Heartbleed - Was können Sie tun, um sicher zu bleiben?
Die Sicherheitslücke von Heartbleed SSL sorgt weltweit für Schlagzeilen - und die falsche Berichterstattung in Presse und Online führt zu Verwirrung. Wie können Sie in Sicherheit bleiben und Ihre persönlichen Daten nicht verloren gehen??
Was ist Heartbleed? Nun, es ist kein Virus
Sie haben wahrscheinlich gehört, dass Heartbleed als Virus beschrieben wurde. Dies ist nicht der Fall: Es handelt sich tatsächlich um eine Schwachstelle, eine Sicherheitsanfälligkeit in Servern, auf denen OpenSSL ausgeführt wird. Hierbei handelt es sich um die Open Source-Implementierung von SSL und TLS, den Protokollen, die für sichere Verbindungen verwendet werden https: // eher als üblich http: //.
Diese Sicherheitsanfälligkeit - häufiger als Fehler bezeichnet - schafft im Wesentlichen ein Loch, durch das Hacker die Verschlüsselung umgehen können. Bestätigt am 7. Aprilth 2014 tritt es in allen Versionen von OpenSSL außer 1.0.1g auf. Die Bedrohung ist auf Sites beschränkt, auf denen OpenSSL ausgeführt wird - andere SSL- und TLS-Bibliotheken sind verfügbar, OpenSSL wird jedoch häufig auf Servern im Web eingesetzt. Es gibt zwar eine Lösung für das Problem, diese wurde jedoch möglicherweise nicht auf Websites angewendet, die Sie regelmäßig besuchen, um sichere Aktivitäten zu gewährleisten. Dies können Online-Shopping, Glücksspiele und andere für Erwachsene bestimmte Websites oder sogar soziale Netzwerke sein.
Daher können alle Arten von persönlichen und finanziellen Informationen gefährdet sein.
Um eine Vorstellung davon zu bekommen, wie viel ein Deal von Heartbleed ist (und warum es so genannt wird), hat Ryan diesen Internet-weit übersetzten Fehler kürzlich in den Kontext eingebettet. Massiver Fehler in OpenSSL setzt einen großen Teil des Risikos ein Wenn Sie zu den Leuten gehören, die immer daran geglaubt haben, dass Open-Source-Kryptografie die sicherste Art ist, online zu kommunizieren, werden Sie überrascht sein. Weiterlesen . Wir sollten betonen, dass Heartbleed eine internetbasierte Sicherheitsanfälligkeit ist, die Benutzer aller Betriebssysteme, Desktops und Mobilgeräte betrifft.
Es ist also eine große Sache - aber was können Sie dagegen tun??
Ignorieren Sie den Hype und verzagen Sie nicht in Panik
Nun, eines sollten Sie nicht tun: Panik. In den letzten Tagen wurde viel im Internet und in den Printmedien geschrieben, und viele davon sind Hype und Doom-Porno, der die Auswirkungen von Orson Welles 'berühmter Radiosendung "War of the Worlds" beschämen würde.
Vieles, was Sie bereits gesehen haben, wird aus Pressemitteilungen und anderen Berichten von Journalisten zusammengestellt, die sich mit der Terminologie nicht auskennen, und ein mangelndes Verständnis für die Risiken.
Beispielsweise wissen Sie vielleicht, dass Sie Ihre Kennwörter sofort ändern sollten (nicht ganz richtig, fügen Sie sie hinzu - siehe unten). Aber wussten Sie über das Phishing-Risiko Bescheid??
Das Phishing-Risiko
Verantwortliche Web-Services, Banken und soziale Netzwerke, die von Heartbleed betroffen sind, senden Ihnen eine E-Mail, um Sie darüber zu informieren, dass sie die Sicherheitsanfälligkeit behoben haben, und empfehlen Ihnen, Ihr Kennwort zu ändern.
Natürlich sollten Sie dies tun - seien Sie sich jedoch bewusst, dass diese Situation Phishern die ideale Gelegenheit bietet, gefälschte E-Mails zu senden, einschließlich eingebetteter Links zum “ändere das Passwort” Seite - in Wirklichkeit eine Website, die dazu dient, Ihre Daten zu sammeln.
Keiner der von Ihnen genutzten Dienste sollte empfehlen, auf den Link zum Ändern des Passworts in einer unaufgeforderten E-Mail zu klicken. Leider tat IFTTT, wie auch Pinterest (oben). Dies ist eine schlechte Praxis und vermittelt den Eindruck, dass ein solcher Link akzeptabel ist und angeklickt werden sollte.
