الإعلانات

تتصدر نقاط الضعف في Heartbleed SSL عناوين الصحف حول العالم - وتسبب التقارير الخاطئة في الصحافة وعلى الإنترنت في حدوث ارتباك. كيف يمكنك أن تظل آمنًا وتضمن عدم تسرب تفاصيلك الشخصية؟

ما هو Heartbleed؟ حسنًا ، إنه ليس فيروسًا

ربما سمعت عن Heartbleed وصفه بأنه فيروس. هذا ليس هو الحال: في الواقع ، إنها نقطة ضعف ، ثغرة في الخوادم التي تقوم بتشغيل OpenSSL. هذا هو تطبيق مفتوح المصدر لـ SSL و TLS ، البروتوكولات المستخدمة للاتصالات الآمنة - تلك التي تبدأ https: // بدلاً من المعتاد http: //.

muo-heartbleed-help-https

تؤدي هذه الثغرة - التي يُشار إليها بشكل شائع على أنها خطأ - إلى إنشاء ثقب يمكن للمتسللين من خلاله الالتفاف على التشفير. تم التأكيد في 7 أبريلالعاشر 2014 ، يحدث في جميع إصدارات OpenSSL باستثناء 1.0.1g. يقتصر التهديد على المواقع التي تقوم بتشغيل OpenSSL - تتوفر مكتبات SSL و TLS أخرى ، ولكن يتم استخدام OpenSSL على نطاق واسع على الخوادم حول الويب. يوجد إصلاح لهذه المشكلة ، ولكن ربما لم يتم تطبيق ذلك على مواقع الويب التي تزورها بانتظام لأنشطة آمنة. قد تكون هذه مواقع التسوق عبر الإنترنت والمقامرة ومواقع ويب أخرى للبالغين أو حتى الشبكات الاجتماعية.

instagram viewer

ونتيجة لذلك ، قد تتعرض جميع أنواع المعلومات الشخصية والمالية للخطر.

للحصول على فكرة عن حجم صفقة Heartbleed (ولماذا يطلق عليها) ، وضع Ryan مؤخرًا هذا الخطأ الذي يمتد عبر الإنترنت في السياق خطأ كبير في OpenSSL يعرض الكثير من الإنترنت للخطرإذا كنت أحد هؤلاء الأشخاص الذين اعتقدوا دائمًا أن التشفير مفتوح المصدر هو الطريقة الأكثر أمانًا للتواصل عبر الإنترنت ، فأنت في حالة مفاجأة. اقرأ أكثر . يجب أن نؤكد أن Heartbleed هي ثغرة قائمة على الإنترنت وبالتالي تؤثر على مستخدمي جميع أنظمة التشغيل ، وسطح المكتب والجوال.

لذا ، إنها صفقة كبيرة - ولكن ماذا يمكنك أن تفعل حيال ذلك؟

تجاهل الضجيج ولا داعي للذعر

حسنًا ، هناك شيء واحد لا يجب عليك فعله: الذعر. تمت كتابة الكثير عبر الإنترنت وفي وسائل الإعلام المطبوعة في الأيام القليلة الماضية والكثير منه الضجيج ، الإباحية الإباحية التي ستضع آثار البث الإذاعي الشهير لحرب العالم في أورسون ويلز عار.

muo-heartbleed-help-dontpanic

الكثير من الأشياء التي رأيتها بالفعل قد تم تجميعها معًا من البيانات الصحفية وغيرها تقارير صحفيين غير معتادة على المصطلحات وعدم وجود فهم واضح حول المخاطر.

على سبيل المثال ، قد تعلم أنه يجب عليك تغيير كلمات المرور الخاصة بك على الفور (ليس صحيحًا تمامًا ، يجب أن نضيف - انظر أدناه). ولكن هل تعلم عن خطر التصيد؟

مخاطر التصيد

خدمات الويب المسؤولة والمصارف والشبكات الاجتماعية التي تأثرت بـ Heartbleed ستسقط لك البريد الإلكتروني لإعلامك بأنهم قاموا بإصلاح الثغرة الأمنية ونوصي بتغيير كلمه السر.

بطبيعة الحال ، يجب عليك القيام بذلك - ولكن كن على علم بأن هذا الموقف يمثل فرصة مثالية للمحتالين لبدء الإرسال رسائل البريد الإلكتروني المزيفة ، كاملة مع الروابط المضمنة إلى صفحة "تغيير كلمة المرور" - في الواقع ، موقع ويب مصمم لجني تفاصيل.

muo-heartbleed-help-pinterest

لا ينبغي أن توصي أي من الخدمات التي تستخدمها بالنقر فوق رابط تغيير كلمة المرور في بريد إلكتروني تم إرسال بريد إلكتروني غير مرغوب فيه. لسوء الحظ ، فعلت IFTTT، كما فعل Pinterest (أعلاه). هذه ممارسة سيئة وتعطي انطباعًا بأن مثل هذا الرابط مقبول ويجب النقر فوقه.

