ruSKweb.ru

"Самая хорошая работа – это высокооплачиваемое хобби"

Генри Форд

Уязвимость Heartbleed – или самое время сменить пароли

hartbleed

Salut друзья. Пару дней назад в мировом интернет сообществе поднялась волна паники в связи с обнаружением очень серьезной уязвимости в протоколе OpenSSL, названной Heartbleed,  который используется миллионами сайтов для шифрования своих данных.

Так же данная ошибка Heart bleed известна под номером CVE-2014-0160. Благодаря этой дыре злоумышленники могли получать доступ к данным пользователей по всему миру и при этом не оставлять никаких следов! Вы понимаете что это означает? Узнать наверняка были ли ваши данные украдены теперь не представляется возможным.

По мнению экспертов в сфере интернет безопасности это самая серьезная обнаруженная угроза за последние годы.

При этом в рунете данная новость как-то прошла без особого размаха, видимо со всеми этими событиями на Украине не до того сейчас. В основном сейчас в зарубежных СМИ идет истерия на тему Heartbleed.

И лишь только Яндекс как бы невзначай вывесил объявление для своих пользователей с рекомендацией сменить пароли, для профилактики =)

Как защититься от уязвимости Heartbleed?

И что же делать сейчас простым юзверям? Для начала без паники – крупнейшие сайты уже  отреагировали на данное сообщение и залатали дыру.

1. Рекомендуется сменить пароли на ваших почтовых сервисах, социальных сетях и прочих крупных сайтах с доступом к конфиденциальной информации.

2. По возможности используйте одноразовые СМС пароли . К примеру я в своих интернет-кошельках использую именно такие, и даже если вдруг мой аккаунт взломают, то деньги все равно вывести не смогут без доступа к телефону.

3. Привяжите аккаунты к мобильному номеру, если еще этого не сделали и есть такая возможность. Включите смс уведомления и почаще заглядывайте в историю операций и логинов. Осторожность никогда не помешает.

4. С другой стороны, менее серьезные сайты могли проигнорировать угрозу или не успеть ее залатать. В таком случае по мнению экспертов, смена пароля не только не поможет, но еще и навредит. Поэтому для каждого сайта пароли должны быть уникальными.

Кроме того, команда Касперского запустила утилиту, которая позволяет протестировать сайты в онлайн режиме на наличие уязвимости. Вот ссыль – http://filippo.io/Heartbleed/

heart bleed

Откуда ветер дует

По странному стечению обстоятельств уязвимость Heartbleed обнаружена почти в одно время спецами из Гугла и Codenomicon.  Некоторые связывают это с нашумевшим товарищем Сноуденом, который поведал много интересных секретиков о работе разведки США и агентстве национальной безопасности.

сноуден Heartbleed

Даже выдвигаются предположения, что АНБ прекрасно знало о наличии данной ошибки вот уже несколько лет и использовало ее в своих целях.

Подробнее об этом можно почитать тут, осторожно, буржуйский язык – http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html  

Лично я нисколько бы не удивился такому развитию событий, ведь в АНБ сотни если не тысячи сотрудников работают в сфере информационной безопасности в интернете и среди прочих задач – обнаружение уязвимостей занимает не последнее место. А уж как эти уязвимости использовать и оглашать ли о них всему миру это на их усмотрение.

Какое-то время по молодости я тоже учился пару курсов в универе на факультете информационной безопасности (ФИБ) и наслушался немало разных баек и вселенских заговоров =) Верить им или нет дело каждого, истина как всегда где-то посередине.

Апд.

