Keine Panik über Heartbleed aber haben einen Frühling sowieso reinigen (Op-Ed)

Dieser Artikel erschien ursprünglich in The Conversation. Die Publikation beigetragen Artikel Leben Wissenschaft Experten stimmen: Op-Ed & Einblicke.

Das Web ist voll von Schauergeschichten über die Sicherheitslücke Heartbleed aber in Panik wird nicht helfen. Besser, diese Situation als Chance nutzen, um unsere Handlungen zu bereinigen. Nur wenige von uns tun es, aber wir alle sollten in die Gewohnheit, unsere Passwörter regelmäßig zu ändern.

Heartbleed ist ein Fehler in bestimmten Versionen von einem Stück Software namens OpenSSL, die theoretisch jedermann mit Internet-Zugang zu einer scheinbar sicheren Server Datenblöcke, zu stehlen, ermöglicht selbst wenn sie zuvor als sicher galten.

Es hat vor allem wegen des Umfangs des Problems mehr Aufmerksamkeit erregt. Erste Zahlen deuten auf 500.000 Websites könnten potenziell gefährdet sein, viele davon sind bekannte Namen. SSL (und seine jüngere Schwester TLS) sind die Definitionen, die durch die zwei Computer die geheimen Handschlag, der sagt durchzuführen, wie sie sicher kommunizieren. Es gibt viele Versionen von SSL aber OpenSSL ist die häufigste.

Seine Popularität ist teilweise, da es eine open-Source-Initiative, die bedeutet, dass es aktualisiert wird von einer Gruppe von Gleichgesinnten Experten, die bereit sind sind, den zugrunde liegenden Code (Quellcode) offen für die Prüfung machen. Viele in der Sicherheitswelt denke, das eine ausgezeichnete Idee da es bedeutet, dass wir Sicherheitsfehler ausfindig machen können. Das heißt, es nicht unbedingt bedeutet, dass wir etwas dagegen tun können. Und wenn die Verwundbarkeit sich in einem äußerst komplexen Satz des Quellcodes versteckt, und es übersehen werden kann.

Die gute Nachricht über Heartbleed ist, dass sobald das Problem gefunden wurde, es schnell über Kanäle veröffentlicht wurde, die speziell eingerichtet wurden, um die Sicherheits-Community, wie das kürzlich gestartete UK-CERT aufmerksam zu machen. Die schlechte Nachricht ist, dass es scheint, dass es in den Versionen der Software gehen zurück bis zu zwei Jahren gewesen sein mag.

Die Tatsache, dass es unbemerkt kann kein Problem sein. Das Problem ist, dass wir nicht wissen, ob Cyber-kriminelle kannten die Verwundbarkeit vor den guten und ob sie es nutzen waren. Es dauert einige Zeit, um festzustellen, ob tatsächlich keinen Schaden getan wurde, und es sein kann, dass wir es nie erfahren. Alles, was wir sicher wissen ist, dass die Sicherheitslücke vorhanden ist und, dass es möglich ist, es um sensible Daten wie Passwörter greifen zu nutzen. Aber es gibt schon eine Lösung für das Problem, das jeder seriösen Website-Betreiber anwenden sollten, wenn sie nicht bereits getan haben.

Also, warum die Beratung durch viele, mich eingeschlossen, um Ihre Passwörter zu ändern? Es ist nicht, dass Menschen vorschlagen, es gibt Grund zur Panik. Dies ist eine ernsthafte Sicherheitslücke, sondern es wurden in der Zeit gefangen. Aber in Ermangelung von beweisen, es scheint, dass umsichtige Vorsicht ein vernünftiger Ansatz ist. Da Kennwörter zu ändern eine einfache Sache ist zu tun und es gut ist, sie trotzdem regelmäßig zu ändern, kann dies auch als eine Mahnung, eine Feder zu reinigen haben dauern werden.

Natürlich, wenn jemand diese Sicherheitsanfälligkeit auf einer Website nutzt verwenden Sie dann es keinen Sinn macht, Ihr Passwort zu aktualisieren, bis die Seite aktualisiert wurde, mit einer Version von OpenSSL, die nicht mehr anfällig ist. Dies ist eine knifflige Rätsel, wie die Mehrheit der Nutzer nicht wirklich wissen, wie Sie herausfinden, wenn die Websites, die, denen Sie betreffen, betroffen waren geschweige denn wenn sie alle erforderlichen Upgrades angewendet haben.

Das beste, was Sie wirklich tun können ist, geben Sie ihnen eine angemessene Menge an Zeit, in der Klemme für Heartbleed zu und aktualisieren Sie Ihre Passwörter. Und natürlich, wenn Sie nicht wissen, ob die Website überhaupt betroffen war dann scheint es ratsam, nehme an, es war und trotzdem Ihr Kennwort ändern.

Es ist aus diesem Grund, die die Decke Beratung gewesen ist, alle Ihre Passwörter zu überdenken. Haben Sie technische Kenntnisse zu können wählen Sie Ihren Weg durch die Seiten und bestimmen, welche Sie wirklich brauchen, um zu ändern dann begrüße ich Sie, aber ich vermute, Sie wahrscheinlich nicht, und in der Welt der Online-Sicherheit, es ist immer besser, als Nachsicht.

Mit jeder Veranstaltung wie diese sprießen Seiten sofort sagen, dass sie testen, ob eine Website, die Sie verwenden anfällig ist. Ich wäre vorsichtig mit solchen Online-Dame gibt es Hinweise darauf, dass ihre Ergebnisse nicht immer korrekt sind. Und natürlich gibt es Betrüger, die Liebe zu Seiten setzen, die behaupten, in einer solchen Situation zu helfen aber dann Fragen Sie liefern sehr sensible Informationen, die Sie besorgt werden können kompromittiert wurde.

Online-Sicherheit ist ein Bereich wo Panik und reflexartige Reaktionen können manchmal mehr Schaden als gut tun, aber es ist auch wahr, dass wenn es Zweifel über vertrauliche Informationen gefährdet, gibt auch wenn es ein Fall des nicht-Wissens, es vernünftig ist, davon auszugehen, dass es lohnt sich, Ihr Passwort zu ändern.

Das Gespräch betrieben auf ein System, das verwendet OpenSSL aber fixiert die Anfälligkeit um Mitternacht am Dienstag 8. April. Als Vorsichtsmaßnahme empfehlen wir, dass Benutzer ihre Kennwörter ändern.

Alan Woodward funktioniert nicht für, zu konsultieren, eigene Anteile an oder von einem Unternehmen oder einer Organisation, würde profitieren von diesem Artikel, und hat keine relevanten Zugehörigkeiten, finanziert.

Dieser Artikel erschien ursprünglich auf das Gespräch. Lesen Sie die