Phenquestions
Fast 70 Prozent des Datenverkehrs im Internet beschäftigt OpenSSL um die Datenübertragungen zu sichern. Das bedeutet, dass fast alle großen Server (sprich: Websites) OpenSSL verwenden, um Ihre Daten wie Anmeldeinformationen zu sichern. Jemand von Google hat jedoch einen Fehler in OpenSSL gefunden - ein kleiner Programmierfehler, aber groß genug, um Ihre Daten an Hacker weiterzugeben - Leute, die Ihre Daten für ihre Zwecke verwenden möchten. Dieser OpenSSL-Bug heißt Herzbluten da es eng mit einer HeartBeat-Schicht von OpenSLL verwandt ist.
Was ist Heartbleed Bug?
Die meisten Server akzeptieren verschlüsselte Daten, entschlüsseln sie mit den Verschlüsselungsschlüsseln und leiten sie zur Verarbeitung weiter. Da die meisten Server die FIFO-Methode (First in First Out) verwenden, um Endbenutzer zu bedienen, verbleiben die Daten (nach der Entschlüsselung) oft eine Weile im Serverspeicher, bevor der Server sie zur weiteren Verarbeitung aufnimmt.
Der Heartbleed Bug ist ein Grund zur Sorge für fast alle internetbasierten kommerziellen Websites und einige andere Arten. Dieser Programmierfehler ermöglicht es Hackern, in jeden Server einzuchecken, der OpenSSL verwendet und die unverschlüsselten Daten (entschlüsselte Daten) zu lesen/speichern/verwenden. Hacker haben jetzt nicht nur Zugriff auf Ihre Daten, sie können das Website-Zertifikat reproduzieren, was das Internet zu einem noch gefährlicheren Ort macht. Mit der Kopie des Website-Zertifikats können die Hacker imitierte Sites erstellen: Sites, die Original-Sites ähnlich sehen. Damit können sie weiter auf Ihre Daten wie Kreditkartendaten, persönliche Informationen usw. zugreifen.
Das klingt beängstigend, nicht wahr?? Es ist - in der Tat - so, dass es auf Ihre Informationen zugreifen kann und diese Informationen für jeden Zweck verwendet werden können.
Hinweis: Heartbleed hat auch einen Codenamen CVE-2014-0160. CVE steht für Common Vulnerabilities and Exposures. Diese Codes beziehen sich auf Schwachstellen usw. werden von MITRE bereitgestellt, einer unabhängigen Stelle, die Fehler und ähnliche Probleme verfolgt.
Soll ich mein Anti-Virus aktualisieren oder so?
Der Heartbleed-Bug in OpenSSL hat nichts mit Ihrem Antivirus oder Ihrer Firewall zu tun. Dies ist kein clientseitiges Problem, daher können Sie wenig dagegen tun. Auf der anderen Seite müssen Server einen Patch auf das von ihnen verwendete OpenSSL-System anwenden. Danach kann man sagen, dass die Website für die Interaktion sicherer ist.
Was Sie als Benutzer tun können, ist die Anzahl der Besuche von Commerce- und ähnlichen Websites zu reduzieren. Es ist nicht so, dass der Fehler nur die Handelsseiten betrifft. Es ist für alle Arten von Websites gleich, die OpenSSL verwenden. Ich sage, meiden Sie Handelsseiten für eine Weile, da sie das Hauptziel für Hacker wären, die Ihre Kartendaten usw. Das bedeutet, dass das Hauptziel von Hackern E-Commerce-Sites sind, die OpenSSL verwenden.
Sobald Sie eine Nachricht/einen Bericht erhalten, dass der Fehler behoben wurde, können Sie so weitermachen, wie Sie es vor der Entdeckung des Fehlers getan haben. OpenSSL hat einen Patch erstellt und für Website-Besitzer freigegeben, um die Daten ihrer Benutzer zu sichern. Versuchen Sie bis dahin, Websites zu vermeiden, auf denen Sie Ihre Daten in irgendeiner Form eingeben müssen - sogar Anmeldeinformationen. Ich bin mir sicher, dass fast alle Webmaster für den Patch arbeiten müssen, aber es gibt immer noch ein Problem. Sobald Sie sicher sind, dass keine Sicherheitslücken vorhanden sind oder solche Sicherheitslücken gepatcht wurden, ist es möglicherweise eine gute Idee, Ihre Passwörter zu ändern.
Verwenden Sie in der Zwischenzeit diese Browsererweiterungen, um Sie vor von Heartbleed betroffenen Websites zu warnen.
Über Heartbleed kopierte Standortzertifikate müssen adressiert werden
Es besteht eine hohe Wahrscheinlichkeit, dass Website-Sicherheitszertifikate kopiert wurden, um bösartige Websites zu erstellen. Da es sich bei den Sicherheitszertifikaten um allgemeine Kopien handelt, können Ihre Browser den Unterschied möglicherweise nicht erkennen. Du musst vorsichtig bleiben. Vermeiden Sie es, auf Links zu klicken und geben Sie stattdessen die URL der Website in die Adressleiste ein, damit Sie nicht auf eine gefälschte Website weitergeleitet werden.
Dieses Problem kann auf zwei Arten gelöst werden:
- Die auf dem Markt erhältlichen Browser sollten intelligent genug sein, um kopierte Zertifikate zu erkennen und Sie zu warnen.
- Die Webmaster ändern die Zertifikate nach der Anwendung des Patches.
Mit anderen Worten, es wird einige Zeit dauern, das obige zu implementieren, obwohl die Webmaster den Patch anwenden. Ich möchte noch einmal darauf hinweisen, dass Sie keine Links in E-Mails oder nicht renommierten Websites anklicken. Geben Sie einfach die URL in die Adressleiste ein oder verwenden Sie das Lesezeichen, wenn Sie die ursprüngliche Site mit einem Lesezeichen versehen haben.
Der Abschnitt "Referenzen" am Ende dieses Artikels enthält eine unübersichtliche Liste der betroffenen Websites. Unvollständig, da möglicherweise mehr Websites betroffen sind als die dort aufgeführten.
Verweise:
- Herzblutung: Website
- OpenSSL: Sicherheitshinweis für Herzblutungen
- Git Hub: Liste der betroffenen Websites.