  • Подборка статей на Хабре, посвященных Heartbleed – клик
  • История об утрате персональных данных банковских карт на сайте РЖД из-за уязвимости Heartbleed – клик
Понравилась статья? Жми лайк:

30 комментариев

  1. Александр пишет:

    Привет…Прошел на сайт, проверил уязвимость…Проверил)))С английским на Вы и осторожно, поэтому решил воспользоваться переводчиком от г-на Яндекса и вот какой результат я увидел

    “…Это может означать, что сервер находится в безопасности, мы просто не можем быть уверены на 100% …”

    Как-то обнадеживающе переведено)))А если быть точнее, то слово “просто” звучит как-то по детски…Обычно я использовал это слово, чтобы снять с себя ответственность за содеянное))))

    Не знаю как кому, а мне перевод показался забавным =)

    [Ответить]

    Сергей Кобзарь отвечает:

    У меня тоже самое сообщение выдает) Скорей всего просто настройками сервера у хостинга закрыт доступ, так что можно не переживать.

    [Ответить]

    Александр отвечает:

    Даже ни капли не расстроился))))

    [Ответить]

    Денис отвечает:

    Аналогичная ситуация

    [Ответить]

    Alexander Meier отвечает:

    Ребят, а причем тут наши обычные сайты? Они данной уязвимости не подвержены. Речь ведь об OpenSSL. Ну это, грубо говоря, сайты с https.

    А про пароли – это да, менять нужно обязательно. Это ладно Гуглы-Шмуглы быстро все обновили у себя, а наши горе-админы могут годами такие дыры держать. Так что, проверяйте вышеуказанным сервисом не свои сайты, а всяческие интернет-банки, муниципальные сайты, госуслуги и проч. Если вдруг сервис покажет наличие уязвимости, трубите админам этих сайтов.

    [Ответить]

    Сергей Кобзарь отвечает:

    При желании можно прикрутить и на WP SSL, плагины видел, но обычным блогам без надобности конечно)

    Я первым делом пошел проверять вк, яндекс, гугл и т.д. =) залатали вроде

    [Ответить]

    Alexander Meier отвечает:

    Можно, конечно, но смысл? Разве, что на админку, или на вход в админку. Во фронтенде-то нечего шифровать. Кстати, читал на Хабре статью? http://habrahabr.ru/post/218661/ Это на тему, кто и как латает =) (по крайней мере, на момент публикации поста и последних камментов).

    [Ответить]

    Сергей Кобзарь отвечает:

    Да уж, почитал, особенно комменты доставили, как некоторые банки не чешутся даже… печаль беда, вскоре будем ждать массовую волну киберпреступлений.

    Слушай, у тебя же как раз блог по профилю, про безопасность в сети. Напиши если будет время обзорную статью насчет этой уязвимости и что с ней связано, будет интересно почитать твое мнение.

    [Ответить]

    Alexander Meier отвечает:

    Хотел написать, но в график вообще не укладываюсь, времени совершенно не хватает. А пока соберусь, так уже и не актуально это будет =) Кстати, сегодня читал, что Андроид 4.1.1 имеет эту уязвимость, а девайсов на нем более 1 млрд. в мире. Вот уж где раздолье для кибермошенников =) Хотя патч вроде как уже выпущен, главное, чтобы вендоры запустили обновление на своих устройствах.

    [Ответить]

    Сергей Кобзарь отвечает:

    Ого, вот это уже совсем не весело… точно будем долго расхлебывать

    [Ответить]

  2. Pasagir пишет:

    Мда..вот уж новость..
    Ну, с другой стороны, если данными об этой дыре владели лишь несколько крупных ребят. То вряд ли что-то угрожает простым смертным..

    Но вот уникализовать пароли и подключить везде мобильник и смс оповещения, лишним никогда не будет.

    [Ответить]

    Сергей Кобзарь отвечает:

    В том то и проблема, никто не знает как много людей владели инфой о данной дырке. Может только пару человек а может половина хакерских сообществ, которые на автомате выкачивали все подряд данные и собрали базы с паролями которые будут лежать до лучших времен

    [Ответить]

  3. Дмитрий пишет:

    Мобилку подключил ко всему, что важно.а пароли менять.. ну их. я слишком мелкий человек, что бы меня ломать.

