İlan
Heartbleed SSL güvenlik açığı tüm dünyada manşetlere çıkıyor - ve basında ve çevrimiçi yanlış raporlamalar karışıklığa neden oluyor. Nasıl güvende kalabilirsiniz ve kişisel bilgilerinizin sızdırılmamasını sağlayabilirsiniz?
Heartbleed Nedir? Eh, bu bir virüs değil
Muhtemelen Heartbleed'in bir virüs olarak tanımlandığını duymuşsunuzdur. Durum böyle değil: aslında, OpenSSL çalıştıran sunucularda bir zayıflık, bir güvenlik açığı. Bu, güvenli bağlantılar için kullanılan protokoller olan SSL ve TLS'nin açık kaynaklı uygulamasıdır. https: // normalden ziyade http: //.
Bu güvenlik açığı - daha yaygın olarak hata olarak adlandırılır - temelde bilgisayar korsanlarının şifrelemeyi atlatabilecekleri bir delik oluşturur. 7 Nisan tarihinde onaylandıinci 2014, 1.0.1g hariç tüm OpenSSL sürümlerinde görülür. Tehdit, OpenSSL çalıştıran sitelerle sınırlıdır - diğer SSL ve TLS kitaplıkları da mevcuttur, ancak OpenSSL web üzerindeki sunucularda yaygın olarak kullanılmaktadır. Sorun için bir düzeltme var, ancak bu, güvenli etkinlikler için düzenli olarak ziyaret ettiğiniz web sitelerine uygulanmamış olabilir. Bunlar çevrimiçi alışveriş, kumar ve diğer yetişkin temalı web siteleri veya hatta sosyal ağlar olabilir.
Sonuç olarak, her türlü kişisel ve finansal bilgi risk altında olabilir.
Heartbleed'in ne kadar büyük olduğu (ve neden böyle adlandırıldığı) hakkında bir fikir edinmek için, Ryan kısa bir süre önce internette yayılan bu hatayı içeriğe koydu OpenSSL'deki Büyük Hata İnternetin Büyük Bir kısmını Risk Altına AldıAçık kaynak kodlu kriptografinin her zaman çevrimiçi iletişim kurmanın en güvenli yolu olduğuna inananlardan biriyseniz, biraz sürpriz içindesiniz. Daha fazla oku . Heartbleed'in İnternet tabanlı bir güvenlik açığı olduğunu ve bu nedenle masaüstü ve mobil tüm işletim sistemlerinin kullanıcılarını etkilediğinin altını çizmeliyiz.
Yani, bu çok önemli - ama bu konuda ne yapabilirsiniz?
Hype'ı Yoksay ve Paniğe Geçme
Yapmamanız gereken bir şey var: panik. Son birkaç gün içinde internette ve yazılı basında çok şey yazıldı ve birçoğu hype, Orson Welles'in ünlü War of the Worlds radyo yayınının etkilerini utanç.
Daha önce gördüklerinizin çoğu basın bültenlerinden ve diğerlerinden bir araya getirilmiş olacak terminolojiye aşina olmayan gazetecilerin raporları ve riske atar.
Örneğin, şifrelerinizi hemen değiştirmeniz gerektiğini biliyor olabilirsiniz (tamamen doğru değil, eklememiz gerekir - aşağıya bakın). Ancak kimlik avı riskini biliyor muydunuz?
Kimlik Avı Riski
Heartbleed'den etkilenen sorumlu web hizmetleri, bankalar ve sosyal ağlar size bu güvenlik açığını onardıklarını bildirmek için e-posta gönderin ve parola.
Doğal olarak, bunu yapmalısınız - ancak bu durumun kimlik avcılarına göndermeye başlaması için ideal bir fırsat sunduğunu unutmayın "şifreyi değiştir" sayfasına gömülü bağlantılar içeren eksiksiz e-postalar - gerçekte, detaylar.
Kullandığınız hizmetlerin hiçbiri, istenmeyen e-posta gönderilen bir e-postadaki şifre değiştir bağlantısını tıklamanızı önermez. Ne yazık ki, IFTTT yaptı, Pinterest gibi (yukarıda). Bu kötü bir uygulamadır ve böyle bir bağlantının kabul edilebilir olduğu ve tıklanması gerektiği izlenimini verir.
E-postayı istemediğiniz sürece, böyle bir bağlantı tıklanmamalıdır.
