Vídeo: Heartbleed Exploit - Discovery & Exploitation (Novembro 2024)
Nesta semana, descobrimos que uma biblioteca de criptografia popular ficou totalmente vulnerável a ataques por dois anos. O bug, chamado "Heartbleed" por seus descobridores, permite que os cibercriminosos subvertam o serviço de pulsação que mantém uma conexão segura aberta entre dois computadores. Uma vez dentro, eles podem roubar chaves de segurança, credenciais de login e todos os dados criptografados. Pior, esse ataque não deixa rastro.
Não há nada que você, pessoalmente, possa fazer para corrigir o problema. Os proprietários dos servidores que executam o software vulnerável precisam agir. Especificamente, eles precisam atualizar para a versão mais recente não vulnerável, revogar todas as chaves de segurança do site e emitir novamente as chaves. No entanto, você pode fazer algo sobre suas senhas expostas; mude todos eles!
Quem é vulnerável?
É verdade que nem todos os sites seguros são vulneráveis, embora os especialistas calculem que até dois terços de todos os servidores podem ter o bug. Você pode verificar qualquer domínio específico usando este teste. O teste oferecido pelo LastPass fornece ainda mais informações. Por exemplo, um site que usa o OpenSSL e regenerou seus certificados de segurança nos últimos dois dias pode ter sido vulnerável antes.
Você vai querer testar e testar todos os sites seguros que você usa. Anote todas as que estão atualmente vulneráveis; você terá que revisitar isso. Na verdade, pense cuidadosamente nos vulneráveis. Você realmente precisa e usa-os? Caso contrário, considere apagar seu perfil e todas as outras informações e fechar a conta.
Mude-os todos!
Não importa se sua senha atual é "password" ou "C5H8 & bY! 6BDB6g66rRWJ". Por mais forte que seja, os bandidos podem retirá-lo da memória do servidor de buggy. Qualquer que seja a senha, eles a possuem, juntamente com seu nome de usuário e quaisquer dados seguros que você transmitiu. Além disso, outros sites em que você usou a mesma senha também são expostos.
Seus sites seguros se enquadram em três categorias, os que ainda estão vulneráveis, os que eram vulneráveis no passado e os que nunca foram vulneráveis. É absolutamente essencial alterar sua senha naquelas que estavam vulneráveis no passado. Não faria mal mudar aqueles que parecem nunca estar vulneráveis, principalmente porque você não pode ter certeza. Quanto aos que permanecem vulneráveis, será necessário alterá-los novamente, mas, ao fazer uma varredura limpa agora e garantir que não haja senhas duplicadas, você facilitará a segunda rodada de atualizações de senhas.
Como fazer isso
Ficar on-line sem um gerenciador de senhas é um negócio arriscado. Se você ainda não usa um, agora é a hora de começar. A escolha dos editores O LastPass é gratuito. Dashlane, também uma CE, custa apenas US $ 19, 99 por ano.
O LastPass e o Dashlane oferecem um relatório de análise de senha que identifica senhas fracas e duplicadas. No relatório, você pode clicar em um link para visitar um site e alterar a senha; o gerenciador de senhas receberá a alteração. Não se preocupe em criar uma senha. Deixe o gerenciador de senhas gerar algo que ninguém jamais poderia adivinhar.
Nossa própria Jill Duffy relata que ela limpou sua situação de senha em cinco semanas, ajudada por Dashlane. As notícias do Heartbleed exigem um pouco mais de urgência. Aconselho a substituição de todas as suas senhas por novas e únicas o mais rápido possível.
Não acabou
Alterar a senha em sites que ainda estão vulneráveis ao bug do Heartbleed garante pelo menos que você não exponha outros sites que usam a mesma senha. No entanto, a senha totalmente nova está totalmente em risco. Se possível, fique longe desses sites até que eles sejam corrigidos. E quando o fizerem, altere a senha mais uma vez. Pelo menos você terá a ajuda do seu confiável gerenciador de senhas para fazer o trabalho.