Video: 'BÔH DÊH CHAR HIÔK MĂ INH WĂ OEI (Tháng mười một 2024)
Tin tức trong tuần này đã bị chi phối bởi các cuộc thảo luận về lỗi Heartbleed, cho phép tin tặc lấy dữ liệu trực tiếp từ bộ nhớ của các máy chủ bảo mật bị ảnh hưởng. Dữ liệu bị bắt có thể bao gồm khóa mã hóa, mật khẩu và bất kỳ dữ liệu nào được gửi qua kênh HTTPS được cho là an toàn. Con bọ đã xuất hiện được hơn hai năm và vì cuộc tấn công không để lại dấu vết, chúng tôi không biết nó đã bị khai thác bao nhiêu.
Ai dễ bị tổn thương?
Các trình hướng dẫn mật khẩu tại LastPass đã thêm một nếp nhăn mới vào báo cáo Kiểm tra bảo mật của sản phẩm. Giờ đây, ngoài việc gắn cờ mật khẩu yếu và trùng lặp, nó liệt kê bất kỳ trang web nào bạn đã lưu hoặc dễ bị tổn thương với Heartbleed. Tôi đã yêu cầu một số người dùng LastPass gửi cho tôi kết quả của báo cáo đó, chỉ để cảm nhận về những gì ở ngoài kia.
Tôi có hơn 200 mật khẩu được lưu trữ trong LastPass. Chỉ sáu trong số họ được báo cáo là dễ bị tổn thương, và hai đã được vá. Thêm kết quả từ các đồng nghiệp của tôi, tôi thấy 50 trang web dễ bị tổn thương, trong đó 30 trang vẫn chưa được vá.
Báo cáo LastPass khuyên bạn nên thay đổi mật khẩu cho các trang web đã được vá để sửa lỗi. Đối với những người khác, nó đề nghị đợi cho đến khi trang web thông báo cập nhật, vì mật khẩu hoàn toàn mới của bạn vẫn sẽ dễ bị tấn công. Đối với bản thân tôi, tôi khuyên bạn nên dùng Heartbleed như một lời cảnh tỉnh để thay đổi tất cả mật khẩu của mình, đảm bảo rằng mỗi một trong số chúng đều mạnh và không có hai trang web nào sử dụng cùng một mật khẩu. Bạn sẽ phải thay đổi mật khẩu cho các trang web vẫn dễ bị tổn thương sau khi chúng được sửa, nhưng việc thay đổi tất cả chúng bây giờ sẽ giảm thiểu khả năng bị lộ.
Cửa hàng hàng đầu
Để có cái nhìn khác, tôi đã chọn 20 trang web mua sắm phổ biến nhất của Alexa và chạy chúng qua một vài thử nghiệm trực tuyến. Nhà nghiên cứu Filippo Valsorda đã tạo ra một thử nghiệm ngay sau khi tin tức Heartbleed bị phá vỡ. LastPass cũng đang tổ chức một bài kiểm tra theo yêu cầu
Tôi thấy kết quả kiểm tra của Valsorda hơi khó hiểu. Thử nghiệm đã trả về một thông báo lỗi như "đường ống bị hỏng" hoặc "hết thời gian chờ" cho năm trong số 20 trang web tôi đã thử. Chín trang web có một dự luật về sức khỏe sạch sẽ, vì thử nghiệm báo cáo rằng chúng "đã được sửa hoặc không bị ảnh hưởng". Sáu người còn lại trả về một thông báo lỗi do thực tế là kết nối đã được chuyển đến mạng phân phối nội dung và chứng chỉ của CDN không khớp với tên miền tôi đã nhập. Đánh dấu vào ô để bỏ qua các chứng chỉ có tất cả các kết quả "cố định hoặc không bị ảnh hưởng" này, nhưng trang thử nghiệm cảnh báo đây có thể là kết quả sai.
Trang thử nghiệm được cung cấp bởi LastPass cung cấp nhiều thông tin hơn. Nó báo cáo mười trong số các trang web có thể không an toàn. Điều đó có nghĩa là thử nghiệm không thể xác định liệu trang web có sử dụng OpenSSL hay không, thư viện tiền điện tử bị ảnh hưởng bởi lỗi Heartbleed. Bốn trong số các trang web có thể dễ bị tổn thương, vì chúng sử dụng OpenSSL và hai trong số đó hiện an toàn. Bốn trang web khác chắc chắn không dễ bị tổn thương và một trang web chắc chắn dễ bị tổn thương hiện đã an toàn. Điều đó chỉ để lại một trang web không thể được phân tích do lỗi kết nối.
Người kiểm tra Heartbleed LastPass cũng báo cáo gần đây chứng chỉ SSL của mỗi trang web đã được thay đổi như thế nào. Một chứng chỉ đã thay đổi ngay sau khi tin tức về Heartbleed bị phá vỡ là một dấu hiệu khá tốt cho thấy trang web đã bị ảnh hưởng nhưng hiện đã an toàn.
Đối với tất cả các trang web có trạng thái không rõ ràng, cách tốt nhất của bạn là chờ đợi một thông báo từ chính trang web đó. Hãy cảnh giác, mặc dù. Đừng nhấp vào bất kỳ liên kết đặt lại mật khẩu nào bạn nhận được trong email, vì một số liên kết đó là lừa đảo. Điều hướng trực tiếp đến trang web, thay đổi mật khẩu của bạn và đảm bảo trình quản lý mật khẩu của bạn tiếp tục thay đổi.
Theo kịp với phạm vi bảo hiểm liên tục của PCMag về lỗi Heartbleed tại đây.