В завершение своей статьи Мэлоун призвал включаться в работу над миром, который будет не только богаче, но и лучше, и свободней… А вот в это, увы, верится с трудом. Да, аэродинамик, баллистик, прочнист и химик могут в наше время работать над ракетным ускорителем много продуктивней, экономя на накладных расходах. Но дело в том, что людей, способных к творческому труду, на планете не так много. Ну а включение в Сеть широких народных масс — что и проделали соцсети, акции которых продолжают падение, — способно породить одну лишь пустую болтовню на глобальной завалинке глобальной деревни, появление которой предсказал Маршалл Маклюэн…

К оглавлению

Жизнь после Heartbleed: как обезопасить себя в интернете

Андрей Васильков

Опубликовано 11 апреля 2014

Критическая ошибка в криптографическом пакете OpenSSL стала одной из самых серьёзных угроз безопасности за всю историю интернета. На протяжении двух лет через неё можно было выполнять скрытый и совершенно бесследный несанкционированный доступ к большей части узлов Всемирной паутины. Как защитить себя во враждебном сетевом окружении, где разом было утрачено доверие к SSL-сертификатам и защищённому протоколу HTTPS?

Из-за уязвимости Heartbleed под ударом оказались серверы популярных сайтов, компьютеры удалённых пользователей и сетевые устройства сложнее хаба. Компания Cisco представила впечатляющий список оборудования, который подвержен данной ошибке. Другие фирмы сейчас либо готовят аналогичные списки, либо просто игнорируют проблему.

_{Игровой сайт mmdoc.ru остаётся уязвимым спустя четыре дня после выхода патча (скриншот сайта possible.lv).}

Даже после выхода патча многие узлы в сети останутся уязвимыми неопределённо долго. Авторизация на сайтах и в почте, использование онлайн-банкинга и интернет-магазинов — всё это теперь крайне рискованно. Пользователям следует перестать полагаться исключительно на репутацию брендов и начать самим предпринимать активные шаги. Вот краткий перечень того, как можно повысить свою безопасность:

проверить домашний роутер по спискам уязвимого оборудования, обновить прошивку (если она вышла после седьмого апреля) или отключить удалённое администрирование;

выполнять проверку наличия незакрытой уязвимости Heartbleed на всех сайтах, работающих по протоколу HTTPS, перед их посещением;

сгенерировать стойкие пароли. Их не обязательно хранить или помнить: есть проверенный способ, о котором написано ниже;

сменить все пароли (а также секретные вопросы для их восстановления);

перейти (где это технически возможно) на двухфакторную авторизацию.

Теперь обо всех перечисленных этапах подробнее. 

Когда стало известно об уязвимости Heratbleed, владельцы сайтов поспешили перейти на исправленную версию пакета OpenSSL и перевыпустили скомпрометировавший себя цифровой сертификат SSL. К сожалению, столь разумно пока среагировали лишь единицы. 

Помимо слегка перегруженного сайта Possible, ещё одна форма для проверки любого сайта представлена здесь

_{Проверка наличия уязвимости Heartlbeed на сайте магазина Google Play}

_{Проверка наличия уязвимости Heartlbeed на сайте Facebook (скриншот сайта lastpass.com).}

_{Проверка сайта дополнений для браузера Firefox (скриншот сайта ssllabs.com).}