Werbung

Die SSL-Sicherheitsanfälligkeit von Heartbleed macht weltweit Schlagzeilen - und eine falsche Berichterstattung in der Presse und im Internet sorgt für Verwirrung. Wie können Sie sicher sein und sicherstellen, dass Ihre persönlichen Daten nicht durchgesickert sind?

Was ist Herzblut? Nun, es ist kein Virus

Sie haben wahrscheinlich gehört, dass Heartbleed als Virus beschrieben wird. Dies ist nicht der Fall: Tatsächlich handelt es sich um eine Schwachstelle, eine Sicherheitslücke auf Servern, auf denen OpenSSL ausgeführt wird. Dies ist die Open-Source-Implementierung von SSL und TLS, den Protokollen, die für sichere Verbindungen verwendet werden - diejenigen, die beginnen https: // eher als das übliche http: //.

muo-heartbleed-help-https

Diese Sicherheitsanfälligkeit - im Allgemeinen als Fehler bezeichnet - schafft im Wesentlichen eine Lücke, durch die Hacker die Verschlüsselung umgehen können. Bestätigt am 7. Aprilth 2014 tritt es in allen Versionen von OpenSSL mit Ausnahme von 1.0.1g auf. Die Bedrohung ist auf Websites beschränkt, auf denen OpenSSL ausgeführt wird. Andere SSL- und TLS-Bibliotheken sind verfügbar, OpenSSL wird jedoch häufig auf Servern im Internet eingesetzt. Es gibt eine Lösung für das Problem, die jedoch möglicherweise nicht auf die Websites angewendet wurde, die Sie regelmäßig für sichere Aktivitäten besuchen. Dies können Online-Shopping, Glücksspiele und andere Websites zum Thema Erwachsene oder sogar soziale Netzwerke sein.

instagram viewer

Infolgedessen können alle Arten von persönlichen und finanziellen Informationen gefährdet sein.

Um eine Vorstellung davon zu bekommen, wie groß Heartbleed ist (und warum es so genannt wird), Ryan hat kürzlich diesen internetübergreifenden Fehler in einen Zusammenhang gebracht Ein massiver Fehler in OpenSSL gefährdet einen Großteil des InternetsWenn Sie zu den Leuten gehören, die immer geglaubt haben, dass Open Source-Kryptografie die sicherste Art der Online-Kommunikation ist, werden Sie überrascht sein. Weiterlesen . Wir sollten unterstreichen, dass Heartbleed eine internetbasierte Sicherheitsanfälligkeit ist und daher Benutzer aller Betriebssysteme, Desktops und Mobilgeräte betrifft.

Es ist also eine große Sache - aber was können Sie dagegen tun?

Ignorieren Sie den Hype und geraten Sie nicht in Panik

Eines sollten Sie nicht tun: Panik. In den letzten Tagen wurde im Internet und in den Printmedien viel geschrieben, und vieles davon Hype, Doom-Porno, der die Auswirkungen von Orson Welles 'berühmter Radiosendung War of the Worlds auf sich ziehen würde Schande.

muo-heartbleed-help-dontpanic

Vieles von dem, was Sie bereits gesehen haben, wurde aus Pressemitteilungen und anderen zusammengeschustert Berichte von Journalisten, die mit der Terminologie nicht vertraut sind und kein klares Verständnis für die Risiken.

Zum Beispiel könnten Sie wissen, dass Sie Ihre Passwörter sofort ändern sollten (nicht ganz wahr, wir sollten hinzufügen - siehe unten). Aber wussten Sie über das Phishing-Risiko Bescheid?

Das Phishing-Risiko

Verantwortungsbewusste Webdienste, Banken und soziale Netzwerke, die von Heartbleed betroffen sind, lassen Sie fallen E-Mail, um Sie darüber zu informieren, dass sie die Sicherheitsanfälligkeit behoben haben, und empfehlen Sie, Ihre zu ändern Passwort.

Natürlich sollten Sie dies tun - aber beachten Sie, dass diese Situation eine ideale Gelegenheit für Phisher darstellt, mit dem Senden zu beginnen gefälschte E-Mails mit eingebetteten Links zur Seite „Passwort ändern“ - in Wirklichkeit eine Website, auf der Sie Ihre Daten sammeln können Einzelheiten.

muo-heartbleed-help-pinterest

Keiner der von Ihnen verwendeten Dienste sollte empfehlen, in einer unerwünschten E-Mail auf einen Link zum Ändern des Passworts zu klicken. Leider hat IFTTTebenso wie Pinterest (oben). Dies ist eine schlechte Praxis und erweckt den Eindruck, dass ein solcher Link akzeptabel ist und angeklickt werden sollte.

Sofern Sie die E-Mail nicht angefordert haben, sollte auf einen solchen Link nicht geklickt werden.