    [Ответить]

    Сергей Кобзарь отвечает:

    :smile: а вдруг станешь большой шишкой а пароли уже засвечены =)

    [Ответить]

    Дмитрий отвечает:

    когда стану большой шишкой – заведу новую почту :grin:

    [Ответить]

  4. Kristina пишет:

    Ой я про эту новость в игре World of tanks узнала =) Они даже провели акцию – смени пароль – получи игровое золото) Заботятся о своих игроках)

    [Ответить]

    Сергей Кобзарь отвечает:

    :smile: о задницах они своих заботятся

    [Ответить]

    Kristina отвечает:

    Ну зачем так грубо?))
    Я между прочим пароль только за золото и меняю – просто так лень)

    [Ответить]

    Сергей Кобзарь отвечает:

    суровая правда онлайн игр =) я верю только играм с абонентской платой)

    [Ответить]

    Kristina отвечает:

    А я вот не могу в себе искоренить желание получать все на халяву) Меня просто жаба задавила бы платить за нарисованные пиксели) Хотя вон сайт по сути тоже из пикселей состоит, а я подумываю ему приобрести уникальный логотипчик =) Эх, женская логика – ничего не скажешь))
    А ты че не спишь? 0_о

    [Ответить]

    Сергей Кобзарь отвечает:

    Перефразирую известную цитату – “Я не настолько богатый, что бы позволить себе играть в бесплатные онлайн игры” =) Уже накушался в свое время. Вся проблема ftp игр в том что в какой-то момент игрок просто перестает получать положительные эмоции, если не начнет донатить.
    Придется тратить либо очень много времени на нудные занятия в игре, либо довольствоваться местом аутсайдера среди игроков.

    Я редко сплю в такое время)

    [Ответить]

    Kristina отвечает:

    Да я понимаю все это =) И поэтому как игра перестает быть фаном – забываю ее) Я вообще к этому всему легко отношусь – ну не нагибаю я без донатских танков или голдовых снарядов и что =) Зато когда попаду в команду к нубам – буду всех мочить)
    А вообще блогинг очень много времени занимает и играть некогда)

    [Ответить]

    Alexander Meier отвечает:

    Молодцы танкисты =) Все бы так. А то многие крупнейшие сервисы до сих пор ни рассылку не сделали, ни внутри сервисов никак не уведомляют клиентов.

    [Ответить]

    Сергей Кобзарь отвечает:

    Я кстати очень удивился что почти никто не оповещал об этой уязвимости своих пользователей, в новостях тихонько проскочило и все. Разве что на спец. форумах и сайтах можно было прочитать и то не сразу.

    [Ответить]

    Alexander Meier отвечает:

    Ага, и не говори. На IT и ИБ площадках тема-то сразу поднялась, а вот сами сервисы и игроки рынка что-то помалкивают (большинство). Боятся панику посеять что ли?

    [Ответить]

    Сергей Кобзарь отвечает:

    Скорей всего. А так же ответственности за утерю данных своих клиентов.

    [Ответить]

    Alexander Meier отвечает:

    Уж лучше предупредить, чем пользователи узнают от третьих лиц, что их данные утекли, а контора молчала. Как по мне, так это еще бОльшая ответственность

    [Ответить]

  5. […] цепи печальных событий или подлинного намерения, что стоит за этими ошибками. В это время Snowden, Prim и др., теории массового заговора […]

  6. Татьяна пишет:

    Ха, я тоже узнала об этой уязвимости от мужа, когда он в танки играл)))
    Там еще ссылки были, на статьи – как защитить аккаунт в гугл, и т.д. и ссылка на проверку сервера SSL.
    Все равно так или иначе дыры будут появляться, со временем. Прогресс не стоит на месте. Вообще практику регулярной смены паролей, где бы то ни было, надо взять за правило, без фанатизма, конечно…

    [Ответить]

    Сергей Кобзарь отвечает:

    Угу, тут проблема как раз в том что бы знать, где уже дыру залатали и можно менять пароли, а где на это дело радостно забили, подставляя своих пользователей

    [Ответить]

Оставить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: