Heartbleed уязвимость: как поучаствовать в спасении себя

Обнаруженная недавно уязвимость CVE-2014-0160 в OpenSSL, которую один из ее первооткрывателей Осси Геррала назвал Heartbleed, не только произвела настоящий фуррор среди айтишников, но и всерьез озадачила мировую бизнес-общественность и всех нас — простых пользователей.

Собственно, удивляться тут есть чему, поскольку по своей масштабности проблема больше напоминает эпидемию. По некоторым данным, около 17% всех онлайн-ресурсов в мире оказались в зоне риска.

И среди них великое множество сайтов банковских, финансовых и торговых организаций, которые использовали OpenSSL и еще не успели принять эффективные меры по минимизации угроз, связанных с Heartbleed.

В этой связи, крайне ответственно относящиеся к вопросам финансовой безопасности и защите персональных данных западные эксперты даже рекомендуют обычному юзеру не ждать, пока его банк, онлайн-магазин или фирма-продавец программного обеспечения разберутся с Heartbleed в своих IT-хозяйствах, а закрывать счета и эккаунты в ненадежных структурах и организациях и срочно искать надежные.

Логика в данном случае понятна: Heartbleed — это вправду плохо, притом до такой степени, что лучше, как говориться, перебдеть, чем … потом искать свои деньги непонятно где.

Пользовательские ID, пароли, номера кредитных карт и пр., в общем, все данные, которые вы когда либо оставляли на сайтах при регистрации, оформлении покупок, кредитов теперь могут стать добычей злоумышленников. А значит, легкомысленное отношение к Heartbleed не уместно. И надо что-то делать. Но что?

Ну, те же эксперты советуют менять пароли. И не просто один или два самых важных, а все и сразу, и чем быстрее, тем лучше. Но прежде необходимо перепроверить все сайты, на которых вы регистрировались или оставляли какие-либо персональные данные, на предмет наличия уязвимости Heartbleed. В Сети уже достаточно онлайн-инструментов, с помощью которых можно быстро протестить нужные ресурсы.

Вот, к примеру: https://filippo.io/Heartbleed/ или https://www.ssllabs.com/ssltest/. Первый просто ищет уязвимость Heartbleed, второй — проверяет SSL/TLS и оценивает безопасность проверяемого сайта по шкале от A (наивысшая) до F (отсутствует).

Кроме того, различные профильные веб-издания публикуют свои списки популярных сайтов, которые уже устранили уязвимость Heartbleed, а также списки тех известных ресурсов, которые по неизвестным причинам все еще не решили «сердечные проблемы». Стоит отметить, что достаточно долго в числе неблагонадежных пребывали такие мегапорталы, как CNN, Weather.com и другие не менее знаменитые сайты.

Уязвимость Heartbleed - что делать и как защитить себя

Однако даже если вы тщательно проверили все сайты, с которыми работаете или просто на них заходите, и думаете, что теперь осталось только обновить пароли, чтобы спать спокойно, то придется вас разочаровать еще раз. Ваша (и наша, скорее всего, тоже) борьба с угрозами Heartbleed на этом совсем не закончена.

Далее рекомендуется отдельно поинтересоваться у администрации каждого из важных для вас сайтов, действительно ли они уже обновили свое программное обеспечение и установили новые SSL-сертификаты, либо подождать, пока администраторы уведомят лично вас о том, что уязвимость Heartbleed уже устранена. И вот только после получения такого подтверждения можно начинать менять пароли, и, опять же, отнестись к этому со всей ответственностью. Отметим также, что двухфакторную аутентификацию, используемую, например, Google, Microsoft и на сайтах других известных компаний, отныне лучше не игнорировать, не смотря на всю ее сложность и хлопотность.

Но и это еще не все. После проверки сайтов и смены паролей в обязательном порядке следует очистить кэш всех веб-браузеров на всех ваших компьютерах и мобильных девайсах, имеющих выход в Интернет, плюс надо удалить кукиз и историю веб-поиска. Без этого, говорят, тоже никак, уже очень лютая эта самая уязвимость Heartbleed в руках недоброжелательных кибер-преступников.

А еще в ближайшее время ваш почтовый ящик будет трещать от разнокалиберного спама с обещаниями устранить проблему Heartbleed раз и навсегда. НО относиться к таким сообщениям тоже надо как к спаму. По той простой причине, что быстрых и одновременно эффективных решений этой мрачной задачки пока не существует.

И в завершение напомним также, что теперь нам всем придется внимательнее проверять качество работы наших банков и, в частности, состояние наших кредиток и движение средств по счетам на предмет своевременного выявления фиктивных операций. Надеемся, нам всем повезет.

[irp]

Что будем искать? Например,VPN

Мы в социальных сетях