E-Mails zum Zurücksetzen von Heartbleed-Passwörtern sollten keine Anmeldelinks enthalten. Wenn dies der Fall ist, löschen Sie sie und besuchen Sie die Website, indem Sie die Adresse in Ihren Browser eingeben (oder sie aus dem Verlauf oder den Favoriten auswählen, je nachdem, wie Sie mit diesen Dingen umgehen). Von dort aus setzen Sie Ihr Passwort zurück…

… Aber nur, wenn Sie es zu diesem Zeitpunkt tatsächlich brauchen.

Leider kann sich die PR-gesteuerte Notwendigkeit, dass Unternehmen so aussehen, als würden sie etwas gegen Bedrohungen wie Heartbleed unternehmen, als genauso schädlich erweisen wie die Bedrohung selbst.

Also, sollten Sie Ihre Passwörter ändern?

Einer der wichtigsten Ratschläge von Heartbleed im Umlauf ist, dass Sie Ihre Passwörter sofort ändern sollten.

Alle von ihnen.

Dies ist leider ein Beispiel für die Fehlinformationen, auf die ich im Intro Bezug genommen habe. Angenommen, Sie verwenden dasselbe Kennwort für mehrere Websites. Zuallererst ist dies eine schlechte Praxis und Sie sollten es in Zukunft überdenken (ganz zu schweigen davon) Erstellen Sie sicherere Passwörter Sichere Passwörter: Generieren Sie für jede Website ein anderes Passwort Weiterlesen ).

muo-heartbleed-help-password

Zweitens: Wenn Sie alle Ihre Passwörter wahllos ändern, besteht die Möglichkeit, dass Sie dies tun auf einer Website, die nicht auf einem gepatchten Server ausgeführt wird - einer, auf der Heartbleed noch ein Server ist Verletzlichkeit.

Sie haben möglicherweise versehentlich Ihr altes und Ihr neues Passwort an diejenigen weitergegeben, die die Sicherheitsanfälligkeit für Identitätsbetrug und Spam-Vorgänge ausnutzen können.

Daher sollten Sie Ihr Kennwort nur Site für Site ändern, wenn Sie wissen, dass sie gepatcht wurden - das heißt, der Fix wurde angewendet und die Sicherheitsanfälligkeit geschlossen.

Überprüfen Sie, welche Websites gepatcht wurden

Überprüfen Sie zunächst, welche Websites frei von der Heartbleed-Sicherheitsanfälligkeit sind.

Es gibt zwei Möglichkeiten, dies zu tun. Gehen Sie zuerst zu Mashable, wo ein Eine aktuelle Liste der von Heartbleed betroffenen namhaften Websites finden Sie hier, zusammen mit Ratschlägen, ob Sie Ihr Passwort ändern sollten oder nicht.

Für die kleineren Websites dieses ausgezeichnete Suchwerkzeug wird Ihnen sofort mitteilen, ob die Site gepatcht wurde oder nicht.

Eine Alternative ist die Chromebleed Checker Erweiterung für Google Chrome.

Wenn die von Ihnen verwendeten Websites betroffen sind und die Heartbleed-Sicherheitsanfälligkeit noch nicht behoben wurden, vermeiden Sie die Anmeldung, bis die Situation behoben ist.

Fazit: Es ist ein Wartespiel

Der Umgang mit dem Heartbleed-Sturm sollte für die meisten kein Problem sein. Halten Sie sich an den oben empfohlenen Kurs und ändern Sie keine Passwörter, bis Sie von den entsprechenden Websites und Diensten dazu aufgefordert werden.

muo-heartbleed-help-heart

Sie können auch neue Tools verwenden, um zu überprüfen, ob die Website, die Sie besuchen möchten (oder sogar die, die Sie ausführen), betroffen ist und ob ein Fix angewendet wurde.

Am wichtigsten ist, bleiben Sie sicher und seien Sie geduldig. Das Potenzial von Heartbleed, massive Probleme zu verursachen, ist immer noch vorhanden. Vermeiden Sie Websites, die gepatcht werden müssen, bis Sie wissen, dass sie jetzt sicher sind.

Bildnachweis: Bullet Heart über Shutterstock, HTTPS über Shutterstock, Keine Panik-Taste über Shutterstock, Passwort über Shutterstock

Christian Cawley ist stellvertretender Redakteur für Sicherheit, Linux, DIY, Programmierung und Tech Explained. Er produziert auch The Really Useful Podcast und verfügt über umfangreiche Erfahrung im Desktop- und Software-Support. Christian ist ein Mitarbeiter des Linux Format Magazins. Er ist ein Bastler von Raspberry Pi, ein Lego-Liebhaber und ein Retro-Gaming-Fan.