Video: Действия Аварийно диспетчерской службы по заявке Повышение давления газа в газопроводе (Oktober 2024)
Najpogostejši nasvet za končne uporabnike pri vseh buzzah, ki obkrožajo ranljivost Heartbleed v OpenSSL, je bil ponastavitev gesel, ki se uporabljajo za občutljiva spletna mesta. Ob odpovedi dejstvu, da morda ni najboljši nasvet, morajo biti uporabniki pozorni na morebitne lažne napade na poti, so opozorili varnostni strokovnjaki.
Varnostni raziskovalci so v začetku tega tedna razkrili podrobnosti o ranljivosti Heartbleed, skrbniki strežnikov in ponudniki storitev po vsem svetu pa se trudijo preveriti svoje sisteme in čim prej zapreti ranljivost. Kot smo že razpravljali tukaj na SecurityWatch in PCMag.com, lahko programsko napako izkoristimo za zbiranje naključnih bitov informacij v računalnikovem pomnilniku, ki lahko puščajo zasebne ključe, občutljive podatke in potrdila.
Glede na stopnjo zanimanja za to temo, ko raziskovalci ugotavljajo obseg težave in posledice, so lažni napadi, ki se skrivajo kot obvestila o ponastavitvi gesla, zelo verjetni. Lahko si predstavljamo, da kibernetski kriminalci in drugi prevaranti veselo drgnejo svoje roke, ko načrtujejo napade napadov.
Ne klikaj!
Nekatere organizacije so že popravile svoje sisteme in proaktivno stopijo v stik s strankami, da bi jim svetovali, naj spremenijo geslo. Na žalost je SecurityWatch zabeležil vsaj dva primera, ko je e-poštno sporočilo vključevalo povezavo, na katero je mogoče klikniti, s katero so uporabniki na spletno mesto odpeljali ponastavitev gesla. In kakšno je prvo pravilo, da se izogibate lažnim napadom? Recimo skupaj: Ne kliknite na povezave v e-poštnih sporočilih!
Kot smo že videli s ponarejenimi PayPal in bančnimi e-poštnimi sporočili, je enostavno ponarejati glave e-poštnih sporočil in izdelati zelo realistično videti e-poštna sporočila. Uporabniki spletnega mesta lahko izgledajo tudi kot prava stvar.
Če smo pošteni, ljudje vedno bolje prepoznavajo e-poštna sporočila o ponastavitvi gesla kot potencialno zlonamerne. Vendar lahko pomisleki zaradi Heartbleed-a nagajajo tudi najbolj previdne uporabnike. "Če ste razmišljali:" Hej, morda bi moral spremeniti svoje geslo example.com , za vsak slučaj, "in potem pride e-poštno sporočilo, ki trdi, da ste iz spletnega mesta example.com, ki vas bo odvedel na prijavni zaslon, ki je podoben example.com … lahko bi vam oprostili, če samo sledite navadi in se poskušate prijaviti, "je na blogu Naked Security zapisal Paul Ducklin, varnostni evangelist za Sophos.
Varnostna pravila še vedno veljajo
Da, Heartbleed je resen in bo vplival na internetno varnost še mesece in leta naprej. Vendar to ne pomeni, da pozabljamo na vsa spoznanja o prepoznavanju neželene pošte in lažnega predstavljanja. Bodite sumljivi do neželenih e-poštnih sporočil, ki jih prejmete, tudi če so od podjetij, ki jih poznate. Če vas e-poštno sporočilo zahteva, da kliknete povezavo znotraj sporočil, da ponastavite geslo, zadušite, ki to pozivajo. Ročno obiščite spletno mesto in sprožite ponastavitev gesla neposredno s spletnega mesta.
Če bi podjetja prenehala preučevati varnostne posledice in v e-poštno sporočilo niso postavila povezav do strani za prijavo, bi bilo to za kupce veliko varneje, saj ne bodo navadili klikati na povezave, je trdil Ducklin. "Če nobeno legitimno spletno mesto v svoji e-poštni korespondenci nikoli ne postavi povezav za prijavo, potem odločitev, ali so povezave za prijavo dobre ali slabe, postane nepomembna: slabe so in s tem je konec, " je dejal.
Ogromno nasvetov kaže, da bodo uporabniki povsod morali spremeniti gesla. Namesto tega gesla spremenite le na spletnih mestih, ki so potrdila, da so odpravila napako Heartbleeda. Ducklin je opozoril, da bi lahko še kaj povečalo možnosti, da se bodo vaši zasebni podatki zrušili.
