heartbleed / openssl / security / ssl

Como navegar na internet nos dias do Heartbleed

A vulnerabilidade “Heartbleed” mudou a maneira como nós, usuários finais, precisamos abordar a navegação na Internet, pelo menos no futuro próximo, enquanto os servidores são resolvidos. Seguir o guia abaixo ajudará você a manter suas informações pessoais seguras e, com sorte, evitar quaisquer consequências, como uma identidade roubada ou conta bancária apagada dessa exploração.

Verifique primeiro

Antes de entrar em qualquer lugar, use uma ferramenta como o teste Filippo.io ou o teste Possible.lv para verificar se um site está vulnerável. Experimente esta extensão do Chrome para verificar automaticamente todos os sites à medida que você navega, embora observe que, como essa extensão requer que você visite a página para verificá-lo, se um site estiver comprometido e você já estiver conectado, sua ID de sessão pode ser roubada; SAIA IMEDIATAMENTE!

Se o teste retornar com algo diferente de “Tudo bom”, NÃO FAÇA LOGIN ; faça logoff se já estiver conectado e prossiga para a próxima etapa:

Contate o site

Verifique o feed do Facebook / Twitter de um site ou entre em contato diretamente com eles e pergunte “Você estava vulnerável ao exploit Heartbleed e, em caso afirmativo, corrigiu seu servidor?”

Se a resposta for “Não, não temos patch”, ou a pessoa com quem você está falando parece não ter certeza se o patch foi aplicado e está ativo, NÃO FAZ LOGIN e tente novamente mais tarde.

Se você receber um “Não, nunca estivemos vulneráveis” com autoridade (possível se eles usassem uma versão do OpenSSL anterior a 1.0.1 ou usassem um servidor da Web baseado em Windows), você está bem; sinta-se à vontade para entrar e usar o site.

Verifique o certificado

Se o teste Heartbleed retornar “tudo bem”, em seguida verifique novamente se, além de aplicar o patch, o site também criou um novo certificado.

O teste Possible.lv inclui em seus resultados se o certificado foi reemitido para um site, mas para verificar você mesmo, navegue até o site e clique no ícone de cadeado verde “HTTPS” em seu navegador. Navegue no pop-up clicando em “Mais informações” ou “Exibir certificado” ou semelhante para obter as informações detalhadas sobre o certificado SSL do site.

Encontre a linha com o rótulo “Data de emissão” ou “Não válido antes” e certifique-se de que a data seja 8 de abril de 2014 ou posterior. Se não for após essa data, entre em contato com o site e diga a eles para reemitir o certificado.

Redefinição de senha

Se o teste retornar “Tudo certo” (ou um administrador do sistema na empresa verificar que o software foi corrigido) e o certificado foi reemitido, agora você está seguro para fazer o login novamente. Faça login e redefina sua senha. E, se você usou essa senha em qualquer outro lugar da internet, repita o processo nesse site também.

Epílogo

Esta é uma tarefa onerosa, especialmente se você usar uma senha em vários sites, mas devido à natureza desse exploit, esta é a maneira mais completa de você, como usuário, minimizar o risco de sua identidade / finanças / etc. sendo roubado de você.

Se ainda não o fez, agora seria um ótimo momento para aprender a usar uma ferramenta como o LastPass , de forma que você possa mais facilmente não usar a mesma senha em todos os lugares e faça uma auditoria quando estiver usando senhas muito simples.

Related Posts

Corrigir heartbleed – Atualizar versão debian openssl com ansible

Atualizando seu certificado SAN em um mundo pós HeartBleed …