi fare per restare al sicuro?
La vulnerabilità SSL Heartbleed sta facendo notizia in tutto il mondo e la segnalazione errata nella stampa e online sta causando confusione. Come puoi stare sicuro e seguire i tuoi dettagli personali non sono trapelati?
Cosa è Heartbleed? Bene, non è un virus
Probabilmente hai sentito Heartbleed descritto come un virus. Questo non è il caso: in effetti, è una debolezza, una vulnerabilità nei server che eseguono OpenSSL. Questa è l'implementazione open source di SSL e TLS, i protocolli utilizzati per le connessioni sicure - quelli che iniziano https: // piuttosto che il solito http: //.
Questa vulnerabilità, più comunemente chiamata bug, crea essenzialmente un buco attraverso il quale gli hacker possono eludere la crittografia. Confermato il 7 aprileesimo 2014, si verifica in tutte le versioni di OpenSSL tranne 1.0.1g. La minaccia è limitata ai siti che eseguono OpenSSL - altre librerie SSL e TLS sono disponibili, ma OpenSSL è ampiamente utilizzato sui server di tutto il web. Esiste una soluzione per il problema, ma potrebbe non essere stato applicato ai siti Web visitati regolarmente per attività sicure. Questi potrebbero essere lo shopping online, il gioco d'azzardo e altri siti web a tema per adulti o addirittura i social network.
Di conseguenza, tutti i tipi di informazioni personali e finanziarie potrebbero essere a rischio.
Per avere un'idea di quanto è importante un Heartbleed (e perché è così chiamato), Ryan ha recentemente messo questo bug di Internet nel contesto. Massive Bug in OpenSSL mette gran parte di Internet a rischio. Bug in OpenSSL mette molta Internet A rischio Se sei una di quelle persone che hanno sempre creduto che la crittografia open source sia il modo più sicuro per comunicare online, ti sorprende un po '. Leggi di più . Dobbiamo sottolineare che Heartbleed è una vulnerabilità basata su Internet e pertanto influisce sugli utenti di tutti i sistemi operativi, desktop e mobili.
Quindi, è un grosso problema, ma cosa puoi fare al riguardo?
Ignora The Hype & Do not Panic
Bene, c'è una cosa che non dovresti fare: il panico. Molto è stato scritto su Internet e sui media stampati negli ultimi giorni e molti di questi sono hype, doom porn che metterebbero alla vergogna gli effetti della famosa trasmissione radiofonica di War of the Worlds di Orson Welles.
Molto di ciò che avete già visto sarà stato messo insieme da comunicati stampa e altri rapporti di giornalisti che non hanno familiarità con la terminologia e una mancanza di chiara comprensione dei rischi.
Ad esempio, potresti sapere che dovresti cambiare le password immediatamente (non completamente vero, dovremmo aggiungere - vedi sotto). Ma sapevi del rischio di phishing?
Il rischio di phishing
I servizi web responsabili, le banche e i social network interessati da Heartbleed ti invieranno un'email per informarti che hanno riparato la vulnerabilità e ti consigliamo di cambiare la password.
Naturalmente, dovresti farlo, ma tieni presente che questa situazione rappresenta un'opportunità ideale per i phisher per iniziare a inviare e-mail false, complete di collegamenti incorporati al “cambia la password” pagina - in realtà, un sito web progettato per raccogliere i tuoi dati.
Nessuno dei servizi che utilizzi dovrebbe raccomandarti di fare clic su un link di modifica della password in un'email inviata un'email non richiesta. Sfortunatamente, IFTTT ha funzionato, così come Pinterest (sopra). Questa è una cattiva pratica e dà l'impressione che tale link sia accettabile e debba essere cliccato.
A meno che tu non abbia richiesto l'e-mail, tale link non dovrebbe essere cliccato.
Le e-mail di reimpostazione della password Heartbleed non devono includere i collegamenti di accesso. Se lo fanno, cancellali, quindi visita il sito web digitando l'indirizzo nel browser (o selezionandolo dalla cronologia o dai preferiti a seconda di come usi questa cosa). Da lì, reimposta la password ...
... ma solo se effettivamente ne hai bisogno in questa fase.
Sfortunatamente, la necessità delle aziende PR di sembrare come se stessero facendo qualcosa riguardo a minacce come Heartbleed può rivelarsi altrettanto dannosa quanto la minaccia stessa.
Quindi, dovresti cambiare la tua password?
Uno dei principali consigli di Heartbleed in circolazione è che dovresti cambiare immediatamente le tue password.
Tutti loro.
Questo, purtroppo, è un esempio della disinformazione cui ho fatto riferimento nell'introduzione. Supponiamo che tu usi la stessa password per diversi siti web. Prima di tutto, questa è una cattiva pratica e dovresti riconsiderare di farlo in futuro (per non parlare di creare password più sicure Password sicure: generare una password diversa per ogni sito Web Password sicure: generare una password diversa per ogni sito Web Ulteriori informazioni).
In secondo luogo, se modifichi in modo indiscriminato tutte le tue password, è probabile che lo farai su un sito Web che non è in esecuzione su un server con patch: uno su cui Heartbleed è ancora una vulnerabilità.
Inavvertitamente hai potenzialmente condiviso la tua vecchia password e la tua nuova password con quelli che sono in grado di sfruttare la vulnerabilità per le loro operazioni fraudolente e spam di identità.
In quanto tale, si dovrebbe cambiare la password solo sito per sito quando si sa che sono stati corretti - cioè, la correzione è stata applicata e la vulnerabilità chiusa.
Verifica quali siti web sono stati rattoppati
Inizia verificando quali siti web sono esenti dalla vulnerabilità Heartbleed.
Ci sono due modi per farlo. Per prima cosa, vai in Mashable dove puoi trovare un elenco aggiornato dei siti di grandi nomi interessati da Heartbleed, insieme a consigli su come cambiare la password o meno.
Per i siti più piccoli, questo eccellente strumento di ricerca ti dirà immediatamente se il sito è stato riparato o meno.
Un'alternativa è l'estensione Checker Chromebleed per Google Chrome.
Se i siti Web che utilizzi sono stati interessati e non hanno ancora applicato la patch alla vulnerabilità Heartbleed, evita l'accesso finché la situazione non viene risolta.
Conclusione: è un gioco in attesa
Affrontare la tempesta Heartbleed non dovrebbe essere un problema per la maggior parte. Attenersi al corso che abbiamo indicato sopra e non modificare alcuna password finché non viene richiesto di farlo dai siti Web e dai servizi corrispondenti.
Puoi anche utilizzare nuovi strumenti per verificare se il sito web che hai intenzione di visitare (o anche quello che hai eseguito) è stato interessato e se è stata applicata una correzione.
Soprattutto, sii sicuro e sii paziente. Il potenziale per Heartbleed di causare enormi problemi è ancora lì - evitare qualsiasi sito web che richiede patching fino a quando non si sa che ora sono sicuri.
Crediti immagine: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Do not Panic Button via Shutterstock, Password via Shutterstock
Scopri di più su: sicurezza online, password, SSL.