Heartbleed - Wat kunt u doen om veilig te blijven?

Advertentie

Advertentie
Advertentie

De Heartbleed SSL-kwetsbaarheid haalt de krantenkoppen over de hele wereld - en een foutieve melding in de pers en online veroorzaakt verwarring. Hoe kunt u veilig blijven en voorkomen dat uw persoonlijke gegevens niet worden gelekt?

Wat is Heartbleed? Nou, het is geen virus

Je hebt waarschijnlijk gehoord dat Heartbleed wordt beschreven als een virus. Dit is niet het geval: in feite is het een zwak punt, een kwetsbaarheid op servers met OpenSSL. Dit is de open source-implementatie van SSL en TLS, de protocollen die worden gebruikt voor beveiligde verbindingen - verbindingen die beginnen met https: // in plaats van met de gebruikelijke http: // .

muo-heartbleed-help-https

Deze kwetsbaarheid - meestal een bug genoemd - creëert in wezen een gat waardoor hackers de codering kunnen omzeilen. Bevestigd op 7 april 2014, het komt voor in alle versies van OpenSSL behalve 1.0.1g. De bedreiging is beperkt tot sites waarop OpenSSL wordt uitgevoerd - andere SSL- en TLS-bibliotheken zijn beschikbaar, maar OpenSSL wordt op grote schaal gebruikt op servers overal op het web. Er is een oplossing voor het probleem, maar dit is mogelijk niet toegepast op de websites die u regelmatig bezoekt voor beveiligde activiteiten. Dit kunnen websites voor online winkelen, gokken en andere websites voor volwassenen zijn of zelfs sociale netwerken.

Hierdoor lopen alle persoonlijke en financiële informatie gevaar.

Om een ​​idee te krijgen van hoe groot een deal Heartbleed is (en waarom het zo genoemd wordt), heeft Ryan onlangs deze internet-omkerende bug in context geplaatst. Massive Bug in OpenSSL zet veel van internet op risico Massive Bug in OpenSSL zet veel van internet At Risk Als u een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, wacht u een beetje een verrassing. Lees verder . We moeten benadrukken dat Heartbleed een op internet gebaseerde kwetsbaarheid is en daarom van invloed is op gebruikers van alle besturingssystemen, desktops en mobiele apparaten.

Het is dus een groot probleem, maar wat kun je eraan doen?

Negeer The Hype & Do not Panic

Welnu, er is één ding dat je niet zou moeten doen: paniek. Er is de afgelopen dagen veel geschreven op internet en in de gedrukte media en veel daarvan is hype, doem porno die de effecten van de beroemde War of the World-radio-uitzending van Orson Welles te schande zou maken.

muo-heartbleed-help-dontpanic

Veel van wat u al hebt gezien, zal zijn samengeperst uit persberichten en andere rapporten van journalisten die niet vertrouwd zijn met de terminologie en een gebrek aan duidelijk begrip over de risico's.

U weet bijvoorbeeld dat u uw wachtwoorden onmiddellijk moet wijzigen (niet helemaal waar, we moeten toevoegen - zie hieronder). Maar wist u van het phishing-risico?

Het phishing-risico

Verantwoorde webdiensten, banken en sociale netwerken die zijn getroffen door Heartbleed zullen u een e-mail sturen om u te laten weten dat zij het beveiligingslek hebben gerepareerd en adviseren u uw wachtwoord te wijzigen.

Uiteraard moet u dit doen - maar houd er rekening mee dat deze situatie een ideale gelegenheid biedt voor phishers om valse e-mails te verzenden, compleet met ingesloten koppelingen naar de pagina "wachtwoord wijzigen" - in werkelijkheid een website die is ontworpen om uw gegevens te verzamelen.

muo-heartbleed-help-Pinterest

Geen enkele van de services die u gebruikt, zou u moeten aanraden om op een link voor het wijzigen van het wachtwoord te klikken in een e-mail die ongevraagde e-mail heeft verzonden. Helaas deed IFTTT dat ook, net als Pinterest (hierboven). Dit is een slechte gewoonte en geeft de indruk dat een dergelijke link acceptabel is en moet worden aangeklikt.

