Video: Emilie Meng mysteriet med Jesper Vestergaard Larsen og Bo Nordstrøm Weile (Oktober 2024)
Nyheder i denne uge er blevet domineret af diskussioner om Heartbleed-bug, som giver hackere mulighed for at hente data direkte fra hukommelsen fra de berørte sikre servere. De indfangede data kan omfatte krypteringsnøgler, adgangskoder og alle data, der sendes via en angiveligt sikker HTTPS-kanal. Fejlen har været til stede i over to år, og da angrebet ikke efterlader spor, har vi ingen idé om, hvor meget den er blevet udnyttet.
Hvem er sårbart?
Adgangskodsguiderne på LastPass har tilføjet en ny rynke til produktets rapport om sikkerhedskontrol. Ud over at markere svage og duplikerede adgangskoder viser det nu alle dine gemte websteder, der er eller var sårbare over for Heartbleed. Jeg bad et antal kolleger fra LastPass om at sende mig resultaterne af denne rapport, bare for at få en fornemmelse af hvad der er derude.
Jeg har over 200 adgangskoder gemt i LastPass selv. Bare seks af dem blev rapporteret som sårbare, og to var allerede blevet lappet. Tilføjelse af resultater fra mine kolleger så jeg 50 sårbare websteder, hvoraf 30 stadig ikke var lappet.
LastPass-rapporten anbefaler, at du ændrer din adgangskode til websteder, der er blevet opdateret for at løse fejlen. For de andre foreslår det at vente, indtil webstedet annoncerer en opdatering, da din splinternye adgangskode stadig ville være sårbar. For mig selv vil jeg foreslå at tage Heartbleed som et wake-up call for at ændre alle dine adgangskoder og sørge for, at hver enkelt af dem er stærke, og at ingen to websteder bruger den samme adgangskode. Du bliver nødt til at ændre adgangskoder til stadig sårbare websteder igen, når de er løst, men ændring af dem minimerer nu risikoen for eksponering.
Top butikker
For en anden visning tog jeg Alexa's 20 mest populære shoppingwebsteder og kørte dem gennem et par online-tests. Forsker Filippo Valsorda oprettede en test kort efter, at Heartbleed-nyheden brød. LastPass er også vært for en on-demand test
Jeg fandt Valsordas testresultater lidt forvirrende. Testen returnerede en fejlmeddelelse som "ødelagt rør" eller "i / o timeout" for fem af de 20 steder, jeg prøvede. Ni steder fik en ren sundhedsregning, da testen rapporterede, at de var "faste eller upåvirket." De resterende seks returnerede en fejlmeddelelse på grund af, at forbindelsen blev afleveret til et indholdsleveringsnetværk, og CDN's certifikat stemte ikke overens med det domæne, jeg indtastede. Hvis du markerer feltet for at ignorere certifikater, fik alle disse et "fast eller upåvirket" resultat, men testsiden advarer om, at dette kan være et falskt resultat.
Testsiden leveret af LastPass giver meget mere information. Det rapporterede om ti af webstederne som muligvis usikre. Det betyder, at testen ikke kunne afgøre, om webstedet bruger OpenSSL, kryptobiblioteket, der er berørt af Heartbleed-bug. Fire af webstederne var sandsynligvis sårbare, fordi de bruger OpenSSL, og to af dem er nu sikre. Fire andre steder var bestemt ikke sårbare, og et, der bestemt var sårbart, er nu sikkert. Det efterlader kun et websted, der ikke kunne analyseres på grund af en forbindelsesfejl.
LastPass Heartbleed-testeren rapporterer også, hvor for nylig hvert websteds SSL-certifikat blev ændret. Et certifikat, der blev ændret kort efter nyheden om Heartbleed brød er en temmelig god indikation af, at webstedet blev påvirket, men er nu sikkert.
Hvad angår alle de sider, hvis status er uklar, er dit bedste alternativ at vente på en meddelelse fra selve webstedet. Vær dog forsigtig. Klik ikke på et link til nulstilling af adgangskode, du modtager i en e-mail, fordi nogle af disse er svig. Naviger direkte til webstedet, ændre din adgangskode, og sørg for, at din adgangskodemanager afhenter ændringen.
Hold følge med PCMags løbende dækning af Heartbleed bug her.
