Detta r en versttning av

<https://isc.sans.edu/diary/How+to+talk+to+your+kids+%28or+manager%29+about+%22Heartbleed%22/17943>

Publiserad: 2014-04-11
Senast Uppdaterad: 2014-04-11 12:15:54 UTC
av Johannes Ullrich (Version: 1)

 

Hur man pratar med sina barn (eller chef) om "Heartbleed"

 

Med mer massmedial uppmrksamhet riktad mot heartbleed-buggen, fr vi fler frgor frn "vanliga anvndare" om denna.

 

Buggen "Heartbleed" pverkar inte slutanvndare som anvnder Windows. Det pverkar inte vanliga Windows-webblsare (Internet Explorer, Firefox, Chrome). Den kan pverka vissa tredjeparts-program, men troligen behver du inte tgrda ngot program. Den enda allmnt anvnda konsumentplattform som r srbar r Android 4.1.1 men det finns inte mycket du kan gra t det annat n att vnta p en ny programvara fr din telefon.

 

Det r dock mjligt att en webbplats som du anvnt r pverkad eller har pverkats av "Heartbleed". Resultatet kan bli att den standardpraxis fr "sker datoranvndning" du anvnder: som svrgissade lsenord, hlla systemet uppdaterat, anvnda anti-malware, vara frsiktig med lnkar som distribueras via e-post inte hjlper. Det lsenord som du anvnder fr webbplatsen kan snappats upp av ngon angriper denna webbplats. Du kan drfr behva ndra det lsenord som du anvnder fr webbplatsen.

 

Hur tar jag reda p om en sajt r eller har varit srbar fr Heartbleed?

Lmpligast r https://lastpass.com/heartbleed/. De kommer att visa dig om en webbplats r srbar just nu, eller kan ha varit utsatt tidigare. Det finns en risk att webbplatsen ftt ett nytt certifikat som fortfarande anvnder ett gammalt utgivningsdatum, vilket kan leda till att webbplatser identifieras som "Not Fixed".

 

Borde jag byta mitt lsenord?

Om du tror att platsen var srbar, och inte lngre r srbar, s ska du ndra ditt lsenord. Om du r osker, ndra ditt lsenord. Om du ndrar ditt lsenord nr platsen r fortfarande srbar s skadar det frmodligen inte, men det nya lsenordet kan lcka igen vilket gr frndringen overksam.

 

Ska jag undvika platser som fortfarande r srbara?

Ja!

 

Jag fick e-post frn en webbplats som jag anvnder och de ber mig att ndra mitt lsenord.
Ska jag gra det?

Frst av allt: Klicka inte p ngra lnkar i detta mail. G sedan till webbplatsen och ndra lsenord (ven om e-posten var en bluff s skadar det inte att ndra lsenordet, bara du r sker p att du gr till rtt plats). Anvnd "Lastpass"-lnken ovan fr att kontrollera om platsen r/var srbar.

 

Vad ska jag mer gra?

Anvnd standardpraxis fr "sker datoranvndning": anvnd lsenord som r svrta att gissa, hll datorn uppdaterad, anvnd anti-malware, vara frsiktig med lnkar som distribueras via e-post.

 

Och hur ska jag frklara problemet som orsakade allt det hr?

XKCD har en underbar tecknad serie som frklarar det: http://imgs.xkcd.com/comics/heartbleed_explanation.png. Den korta sammanfattningen r: Om en SSL-anslutning r inaktiv finns heartbeat-meddelanden som anvnds fr att kontrollera om den andra sidan fortfarande lyssnar. Till exempel s skickar webblsaren ett meddelande "om du fortfarande r vid liv, svara genom att skicka 4 bokstver 'hund'", och servern svarar med "hund". Fr att anvnda buggen s skulle klienten skicka "svara med 500 bokstver ko". Eftersom "ko" bara r tv bokstver s kommer servern att fylla ut de saknade 498 bokstverna med data frn minnet. Dessa data kan innehlla andra saker servern arbetade med, som anvndarnas lsenord eller privata krypteringsnycklar.