Vídeo: 🍀 Resultado Quina 5427 (Setembre 2024)
Les notícies d'aquesta setmana han estat dominades per debats sobre l'error Heartbleed, que permet als pirates informàtics obtenir informació directament de la memòria dels servidors segurs afectats. Les dades capturades podrien incloure claus de xifrat, contrasenyes i qualsevol informació enviada mitjançant un canal HTTPS suposadament segur. L’error està present des de fa més de dos anys i, com que l’atac no deixa rastre, no tenim ni idea de quant s’ha explotat.
Qui és vulnerable?
Els assistents de contrasenya de LastPass han afegit una nova arruga a l’informe de verificació de seguretat del producte. Ara, a més de marcar les contrasenyes febles i duplicades, enumera qualsevol dels vostres llocs desats que són o eren vulnerables a Heartbleed. Vaig demanar a diversos companys de LastPass que m’enviessin els resultats d’aquest informe, només per tenir una idea del que hi ha.
Jo tinc més de 200 contrasenyes emmagatzemades a LastPass jo mateix. Només sis d’ells es van declarar vulnerables, i dos ja havien estat pegats. Afegint els resultats dels meus companys, vaig veure 50 llocs vulnerables, amb 30 d’ells encara no pegats.
L’informe LastPass recomana canviar la vostra contrasenya pels llocs que s’han enganxat per solucionar l’error. Per a la resta, suggereix esperar fins que el lloc anunciés una actualització, ja que la vostra contrasenya totalment nova seria encara vulnerable. Per a mi mateix, vull suggerir que Heartbleed sigui una trucada de despertador per canviar totes les contrasenyes, assegurant-me que cadascuna d’elles és forta i que cap lloc web utilitza la mateixa contrasenya. Haureu de canviar les contrasenyes de llocs encara vulnerables un cop solucionades, però canviar-les ara minimitza el potencial d’exposició.
Les millors botigues
Per tenir una altra visió, vaig agafar els 20 llocs més populars de compres d’Alexa i els vaig fer a través d’un parell de proves en línia. L'investigador Filippo Valsorda va crear un test poc després que es noti el comunicat Heartbleed. LastPass també acull una prova a demanda
He trobat que els resultats de la prova de Valsorda són una mica confusos. La prova va retornar un missatge d'error com "pipa trencada" o "temps d'interès i / o" per a cinc dels 20 llocs que vaig provar. Nou llocs van tenir una factura de salut neta, ja que la prova va declarar que estaven "arreglats o no afectats". Els sis restants van retornar un missatge d'error degut a que es va lliurar la connexió a una xarxa de lliurament de contingut i el certificat del CDN no coincideix amb el domini que vaig introduir. Si activeu la casella per ignorar els certificats, tots aquests obtenien un resultat "fix o no afectat", però la pàgina de prova adverteix que pot ser un resultat fals.
La pàgina de prova proporcionada per LastPass proporciona molta més informació. Va informar que deu dels llocs eren possibles insegurs. Això vol dir que la prova no va poder determinar si el lloc utilitza OpenSSL o no, la biblioteca de cripto afectada per l’error Heartbleed. Quatre dels llocs probablement eren vulnerables, perquè utilitzen OpenSSL, i dos d'aquests són segurs. Altres quatre llocs definitivament no eren vulnerables, i un que definitivament era vulnerable ara és segur. Això deixa un lloc que no es va poder analitzar a causa d'un error de connexió.
El testador de LastPass Heartbleed també informa de quantes vegades s'ha canviat el certificat SSL de cada lloc. Un certificat que es va canviar poc després de la notícia sobre Heartbleed va ser una indicació força bona que el lloc estava afectat, però ara és segur.
Pel que fa a tots els llocs el qual el seu estat no és clar, la vostra millor aposta és esperar a un anunci del propi lloc. Però, aneu amb compte. No feu clic a cap enllaç de restabliment de contrasenya que rebeu en un correu electrònic, perquè alguns són fraus. Desplaceu-vos directament al lloc, canvieu la vostra contrasenya i assegureu-vos que el gestor de contrasenyes triï el canvi.
Segueu aquí la cobertura continuada de PCMag de l’error Heartbleed aquí.
