Você deve mudar suas senhas por causa do Heartbleed?

Se você está lutando para entender o dilúvio de informações sobre o Vulnerabilidade Heartbleed, você não está sozinho. Alguns relatórios nos dizem para alterar todas as nossas senhas on-line imediatamente, outras nos alertam que isso pode fazer mais mal do que bem. Há muita desinformação por aí.

É essencial que você não entre em pânico, mas tampouco deve ser complacente. Todos nós precisamos de uma boa mistura antiquada de bom senso e prudência.

O que é Heartbleed?

Em muitos dos servidores e serviços da Internet que usamos, há uma tecnologia de segurança de código aberto e gratuita chamada OpenSSL. Em termos simples, quando você vê o cadeado ao lado da página da web URL, você tem uma conexão da Web segura e criptografada que pode ter sido gerenciada pelo OpenSSL .

Até à data, OpenSSL tem trabalhado incrivelmente bem. Engenheiros de rede e usuários como você ficaram mais do que satisfeitos com o serviço prestado. Mas o Google Security and Codenomicon recentemente descobriu uma falha no sistema agora apelidado heartbleed e anunciou isso para o mundo no 7 April 2014. O bug pode ter existido sem ser notado nos últimos dois anos.

Em termos simples, heartbleed é uma vulnerabilidade de memória do servidor. Isso significa que o banco de dados inteiro de todos os clientes do seu varejista on-line favorito não é vulnerável, mas que qualquer uma das transações em andamento no momento em que um site é atacado por um cibercriminoso pode ser. É por isso que você foi aconselhado por alguns especialistas a se abster de realizar transações on-line importantes enquanto a situação está sendo resolvida.

innerself assinar gráfico

heartbleed é uma grande preocupação para as empresas, muitas das quais hospedam milhares de transações a cada hora. Um cibercriminoso ardente poderia facilmente escrever uma ferramenta de interrogação que explora o heartbleed bug a cada poucos segundos, permitindo que grandes volumes de dados de clientes sejam adquiridos. Dependerá inteiramente do que está sendo trocado no momento a respeito de quais informações serão extraídas.

É como ter alguém lendo sua mente enquanto você está lendo este artigo. Eles não verão o artigo inteiro, mas, pelo breve momento em que olharem para dentro de sua cabeça, verão as mesmas palavras que acabaram de ler.

A memória do servidor é tão atual quanto a transação ou tarefa atual que está sendo concluída. Portanto, é improvável que quaisquer transações antigas de minutos, horas ou dias atrás sejam armazenadas na memória.

O que você precisa fazer?

Para começar, não entre em pânico. Alguns estão recomendando que você altere todas as suas senhas, mas a menos que você saiba que o site que você está acessando usa o OpenSSL, você pode estar criando mais problemas para si mesmo alterando suas configurações.

Isto é em parte porque você pode mudar a senha em um servidor que não foi corrigido e, portanto, ainda tem um problema enquanto permanece vulnerável. Se um site ainda estiver vulnerável, sua nova senha também estará vulnerável.

Verifique com os sites que você usa. A maioria dos sites está anunciando se fez alguma alteração ou reconheceu um problema. O IFTTT, o popular serviço de mash-up de mídia social, já enviou por e-mail toda a sua base de usuários, informando-os de que os serviços oferecidos por eles foram protegidos.

Se você é tecnicamente inclinado e gostaria de ver por si mesmo, você pode usar muitos diferentes heartbleed verificando sites que verifique se o serviço que você usa é vulnerável. Existem sites que agora estão listando Web sites vulneráveis. Esta é uma boa notícia em alguns aspectos, mas também significa que os sites vulneráveis ​​também foram anunciados para potenciais cibercriminosos. Se o seu site estiver nessas listas, leia o conselho com cuidado, pois alguns estão dizendo que não acreditam que tenham algum problema.

Se você ainda não tiver certeza, altere a senha, mas use uma que você vai lembrar para que você não precise de um prompt do site. Também deve ser uma senha que você deseja alterar em alguns dias. Mas lembre-se, você ficará surpreso com quantos sites você usa, contas que você tem e senhas que você pode ter esquecido. Se você esqueceu a senha, fique longe por enquanto.

O que os profissionais estão fazendo?

Muitos serviços já estão consertados. Profissionais de rede não são complacentes e são muito focados em segurança. Questões como essas são raras, mas contribuem para grandes notícias. Muitos podem ter removido o problema antes mesmo de se tornar notícia.

Alguns serviços da Web anunciarão se eles foram corrigidos e estão seguros, mas você não precisa necessariamente se preocupar se seu site favorito não emitir um aviso. As chances são de que nunca foi usando OpenSSL em primeiro lugar.

Haverá outros problemas?

É inevitável que possa haver alguns sites que não serão corrigidos, pois não são serviços comerciais primários que estão sendo "cuidados". Há sempre o potencial para outros problemas serem encontrados com OpenSSL ou outros serviços seguros. Injeção de SQL, por exemplo, foi um problema que se tornou amplamente conhecido na comunidade de redes no 2012, mas ainda encontramos ocasionalmente servidores que ainda permitem essa exploração.

Em suma, o seu melhor curso de ação é descobrir quais sites em sua vida digital são executados em OpenSSL. Os maiores sites se comunicarão com você, se e quando precisarem.

Este artigo apareceu pela primeira vez em A Conversação

De InnerSelf webmaster: InnerSelf opera em um sistema que usa OpenSSL mas consertamos a vulnerabilidade assim que aprendemos heartbleed. Nós só mantemos o seu nome (o primeiro nome é suficiente) e o email para o Newsletter e Melhor da Semana. Nenhum humano olha para isso e nunca é compartilhado com mais ninguém. Como não processamos cartões de crédito on-line, nenhuma das suas informações está disponível. Nós oferecemos SSL para que você possa ler InnerSelf sob condições não rastreáveis, se desejar (https://innerself.com/content/).

Sobre o autor

smith andrewAndrew Smith é professor de networking em A Universidade Aberta. autor e examinador sênior com experiência em 'infra-estrutura' Networking, bem como alguma programação que está ficando um pouco datada e segurança de rede (segurança cibernética). Seu principal foco acadêmico está nas tecnologias da Cisco como parte do programa Cisco Academy.

Livro Recomendado

Protegendo sua identidade na Internet: você está nua on-line?
por Ted Claypoole e Theresa M. Payton.

1442212209Protegendo sua identidade na Internet: você está nua on-line? ajuda os leitores, jovens e idosos, a entender as implicações de suas personas e reputações on-line. Os autores oferecem um guia para as muitas armadilhas e riscos de certas atividades on-line e fornecem um roteiro para assumir sua reputação on-line para obter sucesso pessoal e profissional.

Clique aqui para mais informações e / ou para encomendar este livro na Amazon.