ما لم تطلب البريد الإلكتروني ، لا ينبغي النقر على هذا الرابط.

يجب ألا تتضمن رسائل البريد الإلكتروني لإعادة تعيين كلمة المرور Heartbleed روابط تسجيل الدخول. إذا فعلوا ذلك ، فاحذفهم ، ثم قم بزيارة الموقع عن طريق كتابة العنوان في متصفحك (أو تحديده من السجل أو المفضلة اعتمادًا على كيفية التعامل مع هذه الأشياء). من هناك ، أعد تعيين كلمة المرور ...

... ولكن فقط إذا كنت بحاجة بالفعل إلى هذه المرحلة.

لسوء الحظ ، فإن الحاجة التي تدفعها العلاقات العامة للشركات لتبدو وكأنها تفعل شيئًا بشأن التهديدات مثل Heartbleed يمكن أن تكون ضارة مثل التهديد نفسه.

لذا ، هل يجب عليك تغيير كلمات المرور الخاصة بك؟

واحدة من أهم نصائح Heartbleed المتداولة هي أنه يجب عليك تغيير كلمات المرور الخاصة بك على الفور.

كلهم.

هذا ، للأسف ، مثال للمعلومات الخاطئة التي أشرت إليها في المقدمة. لنفترض أنك تستخدم كلمة المرور نفسها للعديد من مواقع الويب. بادئ ذي بدء ، هذه ممارسة سيئة ويجب عليك إعادة النظر في القيام بذلك في المستقبل (ناهيك عن ذلك) إنشاء كلمات مرور أكثر أمانًا كلمات مرور آمنة: إنشاء كلمة مرور مختلفة لكل موقع ويب اقرأ أكثر ).

muo-heartbleed-help-password

ثانيًا ، إذا قمت بتغيير جميع كلمات المرور الخاصة بك بشكل عشوائي ، فمن المحتمل أنك ستقوم بذلك على موقع ويب لا يعمل على خادم تم تصحيحه - خادم لا يزال Heartbleed عليه عالي التأثر.

من المحتمل أن تكون قد شاركت كلمة المرور القديمة وكلمة المرور الجديدة الخاصة بك عن غير قصد مع أولئك القادرين على استغلال الثغرة الأمنية لعمليات الاحتيال والهوية الخاصة بهم.

على هذا النحو ، يجب عليك فقط تغيير كلمة المرور الخاصة بك على أساس كل موقع على حدة عندما تعلم أنه تم تصحيحها - أي أنه تم تطبيق الإصلاح وإغلاق الثغرة الأمنية.

تحقق من المواقع التي تم تصحيحها

ابدأ بالتحقق من مواقع الويب الخالية من ضعف Heartbleed.

هناك طريقتان للقيام بذلك. أولا ، توجه إلى Mashable حيث يمكن العثور على قائمة محدثة بالمواقع ذات الأسماء الكبيرة المتأثرة بـ Heartbleed، بالإضافة إلى النصائح حول ما إذا كان يجب عليك تغيير كلمة المرور أم لا.

بالنسبة للمواقع الصغيرة ، أداة البحث الممتازة هذه سيخبرك على الفور ما إذا كان الموقع قد تم تصحيحه أم لا.

البديل هو مدقق Chromebleed امتداد لجوجل كروم.

إذا تأثرت مواقع الويب التي تستخدمها ولم تقم بعد بتصحيح ثغرة Heartbleed ، فتجنب تسجيل الدخول حتى يتم حل الموقف.

الخلاصة: إنها لعبة انتظار

لا ينبغي أن يكون التعامل مع العاصفة Heartbleed مشكلة بالنسبة لمعظم الناس. التزم بالدورة التي نصحنا بها أعلاه ، ولا تغير أي كلمات مرور حتى تحصل على تعليمات بذلك من مواقع الويب والخدمات المقابلة.

muo-heartbleed-help-heart

يمكنك أيضًا استخدام أدوات جديدة للتحقق مما إذا كان موقع الويب الذي تخطط لزيارته (أو حتى الموقع الذي تقوم بتشغيله) قد تأثر ، وما إذا كان قد تم تطبيق إصلاح أم لا.

الأهم من ذلك ، ابق آمنًا وتحلى بالصبر. لا يزال هناك احتمال أن يتسبب Heartbleed في حدوث مشكلات ضخمة - تجنب أي مواقع ويب تتطلب التصحيح حتى تعرف أنها آمنة الآن.

ائتمانات الصورة: رصاصة القلب عبر Shutterstock, HTTPS عبر Shutterstock, لا داعي للذعر عبر Shutterstock, كلمة المرور عبر Shutterstock

كريستيان كاولي هو نائب رئيس التحرير للأمن ، Linux ، DIY ، البرمجة ، وشرح التكنولوجيا. كما ينتج بودكاست مفيد حقًا ولديه خبرة واسعة في دعم سطح المكتب والبرامج. مساهم في مجلة Linux Format ، Christian هو Raspberry Pi tinkerer ، Lego lover ومروحة ألعاب ريترو.