Video: Heartbleed Exploit - Discovery & Exploitation (Dezember 2024)
Diese Woche haben wir erfahren, dass eine beliebte Kryptobibliothek seit zwei Jahren völlig anfällig für Angriffe ist. Der Fehler, der von seinen Entdeckern "Heartbleed" genannt wird, ermöglicht es Cybercrooks, den Heartbeat-Dienst zu unterlaufen, der eine sichere Verbindung zwischen zwei Computern aufrecht erhält. Sobald sie angemeldet sind, können sie Sicherheitsschlüssel, Anmeldeinformationen und alle verschlüsselten Daten stehlen. Schlimmer noch, ein solcher Angriff hinterlässt keine Spuren.
Es gibt nichts, was Sie persönlich tun können, um das Problem zu beheben. Die Eigentümer der Server, auf denen die anfällige Software ausgeführt wird, müssen Maßnahmen ergreifen. Insbesondere müssen sie auf die nicht anfällige neueste Version aktualisieren, alle Sicherheitsschlüssel der Site widerrufen und dann die Schlüssel erneut ausstellen. Sie können jedoch etwas gegen Ihre freigelegten Passwörter unternehmen. ändere sie alle!
Wer ist verwundbar?
Es ist wahr, dass nicht alle Ihre sicheren Websites anfällig sind, obwohl Experten davon ausgehen, dass zwei Drittel aller Server den Fehler aufweisen könnten. Mit diesem Test können Sie eine bestimmte Domain überprüfen. Der von LastPass angebotene Test liefert noch mehr Informationen. Beispielsweise war eine Site, die in den letzten zwei Tagen OpenSSL verwendet und ihre Sicherheitszertifikate neu generiert hat, möglicherweise zuvor anfällig.
Sie sollten alle von Ihnen verwendeten sicheren Websites durchgehen und testen. Notieren Sie sich alle, die derzeit anfällig sind. Sie müssen diese erneut besuchen. Überlegen Sie genau, welche gefährdeten Personen betroffen sind. Brauchen und benutzen Sie sie wirklich? Wenn nicht, sollten Sie Ihr Profil und alle anderen Informationen löschen und das Konto schließen.
Ändere sie alle!
Es spielt keine Rolle, ob Ihr aktuelles Passwort "password" oder "C5H8 & bY! 6BDB6g66rRWJ" ist. Egal wie stark es ist, die bösen Jungs können es aus dem Speicher des Buggy-Servers ziehen. Unabhängig vom Passwort haben sie es zusammen mit Ihrem Benutzernamen und allen gesicherten Daten, die Sie übertragen haben. Darüber hinaus werden auch alle anderen Websites angezeigt, auf denen Sie dasselbe Kennwort verwendet haben.
Ihre sicheren Websites lassen sich in drei Kategorien einteilen, die immer noch anfällig sind, die in der Vergangenheit anfällig waren und die nie anfällig waren. Es ist absolut wichtig, dass Sie Ihr Passwort für diejenigen ändern, die in der Vergangenheit anfällig waren. Es konnte nicht schaden, diejenigen zu ändern, die anscheinend niemals verwundbar waren, vor allem, weil Sie sich nicht sicher sind. Diejenigen, die anfällig bleiben, müssen erneut geändert werden. Wenn Sie jedoch jetzt einen sauberen Suchlauf durchführen und sicherstellen, dass Sie keine doppelten Kennwörter haben, wird die zweite Runde der Kennwortaktualisierungen einfacher.
Wie es geht
Ohne Passwort-Manager online zu gehen, ist eine riskante Angelegenheit. Wenn Sie noch keinen verwenden, können Sie jetzt beginnen. LastPass ist für Redakteure kostenlos. Dashlane, ebenfalls ein EC, kostet nur 19, 99 USD pro Jahr.
Sowohl LastPass als auch Dashlane bieten einen Passwortanalysebericht, der schwache und doppelte Passwörter identifiziert. Im Bericht können Sie auf einen Link klicken, um eine Site zu besuchen und das Kennwort zu ändern. Der Passwort-Manager übernimmt die Änderung. Überlegen Sie sich kein Passwort. Lassen Sie den Passwort-Manager etwas generieren, das niemand erraten kann.
Unsere eigene Jill Duffy berichtet, dass sie ihre Passwortsituation in fünf Wochen bereinigt hat, unterstützt von Dashlane. Die Heartbleed-News fordern etwas mehr Dringlichkeit. Ich empfehle, alle Ihre Passwörter so bald wie möglich durch neue, eindeutige zu ersetzen.
Es ist nicht vorbei
Wenn Sie das Kennwort für Sites ändern, die immer noch für den Heartbleed-Fehler anfällig sind, stellen Sie zumindest sicher, dass Sie keine anderen Sites anzeigen, die dasselbe Kennwort verwenden. Das brandneue Passwort ist jedoch völlig gefährdet. Wenn möglich, halten Sie sich von diesen Standorten fern, bis sie repariert sind. Und wenn doch, ändern Sie das Passwort noch einmal. Zumindest haben Sie die Hilfe Ihres vertrauenswürdigen Passwort-Managers, um die Aufgabe zu erledigen.
