Os usuários finais precisam fazer algo sobre o bug de segurança do Heartbleed? O que?

10

Vejo nas notícias sobre o bug de segurança "Heartbleed". Como usuário final, preciso fazer algo a respeito?

security passwords openssl heartbleed danorton
fonte
1
Isso mostra uma falta de pesquisa. O problema está no OpenSSL, que é claramente do lado do servidor.
Ramhound
4
@ Ramhound Você poderia fornecer uma referência para isso? Os aplicativos clientes podem conectar-se à biblioteca OpenSSL para fornecer funcionalidades relacionadas ao SSL / TLS (veja, por exemplo, isso ). Além disso, a partir heartbleed.com (o meu negrito destaque): " Quando se é explorado leva ao vazamento do conteúdo da memória do servidor para o cliente e do cliente para o servidor. "
Daniel Beck
@DanielBeck, Ramhound votou negativamente na questão. Qualquer pessoa pode adicionar uma resposta "não". (Eu ainda não selecionou uma resposta, ainda.)
danorton
Embora o vazamento possa ocorrer nos dois lados, um hacker mal-intencionado não atacará o lado do cliente. Eu mantenho minha afirmação sobre a falta de pesquisa. Além disso Apache era o alvo do que eu li
Ramhound
1
@ Ramhound você leu errado. tudo o que for vinculado ao OpenSSL é o alvo. agora, isso inclui o Apache. mas não se limita ao Apache. e, além disso, ainda não entendo como você acha que isso não foi devidamente pesquisado. além disso, você acabou de ser vítima de uma das menores idiotas das 6 Idéias Mais Idiotas da Segurança de Computadores - "não somos um alvo" não é um argumento.
strugee

Respostas:

7

Sim!

  1. Saiba e informe aos outros que todas as informações podem ter sido reveladas e que foram criptografadas apenas pelo HTTPS para muitos servidores Web em todo o mundo.
  2. Você deve entrar em contato com os provedores de serviços e confirmar se eles têm planos ou já tomaram as medidas necessárias para corrigir a vulnerabilidade (presumindo que eles sejam suscetíveis a ela). Isso inclui especialmente bancos, instituições financeiras e outros serviços que mantêm suas informações mais valiosas e sensíveis. Até que eles confirmem que aplicaram as correções, as informações que eles disponibilizam via HTTPS permanecem vulneráveis .
  3. Seus provedores de serviços podem desativar suas senhas anteriores ou exigir que você as altere, mas, se não o fizerem, altere suas senhas depois de aplicar as correções .

Você pode encontrar informações básicas em http://heartbleed.com/

Mais informações técnicas estão disponíveis em:

Para aqueles que não são usuários finais, consulte esta pergunta em serverfault:

danorton
fonte
Como usuário final do linux, tenho o OpenSSH 1.0.1e instalado no meu laptop (Debian Wheezy). Ainda não tenho nada com que me preocupar?
@StaceyAnne OpenSSH não é afetado, OpenSSL é. isso foi um erro de digitação?
strugee
Sim, foi um erro de digitação.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityPresumo que por prestadores de serviços você quer dizer os sites e não os ISPs, certo?
Synetech
@ Synetech, ponto goog, mas a redação é estranha. Você não pode entrar em contato com um "site". Gostaria de saber qual o melhor termo para lá.
Danorton
0

Como usuário do Linux, eu tinha o OpenSSL 1.0.1e instalado na minha instalação do Debian 7.0 (wheezy).

Para consertar, fiz o seguinte:

apt-get update
apt-get upgrade openssl

Isso reinstala o OpenSSL e o substitui por 1.0.1e-2, o OpenSSL fixo para o Debian Wheezy.

O principal problema é realmente do lado do servidor, mas é uma boa idéia atualizar o OpenSSL do cliente, se estiver instalado, apenas para ter certeza. Veja o Aviso de Segurança Debian, DSA-2896-1 openssl - atualização de segurança para mais informações.

Peter Mortensen
fonte
0

Você também deve atualizar seus clientes TLS / SSL que usam o OpenSSL assim que a versão fixa estiver disponível. Particularmente clientes FTPS (FTP sobre TLS / SSL).

Felizmente, uma exploração da vulnerabilidade nos clientes é menos provável do que nos servidores.

Veja também:

Martin Prikryl
fonte
E as pessoas recusaram quando eu disse que ainda usava o Outlook Express 6. Quem está rindo agora? :-P
Synetech