Vous Heartbleed aussi mauvais que les médias voudraient vous faire croire?


Ce était jeudi matin, le 10 Avril. Je ne faisais que mon routine habituelle, vérifier mon e-mail, quand je ai vu une mise à jour dans un bulletin d'un site que je visite souvent. Vous avez parlé de quelque chose avec le nom de Heartbleed. Intrigué, je ai cliqué sur elle et lu le message qui est apparu à l'origine sur le blog du site. D'après ce que je ai pu recueillir, ce site particulier avait pris des précautions et ne avait pas été particulièrement vulnérable à ce bug Heartbleed, je ai découvert après googler et a trouvé plusieurs morceaux de nouvelles, était potentiellement très graves.

Heartbleed est un bug qui a été découvert dans la bibliothèque cryptographique OpenSSL plus tôt ce mois (bien que certaines sources affirment que les diverses parties savaient que quelque temps avant), que la fin peut conduire à beaucoup de données sensibles fuite. Vous avez peut-être entendu parler de SSL (Secure Sockets Layer) avant - est synonyme de HTTPS, et est une forme de cryptage. Toutes les personnes sont avisés de se HTTPS allumés partout où ils vont en ligne pour éviter que les données sensibles ne tombent entre de mauvaises mains, y compris les mots de passe, comme les mots de passe et numéros de carte de crédit. Maintenant, imaginez une connexion perdue "sûrs" et les retombées que peut avoir. Vous rêvez d'un pirate viendra vrai. Ils auraient même pas besoin de pirater ne importe quel compte avec Heartbleed - peut tout simplement voler les clés privées, mots de passe, et tout site Web donné crache au hasard loin de ses cookies de session lorsque sondé. Et 'un homme dans l'attaque du milieu, comme certains l'ont souligné, et a rendu la tâche des pirates beaucoup plus facile.

Ce était la panique de masse en ligne, et cela a été aggravé par les soi-disant "experts" rodomontades sur la façon dont ce était la chose la plus dévastatrice jamais se produire, que l'internet était cassé. Ce était, bien sûr, pas aidé par les théories du complot ont commencé à circuler, prétendant que différentes agences de renseignement avaient été exploitent ce bug depuis des années et qu'il a été conçu de cette façon intentionnelle.

Besoin d'aide avec votre mot de passe?

  • Internet Security: protection par mot de passe et des comptes en ligne
    Pourquoi vous devriez avoir de très fortes mots de passe pour les comptes les plus importants. Autres conseils pour une meilleure sécurité de l'appareil et compte aussi.

Je veux dire, vraiment? Nous lisons sur les sites Web piraté et vulnérabilités exploitées par les pirates comme cela tous les jours. Il ne serait pas la première fois que je ai été informé par un site que je ai besoin d'accéder et de modifier le mot de passe parce que leur site a été piraté. Il en est ainsi, mais certainement à plus grande échelle, et en même temps.






Je ai fait à propos. Tous les mots de passe de mon compte Google "ont été changés bientôt.

Facebook est un autre, et ce ne était certainement sur la balle, parce qu'ils avaient trop patché et encouragé les utilisateurs à changer leurs mots de passe. Donc je ai fait.

Mais certains sites ont été faussement accusé d'être vulnérables, et cela n'a pas été aidé par des listes qui ont été publiés sur des sites Web que je ne avais même pas entendu parler auparavant, beaucoup moins visités, surgissent, ainsi que «dame Heartbleed» qui vérifie si les sites Web sont vulnérables.

Le défaut est que ces pièces se appuient souvent sur des informations fournies par ces listes de sources non officielles, qui contenait beaucoup de contradictions déroutantes. Les sites Web qui ont eu des certificats de sécurité ont été dites ce jour d'être affectés par Heartbleed; sites Web qui utilisent aucun chiffrement; sites Web qui utilisent des versions d'OpenSSL qui ne étaient pas mauvais; sites Web qui avaient déjà été corrigées. Beaucoup d'entre eux ont été regroupés dans une pile, ce qui rend difficile de savoir réellement où le danger réel était.

Les cybercriminels apparemment, également capitalisés sur cette situation et ont commencé leurs pièces SSL illégitime, qui, en pratique agissent comme sites de phishing pour voler des informations de personnes. Donc, si leurs comptes ont été compromis jusque-là, ils étaient certainement après l'utilisation de l'un de ces sites.

sites Web populaires et de services qui ont été définitivement affecté par Heartbleed

Google - patché bientôt et dit qu'aucun changement ne était nécessaire de passe (le faire de toute façon); La vérification en 2 étapes est disponible (cela se applique à tous les produits Google)

Yahoo!

Bing

Facebook - patché et encouragé les utilisateurs à changer leurs mots de passe; La vérification en 2 étapes et la notification d'accès sont disponibles pour être utilisé pour ajouter plus de sécurité à votre compte

Pinterest

Instagram

Flickr

Reddit - ont annoncé publiquement qu'ils ont été impressionnés et ont demandé aux utilisateurs de changer les mots de passe

Tumblr - a été frappé, et patché; offrent maintenant la vérification en 2 étapes pour protéger les comptes

SoundCloud - ont déclaré publiquement qu'ils signaient la totalité de leurs comptes, et enchaîne en disant la signature en eux devrait changer leurs mots de passe.

SourceForge - a déclaré publiquement que au moins une partie de leur site avait été touché, et a aussi envoyé un e-mail aux utilisateurs qui se sont connectés pendant la «fenêtre de vulnérabilité».

Wikimedia (y compris Wikipedia) - a été patché et les utilisateurs doivent changer leur mot de passe.

Découvrez CNET, qui pris la peine de communiquer avec toute une liste de sites Web pour vous de voir si vous pouvez avoir d'autres comptes êtes à risque.

LastPass a ajouté une commande Heartbleed dans le cadre de leur contrôle de sécurité pour les utilisateurs, et je ai aussi signé après avoir été convaincu par un écrivain qui semblait savoir ce dont ils parlaient.

Là, je ai appris que, tout comme de nombreux sites Web comme il ya des doigts sur ma main droite (cinq, au cas où vous poseriez la question) ont été touchés, et hors de ceux-ci, Google étais sans doute pas vulnérables, au moins selon eux. Il n'a pas fallu plus d'une demi heure au total pour accéder à ces comptes, changer les mots de passe et de vous déconnecter. Crise évitée. Je suppose que je devrais me considère bénie que je ne ressens pas le besoin d'être à la mode et créer un compte sur chaque site Web sur Internet.

Le fait est, cependant, que, encore une fois, ce ne était pas la méthode la plus précise est, étant donné que Reddit était vulnérable, et cela a également été admis par le site, mais la sécurité vérifier LastPass a réussi à localiser que lorsque je ai ajouté l'un des la plupart des comptes jetables - et je ne me inquiète pas tant pour leur assurer pour être honnête car ils voient pratiquement rien en eux de voler, avec quelques Karma - excuses pour certains redditors qui ont fait la lumière de la situation dans son ensemble.

Ce ne était pas seulement en ligne - publications imprimées hors ligne a fait un travail pauvre de la présentation des faits, avec un certain étiquetage de l'ignorance d'un virus, qui ne est pas.

Un article dans le Cape Argus avait un titre sensationnaliste affirmant que Heartbleed vous faire faillite, et a déclaré que le patch a été appliqué à "presque tous les sites, y compris les banques d'Afrique du Sud (au pluriel)." Cette dernière partie est trompeuse, parce que Capitec Banque a été jugée vulnérable autant que je suis conscient. FNB, par exemple, a déclaré qu'aucun de leur serveur utilise OpenSSL, il est donc prudent de supposer qu'ils ne étaient pas vulnérables en premier lieu, et tout changement du mot de passe serait facultative (encore recommandé sur une base régulière, bien sûr) et purement pour la paix d'esprit, certainement quand il ne est pas critique.

La même chose se applique à ceux qui disent que les gens doivent changer tous les mots de passe. Par tous les moyens, si vous êtes paranoïaque, alors allez-y, mais si ce site ne utilise pas une version vulnérable de OpenSSL, ou ne utilise OpenSSL à tous, il ne devrait pas être élevé sur votre liste de priorité. Dire que vous devriez changer tous les mots de passe, sont en train d'essayer de faire une déclaration que tous les sites qui sont utilisés sont à risque, lorsque cela est tout simplement pas vrai. Jusqu'à ce que vous avez tapé le mot de passe à un site Web ne est pas vulnérable ailleurs, et vous n'êtes pas un de ces Dingles qui utilisent le même mot de passe sur tous les comptes, alors vous devriez être bien de se concentrer uniquement sur les comptes qui sont vraiment en danger pour l'instant.

Gestion Heartbleed

Ce était le site toujours vulnérables à Heartbleed? Dans l'affirmative Si aucun Attendez une annonce publique, ou contactez le site, puis une fois le serveur de site sont des taches, de l'accès et de changer le mot de passe. Aucune action immédiate.

Donc je suppose que la leçon apprise: Ne comptez pas sur le logiciel pour faire le travail d'une personne, et pendant que vous y êtes, ne crois pas tout ce que vous entendez ou lisez.

Faites-vous une faveur et vérifier avec les sites que vous fréquentez plus pour voir se ils ont rien annoncé publiquement, et si elles ne ont pas, puis les envoyer par courriel et demandez à être absolument certain que vous avez pris les précautions. Si un certain temps passe et n'a rien sur la question, alors je vous recommande de ne pas modifier le mot de passe, mais au lieu de fermer le compte et prenez vos affaires ailleurs, comme le site, bien sûr, ne se soucie pas un peu 'votre vie privée, ou comment protéger votre compte et les données qu'il contient.

(0)
(0)

Commentaires - 0

Sans commentaires

Ajouter un commentaire

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caractères restants: 3000
captcha