Heartbleed şifre sıfırlama e-postalarında giriş bağlantıları bulunmamalıdır. Varsa, silin, ardından adresi tarayıcınıza yazarak (veya bu şeyle nasıl yuvarlandığınıza bağlı olarak geçmişi veya sık kullanılanlardan seçerek) web sitesini ziyaret edin. Oradan şifrenizi sıfırlayın…
… Ama sadece bu aşamada gerçekten ihtiyacınız varsa.
Ne yazık ki, PR tarafından yönlendirilen şirketlerin Heartbleed gibi tehditler hakkında bir şeyler yapıyormuş gibi görünmesi, tehdidin kendisi kadar zarar verici olabilir.
Yani, Parolalarınızı Değiştirmeli misiniz?
Dolaşımdaki Heartbleed tavsiyesinin ana parçalarından biri, şifrelerinizi hemen değiştirmeniz gerektiğidir.
Hepsi.
Ne yazık ki, girişte bahsettiğim yanlış bilginin bir örneğidir. Birkaç web sitesi için aynı şifreyi kullandığınızı varsayalım. Her şeyden önce, bu kötü bir uygulamadır ve gelecekte yapmayı tekrar düşünmelisiniz (bahsetmemek gerekir) daha güvenli şifreler oluşturun Güvenli Şifreler: Her Web Sitesi İçin Farklı Bir Şifre Oluşturun Daha fazla oku ).
İkincisi, tüm şifrelerinizi gelişigüzel değiştirirseniz, bunu yapma olasılığınız yamalı bir sunucuda çalışmayan bir web sitesinde - Heartbleed'in hâlâ Güvenlik açığı.
Yanlışlıkla eski parolanızı ve yeni parolanızı kimlik sahtekarlığı ve spam işlemleri nedeniyle bu güvenlik açığından yararlanabilecek olanlarla paylaşmış olabilirsiniz.
Bu nedenle, parolanızı yalnızca yamalar yapıldığını bildiğiniz zaman siteye göre değiştirmeniz gerekir - yani, düzeltme uygulanmış ve güvenlik açığı kapatılmıştır.
Hangi Web Sitelerinin Yama Olduğunu Kontrol Edin
Hangi web sitelerinin Heartbleed güvenlik açığından arınmış olduğunu kontrol ederek başlayın.
Bunu yapmanın iki yolu vardır. İlk olarak, Mashable'a gidin. Heartbleed'den etkilenen büyük isim web sitelerinin güncel listesini bulabilirsiniz, şifrenizi değiştirip değiştirmemeniz konusunda tavsiyelerle birlikte.
Daha küçük web siteleri için, bu mükemmel arama aracı sitenin yamalı olup olmadığını anında söyleyecektir.
Bir alternatif Chromebleed Denetleyicisi Chrome uzantısı.
Kullandığınız web siteleri etkilendiyse ve henüz Heartbleed güvenlik açığını düzeltmediyse, durum çözülene kadar giriş yapmaktan kaçının.
Sonuç: Bekleyen Bir Oyun
Heartbleed fırtınasıyla uğraşmak çoğu için sorun olmamalı. Yukarıda önerdiğimiz kursa sadık kalın ve ilgili web siteleri ve hizmetler tarafından istenmedikçe şifreleri değiştirmeyin.
Ziyaret etmeyi planladığınız web sitesinin (veya çalıştırdığınız web sitesinin) etkilenip etkilenmediğini ve bir düzeltmenin uygulanıp uygulanmadığını kontrol etmek için yeni araçlar da kullanabilirsiniz.
En önemlisi, güvende kalın ve sabırlı olun. Heartbleed'in büyük sorunlara neden olma potansiyeli hala var - artık güvenli olduklarını bilinceye kadar yama gerektiren tüm web sitelerinden kaçının.
Resim Kredileri: Shutterstock Üzerinden Mermi Kalbi, Shutterstock üzerinden HTTPS, Shutterstock ile Panik Düğmesi Yapmayın, Shutterstock üzerinden şifre
Christian Cawley, Güvenlik, Linux, Kendin Yap, Programlama ve Teknik Açıklaması Editör Yardımcısıdır. Ayrıca Gerçekten Kullanışlı Podcast'i üretiyor ve masaüstü ve yazılım desteği konusunda geniş deneyime sahip. Linux Format dergisine katkıda bulunan Christian, bir Raspberry Pi tamircisi, Lego sevgilisi ve retro oyun hayranı.
