Die Heartbleed-SSL-Schwachstelle macht Schlagzeilen auf der ganzen Welt - Falschberichte in der Presse und im Internet sorgen für Verwirrung. Wie können Sie sicher sein, dass Ihre persönlichen Daten nicht durchgesickert sind?
Was ist Heartbleed? Nun, es ist kein Virus
Sie haben wahrscheinlich Heartbleed als Virus beschrieben. Dies ist nicht der Fall: Tatsächlich ist es eine Schwachstelle, eine Schwachstelle auf Servern, auf denen OpenSSL läuft. Dies ist die Open-Source-Implementierung von SSL und TLS, den Protokollen, die für sichere Verbindungen verwendet werden. Diese Protokolle beginnen mit https: // anstelle des üblichen http: // .
Diese Schwachstelle - besser bekannt als Bug - schafft im Grunde ein Loch, durch das Hacker die Verschlüsselung umgehen können. Bestätigt am 7. April 2014, tritt es in allen Versionen von OpenSSL außer 1.0.1g auf. Die Bedrohung ist auf Sites beschränkt, auf denen OpenSSL ausgeführt wird - andere SSL- und TLS-Bibliotheken sind verfügbar, aber OpenSSL wird auf Servern im Internet häufig eingesetzt. Es gibt eine Fehlerbehebung für das Problem, die jedoch möglicherweise nicht auf die Websites angewendet wurde, die Sie regelmäßig für sichere Aktivitäten besuchen. Dies können Online-Shopping, Glücksspiel und andere Websites für Erwachsene sein oder auch soziale Netzwerke.
Infolgedessen könnten alle Arten persönlicher und finanzieller Informationen gefährdet sein.
Um eine Vorstellung davon zu bekommen, wie groß Heartbleed ist (und warum es so genannt wird), hat Ryan diesen Internet-übergreifenden Bug in den Kontext gestellt. Massiver Bug in OpenSSL bringt viel Internet ins Risiko Massiver Bug in OpenSSL bringt viel Internet ins Spiel In Gefahr Wenn Sie zu den Leuten gehören, die schon immer davon überzeugt waren, dass die Open-Source-Kryptographie die sicherste Art ist, online zu kommunizieren, dann erwartet Sie eine Überraschung. Weiterlesen . Wir sollten unterstreichen, dass Heartbleed eine Internet-basierte Schwachstelle ist und daher Benutzer aller Betriebssysteme, Desktops und Mobilgeräte betrifft.
Also, es ist eine große Sache - aber was können Sie dagegen tun?
Ignoriere den Hype und mache keine Panik
Nun, es gibt eine Sache, die Sie nicht tun sollten: Panik. In den letzten Tagen wurde viel über das Internet und in den Printmedien geschrieben, und viel davon ist Hype, Doom-Porno, der die Wirkung von Orson Welles 'berühmter Radiosendung "War of the Worlds" beschämen würde.
Vieles von dem, was Sie bereits gesehen haben, wird aus Pressemitteilungen und anderen Berichten von Journalisten zusammengewürfelt, die mit der Terminologie nicht vertraut sind und ein klares Verständnis über die Risiken haben.
Zum Beispiel könnten Sie wissen, dass Sie Ihre Passwörter sofort ändern sollten (nicht ganz richtig, wir sollten hinzufügen - siehe unten). Aber wussten Sie über das Phishing-Risiko Bescheid?
Das Phishing-Risiko
Verantwortliche Webdienste, Banken und soziale Netzwerke, die von Heartbleed betroffen sind, werden Ihnen eine E-Mail senden, um Sie darüber zu informieren, dass sie die Sicherheitsanfälligkeit behoben haben und empfehlen, dass Sie Ihr Passwort ändern.
Natürlich sollten Sie dies tun - aber seien Sie sich bewusst, dass diese Situation Phishern eine ideale Gelegenheit bietet, gefälschte E-Mails mit eingebetteten Links zur Seite "Passwort ändern" zu versenden - in Wirklichkeit eine Website, die Ihre Daten sammelt.
Keiner der von Ihnen verwendeten Dienste sollte Ihnen empfehlen, auf einen Link zum Ändern des Passworts in einer E-Mail zu klicken, die eine unerwünschte E-Mail sendet. Leider hat IFTTT das getan, genauso wie Pinterest (oben). Dies ist eine schlechte Vorgehensweise und erweckt den Eindruck, dass ein solcher Link akzeptabel ist und angeklickt werden sollte.