Sofern Sie die E-Mail nicht angefordert haben, sollte auf einen solchen Link nicht geklickt werden.
Heartbleed-Passwort-Reset-E-Mails sollten keine Login-Links enthalten. Wenn dies der Fall ist, löschen Sie sie und besuchen Sie die Website, indem Sie die Adresse in Ihren Browser eingeben (oder wählen Sie sie aus dem Verlauf oder den Favoriten aus, je nachdem, wie Sie mit diesen Dingen rollen). Setzen Sie von dort Ihr Passwort zurück ...
… Aber nur, wenn Sie zu diesem Zeitpunkt tatsächlich brauchen.
Unglücklicherweise kann sich das Bedürfnis der PR, dass Unternehmen wie Drohungen wie Heartbleed aussehen, als genauso schädlich erweisen wie die Bedrohung selbst.
Sollten Sie also Ihre Passwörter ändern??
Eine der wichtigsten Ratschläge von Heartbleed ist, dass Sie Ihre Passwörter sofort ändern sollten.
Alle von ihnen.
Dies ist leider ein Beispiel für die Desinformation, auf die ich im Intro verwiesen habe. Angenommen, Sie verwenden dasselbe Passwort für mehrere Websites. Zunächst einmal ist dies eine schlechte Praxis, und Sie sollten dies in Zukunft noch einmal überdenken (und sicherere Kennwörter erstellen). Sichere Kennwörter: Generieren Sie ein anderes Kennwort für jede Website. Sichere Kennwörter: Generieren Sie ein anderes Kennwort für jede Website. Weitere Informationen.
Zweitens, wenn Sie wahllos alle Ihre Passwörter ändern, besteht die Möglichkeit, dass Sie dies auf einer Website tun, die nicht auf einem gepatchten Server ausgeführt wird - eine, auf der Heartbleed immer noch eine Sicherheitsanfälligkeit darstellt.
Sie haben versehentlich Ihr altes Kennwort und Ihr neues Kennwort möglicherweise mit denen geteilt, die die Sicherheitsanfälligkeit für Identitätsbetrug und Spam-Vorgänge ausnutzen können.
Daher sollten Sie Ihr Kennwort nur Site-by-Site ändern, wenn Sie wissen, dass es Patches gibt. Das heißt, der Fix wurde angewendet und die Sicherheitsanfälligkeit geschlossen.
Prüfen Sie, welche Websites gepatcht wurden
Sehen Sie sich an, welche Websites frei von der Heartbleed-Schwachstelle sind.
Dafür gibt es zwei Möglichkeiten. Gehen Sie zuerst zu Mashable, wo Sie eine aktuelle Liste der von Heartbleed betroffenen namhaften Websites finden und Hinweise dazu erhalten, ob Sie Ihr Passwort ändern oder nicht.
Bei den kleineren Websites zeigt Ihnen dieses hervorragende Suchwerkzeug sofort an, ob die Website gepatcht wurde oder nicht.
Eine Alternative ist die Chromebleed Checker-Erweiterung für Google Chrome.
Wenn die von Ihnen verwendeten Websites betroffen sind und die Sicherheitsanfälligkeit Heartbleed noch nicht behoben wurde, sollten Sie sich nicht anmelden, bis die Situation behoben ist.
Fazit: Es ist ein Wartespiel
Der Umgang mit dem Heartbleed-Sturm sollte für die meisten kein Problem sein. Halten Sie sich an den oben beschriebenen Kurs und ändern Sie keine Passwörter, bis Sie von den entsprechenden Websites und Diensten dazu aufgefordert werden.
Sie können auch neue Tools verwenden, um zu prüfen, ob die von Ihnen geplante Website (oder sogar die von Ihnen verwendete) betroffen ist und ob ein Fix angewendet wurde.
Am wichtigsten ist, bleiben Sie sicher und haben Sie Geduld. Das Potenzial für Heartbleed kann immer noch massive Probleme verursachen. Vermeiden Sie Websites, für die ein Patch erforderlich ist, bis Sie wissen, dass sie jetzt sicher sind.
Bildnachweise: Bullet Heart über Shutterstock, HTTPS über Shutterstock, Keine Panik-Taste über Shutterstock, Passwort über Shutterstock
Erfahren Sie mehr über: Online-Sicherheit, Passwort, SSL.