¿Qué deben hacer los usuarios para protegerse del error Heartbleed OpenSSL?

Acabo de terminar de publicar un blog sobre Heartbleed (ver enlace a continuación). Para responder a su pregunta en resumen, esta vulnerabilidad ha existido durante los últimos 2 años, por lo que cualquier cosa que haya iniciado sesión durante los últimos 2 años podría verse comprometida. Algunas recomendaciones básicas:

• Determine si su sitio es vulnerable a Heartbleed con esta herramienta: Pruebe su servidor para Heartbleed (CVE-2014-0160)
• Si opera un servidor web vulnerable, actualice a OpenSSL 1.0.1go recompile sin la extensión de latido de TLS.
• Si la herramienta mencionada anteriormente muestra que usted es vulnerable, comuníquese con su autoridad de certificación SSL (CA) para revocar su certificado existente y generar una nueva CSR para solicitar un nuevo certificado de la CA.
• Cambie siempre sus contraseñas con frecuencia y nunca use contraseñas comunes en los sitios. Heartbleed no debe ser la razón por la que cambias las contraseñas, esta es una práctica recomendada que siempre se debe seguir independientemente del entorno de amenaza actual.

Defiende tu sitio contra la vulnerabilidad “Heartbleed”

Se ha dicho lo suficiente sobre el error en sí. Centrándose más en QUÉ HACER al respecto (si tiene un negocio en línea de cualquier tipo). Esta es una descripción general de lo que sugeriría:

• Evalúe cuidadosamente cuál es el nivel de sensibilidad de los datos que ha estado “protegiendo” a través de SSL (descubra cuántos certificados SSL y dónde los usa y para proteger qué).

• Tenga en cuenta que puede haber información confidencial que ya está subcontratando (es decir, a proveedores de pago). En este caso, deberá preguntarles qué han hecho sobre este error y cómo han protegido los datos confidenciales que manejan en su nombre.
• Una vez que haya reunido la información anterior, debe decidir si vale la pena tomar alguna medida adicional.
• Si es así, lo primero que debe hacer es reconstruir sus defensas, por lo que volver a emitir certificados y reemplazarlos. Y lo más importante, revocar certificados antiguos. Entonces puede estar seguro de que ningún otro dato (futuro) puede ser interceptado.
• Finalmente, debe evaluar qué tipo de información confidencial estaba “protegiendo” a través de SSL y actuar en consecuencia (es decir, restablecer contraseñas de usuario, cambiar credenciales en servicios de terceros y una posible lista muy larga).

A medida que hay más información disponible, es posible que se deban considerar otras acciones, pero con lo que sabemos hasta ahora, los pasos anteriores me parecen un enfoque sensato.

Estoy de acuerdo con las respuestas de todos en que cambiar la contraseña es obligatorio para protegernos del error Heartbleed.

Hemos notado que si activa la autenticación de 2 factores para su cuenta, entonces puede estar mejor protegido.

Como la autenticación de 2 factores necesita verificación móvil, por lo que es difícil piratear su cuenta.

Formas de resolver la vulnerabilidad:
El resultado de esta vulnerabilidad permite al pirata informático insertar un proceso entre el navegador y el servidor, denominado Man-in-the-Middle, y puede modificar el tráfico entre un navegador web y un servidor web. Aquí hay una lista de algunas precauciones que lo ayudan a prevenir este ataque vulnerable.

• Cambia tu contraseña.

• Cree una contraseña que no pueda ser predecible.

• Para cada cuenta individual, cree una contraseña diferente

• Algunos sitios web útiles como https://sslanalyzer.comodoca.com …, le ayudan a probar cualquier sitio web y encontrar el impacto de este error.

• Evite ingresar a sitios web que parecen ser vulnerables a esta amenaza.

Para obtener más información, puede consultar estas publicaciones de blog que le brindan más información sobre heartbleed

https://blog.whichssl.com/heartb …
https://blog.whichssl.com/heartb …

No todos los sitios web son vulnerables, pero será difícil para el usuario típico determinar si los sitios que utilizan son motivo de preocupación. ( https://gist.github.com/dberkhol … tiene una lista de cuáles de los principales sitios tienen un problema). Si determina que un sitio es vulnerable, probablemente debería evitar hacer algo sensible en ese sitio hasta que los propietarios del sitio hayan actualizado los certificados SSL para ese sitio. Una vez que pueda verificar esto verificando la fecha de emisión en el certificado del servidor como posterior al 8 de abril de 2014, debe cambiar su contraseña para ese sitio antes de usarlo para cualquier otra cosa.

Como persona común, muchos sitios web (y otros servicios de Internet) con los que interactúa a diario dependen de SSL para cifrar y, por lo tanto, proteger los datos que intercambia con esos sitios web (y servicios). Con el error OpenSSL Heartbleed, existe la posibilidad de que alguien capture esos datos cifrados y los descifre para exponerlos.

En otras palabras, la razón por la que confía en SSL es derrotada, porque un atacante podría tomar los medios para descifrar esos datos.

Por lo tanto, es realmente malo.

Como persona común, puede esperar a que los proveedores de servicios y los propietarios de sitios web y servicios reparen el error y creen nuevos certificados para usar con SSL para proteger los datos que intercambia con ellos. Una vez que te den cuenta del hecho de que han hecho su parte del trabajo, puedes comenzar a cambiar de inmediato todas tus contraseñas (cualquier credencial) que utilices para interactuar con esos sitios web y servicios.

Debe probar su sitio para ver si es vulnerable. Necesita actualizar todos los parches y contraseñas de usuario. Puede usar una herramienta que Google lanzó de forma gratuita para realizar pruebas. Google lanza el kit de prueba SSL para la auditoría de seguridad

LastPass ahora verificará todos sus sitios de LastPass, mostrará cuáles han actualizado sus certificados para corregir el error Heartbleed y la acción recomendada de LastPass. Desde el icono de LastPass> Herramientas> Comprobación de seguridad

Si usa Chrome, instale el complemento Chromebleed en
Chromebleed

El blog oficial para la vulnerabilidad de Heartbleed se ha puesto en Heartbleed Bug. Recomendaría usar esto como fuente para todas las consultas relacionadas con esta vulnerabilidad.