Detta r en versttning av
<https://isc.sans.edu/diary/How+to+talk+to+your+kids+%28or+manager%29+about+%22Heartbleed%22/17943>
Publiserad: 2014-04-11
Senast Uppdaterad: 2014-04-11 12:15:54 UTC
av Johannes
Ullrich (Version: 1)
Med mer massmedial uppmrksamhet riktad mot heartbleed-buggen,
fr vi fler frgor
frn "vanliga anvndare"
om denna.
Buggen "Heartbleed" pverkar inte slutanvndare som anvnder Windows. Det pverkar inte vanliga Windows-webblsare
(Internet Explorer, Firefox, Chrome). Den kan
pverka vissa tredjeparts-program,
men troligen behver
du inte tgrda ngot program. Den enda allmnt anvnda
konsumentplattform som r srbar r Android 4.1.1 men det finns
inte mycket du kan
gra t det annat n att vnta p en
ny programvara fr din telefon.
Det
r dock mjligt att en
webbplats som du anvnt r pverkad eller har
pverkats av "Heartbleed".
Resultatet kan bli att den standardpraxis fr "sker datoranvndning"
du anvnder: som svrgissade lsenord, hlla
systemet uppdaterat, anvnda
anti-malware,
vara frsiktig med lnkar som distribueras via e-post inte hjlper. Det lsenord som du anvnder fr webbplatsen kan snappats upp av ngon angriper denna
webbplats. Du kan drfr behva
ndra det lsenord som du anvnder
fr webbplatsen.
Hur tar jag reda p om en
sajt r eller har varit srbar fr ÓHeartbleedÓ?
Lmpligast r https://lastpass.com/heartbleed/. De kommer att visa dig om en webbplats r srbar just nu,
eller kan ha varit utsatt tidigare. Det
finns en risk att
webbplatsen ftt ett nytt
certifikat som fortfarande anvnder ett gammalt utgivningsdatum,
vilket kan leda till att webbplatser
identifieras som "Not Fixed".
Borde jag byta mitt lsenord?
Om
du tror att platsen var srbar, och inte lngre
r srbar, s ska du ndra ditt lsenord. Om du r osker, ndra ditt lsenord. Om du ndrar ditt lsenord nr
platsen r fortfarande
srbar s skadar det frmodligen inte, men det nya
lsenordet kan lcka igen vilket
gr frndringen overksam.
Ska jag undvika platser som
fortfarande r srbara?
Ja!
Jag
fick e-post frn en
webbplats som jag anvnder och de
ber mig att ndra mitt lsenord.
Ska jag gra det?
Frst
av allt:
Klicka inte p ngra lnkar i detta mail. G sedan till
webbplatsen och ndra lsenord
(ven om e-posten
var en bluff s skadar det inte att ndra lsenordet, bara du r sker p att du gr till
rtt plats). Anvnd "Lastpass"-lnken
ovan fr att kontrollera
om platsen r/var srbar.
Vad ska jag mer gra?
Anvnd
standardpraxis fr "sker datoranvndning": anvnd lsenord som r svrta att gissa, hll datorn uppdaterad, anvnd anti-malware, vara
frsiktig med lnkar som distribueras via e-post.
Och
hur ska jag frklara
problemet som orsakade allt det hr?
XKCD har en underbar
tecknad serie som frklarar det: http://imgs.xkcd.com/comics/heartbleed_explanation.png.
Den korta sammanfattningen r: Om en SSL-anslutning r
inaktiv finns heartbeat-meddelanden som anvnds fr att kontrollera om den andra sidan fortfarande lyssnar. Till
exempel s skickar webblsaren
ett meddelande "om
du fortfarande r vid liv, svara genom att skicka 4 bokstver
'hund'", och servern svarar med "hund". Fr att anvnda buggen
s skulle klienten skicka "svara med
500 bokstver ÕkoÕ".
Eftersom "ko" bara r tv bokstver
s kommer servern att fylla ut de saknade 498 bokstverna med
data frn minnet. Dessa data kan innehlla andra saker servern arbetade
med, som anvndarnas lsenord eller privata krypteringsnycklar.