Sofern Sie die E-Mail nicht angefordert haben, sollte auf einen solchen Link nicht geklickt werden.
Heartbleed-Passwortzurücksetzungs-E-Mails sollten keine Login-Links enthalten. Wenn dies der Fall ist, lösche sie und besuche dann die Website, indem du die Adresse in deinen Browser eingibst (oder sie aus dem Verlauf oder den Favoriten auswählst, je nachdem, wie du mit diesen Dingen rollt). Setzen Sie von dort aus Ihr Passwort zurück ...
... aber nur, wenn Sie es in diesem Stadium wirklich brauchen.
Leider kann die PR-getriebene Notwendigkeit, dass Unternehmen so aussehen, als würden sie etwas gegen Bedrohungen wie Heartbleed tun, genauso schädlich sein wie die Bedrohung selbst.
Also, sollten Sie Ihre Passwörter ändern?
Einer der Hauptpunkte von Heartbleed im Umlauf ist, dass Sie Ihre Passwörter sofort ändern sollten.
Alle von ihnen.
Dies ist leider ein Beispiel für die Fehlinformation, auf die ich im Intro hingewiesen habe. Angenommen, Sie verwenden dasselbe Passwort für mehrere Websites. Vor allem ist dies eine schlechte Praxis und Sie sollten es in Zukunft noch einmal überdenken (nicht um sicherere Passwörter zu erstellen. Sichere Passwörter: Erstellen Sie ein anderes Passwort für jede Website Sichere Passwörter: Generieren Sie ein anderes Passwort für jede Website Lesen Sie mehr).
Zweitens, wenn Sie wahllos alle Ihre Passwörter ändern, werden Sie wahrscheinlich auf einer Website landen, die nicht auf einem gepatchten Server läuft - auf dem Heartbleed noch immer eine Schwachstelle ist.
Versehentlich haben Sie möglicherweise Ihr altes Passwort und Ihr neues Passwort mit denen geteilt, die die Sicherheitslücke für ihre Identitätsbetrugs- und Spam-Operationen ausnutzen können.
Daher sollten Sie Ihr Kennwort nur für jede Site einzeln ändern, wenn Sie wissen, dass es gepatcht wurde. Das heißt, der Fix wurde angewendet und die Sicherheitsanfälligkeit wurde geschlossen.
Überprüfen Sie, welche Websites gepatcht wurden
Überprüfen Sie zunächst, welche Websites von der Heartbleed-Schwachstelle frei sind.
Es gibt zwei Möglichkeiten, dies zu tun. Gehen Sie zuerst zu Mashable, wo Sie eine aktuelle Liste der von Heartbleed betroffenen großen Websites finden können, zusammen mit Hinweisen, ob Sie Ihr Passwort ändern sollten oder nicht.
Bei den kleineren Websites wird Ihnen dieses ausgezeichnete Suchtool sofort mitteilen, ob die Website gepatcht wurde oder nicht.
Eine Alternative ist die ChromeBleed Checker-Erweiterung für Google Chrome.
Wenn die von Ihnen verwendeten Websites betroffen sind und die Heartbleed-Sicherheitsanfälligkeit noch nicht behoben wurde, vermeiden Sie die Anmeldung, bis die Situation behoben ist.
Fazit: Es ist ein Wartespiel
Der Umgang mit dem Heartbleed-Sturm sollte für die meisten kein Problem sein. Halten Sie sich an den oben genannten Kurs und ändern Sie keine Passwörter, bis Sie von den entsprechenden Websites und Diensten dazu aufgefordert werden.
Sie können auch neue Tools verwenden, um zu prüfen, ob die Website, die Sie besuchen möchten (oder sogar die Website, die Sie besuchen), betroffen ist und ob eine Fehlerbehebung angewendet wurde.
Am wichtigsten, bleib sicher und sei geduldig. Das Potenzial für Heartbleed, massive Probleme zu verursachen, ist immer noch vorhanden - vermeiden Sie Websites, die gepatcht werden müssen, bis Sie wissen, dass sie jetzt sicher sind.
Bildnachweis: Bullet Heart über Shutterstock, HTTPS über Shutterstock, Button nicht über Shutterstock, Passwort über Shutterstock