Cât de extins este eroarea plină de inimă?

Știrile din această săptămână au fost dominate de discuțiile despre eroarea Heartbleed, care permite hackerilor să scoată date direct din memoria serverelor securizate afectate. Datele capturate ar putea include chei de criptare, parole și orice date trimise prin intermediul unui canal HTTPS în siguranță. Bug-ul este prezent de mai bine de doi ani și, din moment ce atacul nu lasă nicio urmă, nu știm cât de mult a fost exploatat.

Cine este vulnerabil?

Vrăjitorii cu parolă de la LastPass au adăugat o nouă rid la raportul de verificare a securității produsului. Acum, pe lângă marcarea parolelor slabe și duplicate, acesta enumeră oricare dintre site-urile dvs. salvate care sunt sau au fost vulnerabile la Heartbleed. Am rugat o serie de colegi utilizatori LastPass să-mi trimită rezultatele raportului, doar pentru a avea o idee despre ceea ce există.

Am peste 200 de parole stocate în LastPass. Doar șase dintre ele au fost raportate ca fiind vulnerabile, iar două au fost deja plasate. Adăugând rezultatele colegilor mei, am văzut 50 de site-uri vulnerabile, 30 dintre ele încă neocupate.

Raportul LastPass vă recomandă să schimbați parola pentru site-urile care au fost corecți pentru a remedia eroarea. Pentru ceilalți, sugerează să aștepți până după ce site-ul anunță o actualizare, deoarece noua ta parolă ar fi încă vulnerabilă. Pentru mine, aș sugera să luați Heartbleed ca apel de trezire pentru a schimba toate parolele, asigurându-vă că fiecare dintre ele este puternică și că niciun site nu folosește aceeași parolă. Va trebui să schimbați parolele pentru site-urile încă vulnerabile, după ce sunt rezolvate, dar schimbarea acestora acum minimizează potențialul de expunere.

Top Magazine

Pentru o altă perspectivă, am luat topul celor mai populare 20 de site-uri de cumpărături ale Alexa și le-am dat peste câteva teste online. Cercetătorul Filippo Valsorda a creat un test la scurt timp după ce știrile Heartbleed au izbucnit. LastPass găzduiește și un test la cerere

Am găsit rezultatele testelor lui Valsorda cam confuze. Testul a returnat un mesaj de eroare precum „conductă spartă” sau „i / o timeout” pentru cinci dintre cele 20 de site-uri pe care le-am încercat. Nouă site-uri au primit o factură curată de sănătate, deoarece testul a raportat că au fost „fixate sau neafectate”. Restul de șase au returnat un mesaj de eroare din cauza faptului că conexiunea a fost transmisă unei rețele de livrare de conținut, iar certificatul CDN nu a corespuns domeniului pe care l-am introdus. Dacă bifați caseta pentru a ignora certificatele au obținut toate aceste rezultate „fixe sau neafectate”, dar pagina de test avertizează că acest lucru poate fi un rezultat fals.

Pagina de test furnizată de LastPass oferă multe mai multe informații. Acesta a raportat zece dintre site-uri ca fiind nesigure. Asta înseamnă că testul nu a putut determina dacă site-ul folosește sau nu OpenSSL, biblioteca crypto afectată de eroarea Heartbleed. Patru dintre site-uri au fost probabil vulnerabile, deoarece folosesc OpenSSL, iar două dintre acestea sunt acum în siguranță. Alte patru site-uri nu erau cu siguranță vulnerabile, iar unul care era cu siguranță vulnerabil este acum în siguranță. Aceasta lasă doar un site care nu a putut fi analizat din cauza unei erori de conectare.

Testerul LastPass Heartbleed raportează, de asemenea, cât de recent a fost modificat certificatul SSL al fiecărui site. Un certificat care a fost modificat la scurt timp după ce știrea despre Heartbleed a fost un indiciu destul de bun că site-ul a fost afectat, dar acum este în siguranță.

În ceea ce privește toate site-urile al căror statut nu este clar, cel mai bun pariu este să aștepți un anunț de pe site-ul propriu-zis. Fii însă prudent. Nu faceți clic pe niciun link de resetare a parolei pe care îl primiți într-un e-mail, deoarece unele dintre acestea sunt fraude. Navigați direct pe site, schimbați parola și asigurați-vă că administratorul de parole preia modificarea.

Țineți pasul cu acoperirea continuă a PCMag a erorii Heartbleed aici.