Tenzij u de e-mail hebt aangevraagd, mag niet op een dergelijke link worden geklikt.

Heartbleed e-mails met wachtwoordherstel mogen geen login-links bevatten. Als dit het geval is, verwijdert u deze en bezoekt u de website door het adres in uw browser te typen (of door het adres in de geschiedenis of favorieten te selecteren, afhankelijk van hoe u met dit ding meegaat). Van daar, reset je je wachtwoord ...

... maar alleen als je het in dit stadium echt nodig hebt.

Helaas kan de PR-gedreven behoefte van bedrijven om eruit te zien dat ze iets doen aan bedreigingen zoals Heartbleed, net zo schadelijk blijken te zijn als de dreiging zelf.

Dus, moet u uw wachtwoorden wijzigen?

Een van de belangrijkste raadgevingen van Heartbleed in omloop is dat u uw wachtwoorden onmiddellijk moet wijzigen.

Allemaal.

Dit is helaas een voorbeeld van de verkeerde informatie waarnaar ik in de intro verwees. Stel dat u hetzelfde wachtwoord gebruikt voor verschillende websites. Allereerst is dit een slechte gewoonte en moet u dit in de toekomst opnieuw overwegen (om nog maar te zwijgen van het maken van veiligere wachtwoorden) Veilige wachtwoorden: genereer een ander wachtwoord voor elke website Beveiligde wachtwoorden: genereer een ander wachtwoord voor elke website Lees meer).

muo-heartbleed-help-wachtwoord

Ten tweede, als je al je wachtwoorden willekeurig verandert, is de kans groot dat je dit gaat doen op een website die niet op een gepatchte server draait - een waarop Heartbleed nog steeds een kwetsbaarheid is.

U hebt per ongeluk mogelijk uw oude wachtwoord en uw nieuwe wachtwoord gedeeld met degenen die het beveiligingslek kunnen misbruiken voor hun identiteitsfraude en spam-activiteiten.

Daarom moet u uw wachtwoord alleen per site wijzigen als u weet dat ze zijn hersteld, dat wil zeggen dat de oplossing is toegepast en de kwetsbaarheid is gesloten.

Controleer welke websites zijn gepatched

Ga aan de slag door na te gaan welke websites vrij zijn van de Heartbleed-kwetsbaarheid.

Er zijn twee manieren om dit te doen. Ga eerst naar Mashable waar een up-to-date lijst met websites met grote namen wordt gevonden die door Heartbleed worden aangetast, samen met advies over de vraag of u uw wachtwoord moet wijzigen of niet.

Voor de kleinere websites zal deze uitstekende zoekfunctie u onmiddellijk vertellen of de site al dan niet is gepatcht.

Een alternatief is de Chromebleed Checker-extensie voor Google Chrome.

Als de websites die u gebruikt, zijn aangetast en de Heartbleed-kwetsbaarheid nog niet hebben hersteld, vermijd dan het inloggen totdat de situatie is opgelost.

Conclusie: het is een wachtspel

Omgaan met de storm Heartbleed zou voor de meesten geen probleem moeten zijn. Blijf bij de cursus die we hierboven hebben geadviseerd en verander geen wachtwoorden totdat u wordt gevraagd dit te doen door de bijbehorende websites en services.

muo-heartbleed-help-hart

U kunt ook nieuwe hulpprogramma's gebruiken om te controleren of de website die u wilt bezoeken (of zelfs degene die u gebruikt) is getroffen en of er een oplossing is toegepast.

Het belangrijkste is dat u veilig blijft en geduldig bent. Het potentieel voor Heartbleed om enorme problemen te veroorzaken is er nog steeds - vermijd websites die moeten worden gepatcht totdat u weet dat ze nu veilig zijn.

Image Credits: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Do not Panic Button via Shutterstock, wachtwoord via Shutterstock

In this article