Heartbleed - o que você pode fazer para ficar seguro?

Propaganda

Propaganda
Propaganda

A vulnerabilidade do Heartbleed SSL está fazendo manchetes em todo o mundo - e a divulgação incorreta na imprensa e on-line está causando confusão. Como você pode ficar seguro e os seus dados pessoais não são vazados?

O que é Heartbleed? Bem, não é um vírus

Você provavelmente já ouviu falar Heartbleed descrito como um vírus. Este não é o caso: na verdade, é uma fraqueza, uma vulnerabilidade em servidores que executam o OpenSSL. Esta é a implementação de software livre de SSL e TLS, os protocolos usados ​​para conexões seguras - aqueles que começam https: // em vez do habitual http: // .

muo-heartbleed-help-https

Esta vulnerabilidade - mais comumente referida como um bug - essencialmente cria um buraco através do qual os hackers podem contornar a criptografia. Confirmado em 7 de abril de 2014, ocorre em todas as versões do OpenSSL exceto 1.0.1g. A ameaça é limitada a sites que executam o OpenSSL - outras bibliotecas SSL e TLS estão disponíveis, mas o OpenSSL é empregado amplamente em servidores pela web. Existe uma correção para o problema, mas isso pode não ter sido aplicado aos sites que você acessa regularmente para atividades seguras. Estes podem ser sites de compras on-line, jogos de azar e outros sites com temas adultos ou até mesmo redes sociais.

Como resultado, todos os tipos de informações pessoais e financeiras podem estar em risco.

Para ter uma idéia de quão grande é o Heartbleed (e por que ele é chamado), Ryan recentemente colocou esse bug que atravessa a Internet no contexto Bug massivo no OpenSSL coloca grande parte da Internet em risco Bug massivo no OpenSSL coloca grande parte da Internet Em risco Se você é uma daquelas pessoas que sempre acreditaram que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, você terá uma surpresa. Consulte Mais informação . Devemos salientar que o Heartbleed é uma vulnerabilidade baseada na Internet e, portanto, afeta os usuários de todos os sistemas operacionais, desktops e dispositivos móveis.

Então, é um grande negócio - mas o que você pode fazer sobre isso?

Ignore o Hype e não entre em pânico

Bem, há uma coisa que você não deve fazer: pânico. Muito tem sido escrito em toda a Internet e na mídia impressa nos últimos dias, e muito disso é o hype, doom pornô que envergonharia os efeitos da famosa transmissão de rádio de Orson Welles em Guerra dos Mundos.

muo-heartbleed-help-dontpanic

Muito do que você já viu terá sido compilado a partir de press releases e outros relatórios de jornalistas não familiarizados com a terminologia e com a falta de entendimento claro sobre os riscos.

Por exemplo, você pode saber que deve alterar suas senhas imediatamente (não inteiramente verdade, devemos adicionar - veja abaixo). Mas você sabia sobre o risco de phishing?

O risco de phishing

Serviços da Web responsáveis, bancos e redes sociais que foram afetados pelo Heartbleed lhe enviarão um e-mail para informá-lo de que repararam a vulnerabilidade e recomendam que você altere sua senha.

Naturalmente, você deve fazer isso - mas esteja ciente de que essa situação representa uma oportunidade ideal para os phishers começarem a enviar e-mails falsos, completos com links incorporados para a página "alterar senha" - na realidade, um site criado para coletar seus detalhes.

muo-heartbleed-help-pinterest

Nenhum dos serviços que você usa deve recomendar que você clique em um link de alteração de senha em um e-mail enviado e-mail não solicitado. Infelizmente, o IFTTT fez, assim como o Pinterest (acima). Esta é uma prática ruim e dá a impressão de que esse link é aceitável e deve ser clicado.

A menos que você tenha solicitado o email, esse link não deve ser clicado.

Os e-mails de redefinição de senha Heartbleed não devem incluir links de login. Em caso afirmativo, exclua-os e, em seguida, visite o site digitando o endereço no navegador (ou selecionando-o no histórico ou nos favoritos, dependendo de como você rola com essas informações). De lá, redefina sua senha ...

… Mas somente se você realmente precisar nesse estágio.

Infelizmente, a necessidade impulsionada por PR de que as empresas pareçam estar fazendo alguma coisa sobre ameaças como o Heartbleed pode revelar-se tão prejudicial quanto a própria ameaça.

Então, você deve mudar suas senhas?

Um dos principais conselhos do Heartbleed em circulação é que você deve alterar suas senhas imediatamente.

Todos eles.

Este, infelizmente, é um exemplo da desinformação a que me referi na introdução. Digamos que você use a mesma senha para vários sites. Primeiro de tudo, isso é má prática e você deve reconsiderar fazê-lo no futuro (para não mencionar criar senhas mais seguras senhas seguras: gerar uma senha diferente para cada site Senhas seguras: gerar uma senha diferente para cada site Leia mais).

muo-heartbleed-help-password

Em segundo lugar, se você alterar indiscriminadamente todas as suas senhas, as chances são de que você o faça em um site que não esteja sendo executado em um servidor corrigido - sobre o qual o Heartbleed ainda é uma vulnerabilidade.

Inadvertidamente, você potencialmente compartilhou sua senha antiga e sua nova senha com aquelas que são capazes de explorar a vulnerabilidade para suas operações de fraude e spam de identidade.

Dessa forma, você só deve alterar sua senha em cada site quando souber que eles foram corrigidos - ou seja, a correção foi aplicada e a vulnerabilidade foi fechada.

Verifique quais sites foram remendados

Comece verificando quais sites estão livres da vulnerabilidade Heartbleed.

Existem duas maneiras de fazer isso. Primeiro, dirija-se ao Mashable, onde uma lista atualizada de sites de grande nome afetados pelo Heartbleed pode ser encontrada, juntamente com conselhos sobre se você deve alterar sua senha ou não.

Para os sites menores, essa excelente ferramenta de pesquisa informará instantaneamente se o site foi ou não corrigido.

Uma alternativa é a extensão do Chromebleed Checker para o Google Chrome.

Se os sites que você usa forem afetados e ainda não tiverem corrigido a vulnerabilidade do Heartbleed, evite o login até que a situação seja resolvida.

Conclusão: é um jogo de espera

Lidar com a tempestade Heartbleed não deve ser um problema para a maioria. Siga o curso que avisamos acima e não altere nenhuma senha até que seja instruído a fazê-lo pelos sites e serviços correspondentes.

muo-heartbleed-help-heart

Você também pode usar novas ferramentas para verificar se o site que você planeja visitar (ou mesmo o que você executa) foi afetado e se uma correção foi aplicada.

Mais importante ainda, fique seguro e seja paciente. O potencial do Heartbleed para causar problemas enormes ainda está lá - evite sites que exigem correção até que você saiba que eles estão seguros.

Créditos da Imagem: Bullet Heart via Shutterstock, HTTPS via Shutterstock, botão Don't Panic via Shutterstock, Senha via Shutterstock

In this article