Уязвимость Heartbleed — или самое время сменить пароли
Salut друзья. Пару дней назад в мировом интернет сообществе поднялась волна паники в связи с обнаружением очень серьезной уязвимости в протоколе OpenSSL, названной Heartbleed, который используется миллионами сайтов для шифрования своих данных.
Так же данная ошибка Heart bleed известна под номером CVE-2014-0160. Благодаря этой дыре злоумышленники могли получать доступ к данным пользователей по всему миру и при этом не оставлять никаких следов! Вы понимаете что это означает? Узнать наверняка были ли ваши данные украдены теперь не представляется возможным.
По мнению экспертов в сфере интернет безопасности это самая серьезная обнаруженная угроза за последние годы.
При этом в рунете данная новость как-то прошла без особого размаха, видимо со всеми этими событиями на Украине не до того сейчас. В основном сейчас в зарубежных СМИ идет истерия на тему Heartbleed.
И лишь только Яндекс как бы невзначай вывесил объявление для своих пользователей с рекомендацией сменить пароли, для профилактики =)
Как защититься от уязвимости Heartbleed?
И что же делать сейчас простым юзверям? Для начала без паники — крупнейшие сайты уже отреагировали на данное сообщение и залатали дыру.
1. Рекомендуется сменить пароли на ваших почтовых сервисах, социальных сетях и прочих крупных сайтах с доступом к конфиденциальной информации.
2. По возможности используйте одноразовые СМС пароли . К примеру я в своих интернет-кошельках использую именно такие, и даже если вдруг мой аккаунт взломают, то деньги все равно вывести не смогут без доступа к телефону.
3. Привяжите аккаунты к мобильному номеру, если еще этого не сделали и есть такая возможность. Включите смс уведомления и почаще заглядывайте в историю операций и логинов. Осторожность никогда не помешает.
4. С другой стороны, менее серьезные сайты могли проигнорировать угрозу или не успеть ее залатать. В таком случае по мнению экспертов, смена пароля не только не поможет, но еще и навредит. Поэтому для каждого сайта пароли должны быть уникальными.
Кроме того, команда Касперского запустила утилиту, которая позволяет протестировать сайты в онлайн режиме на наличие уязвимости. Вот ссыль — http://filippo.io/Heartbleed/
Откуда ветер дует
По странному стечению обстоятельств уязвимость Heartbleed обнаружена почти в одно время спецами из Гугла и Codenomicon. Некоторые связывают это с нашумевшим товарищем Сноуденом, который поведал много интересных секретиков о работе разведки США и агентстве национальной безопасности.
Даже выдвигаются предположения, что АНБ прекрасно знало о наличии данной ошибки вот уже несколько лет и использовало ее в своих целях.
Подробнее об этом можно почитать тут, осторожно, буржуйский язык — http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
Лично я нисколько бы не удивился такому развитию событий, ведь в АНБ сотни если не тысячи сотрудников работают в сфере информационной безопасности в интернете и среди прочих задач — обнаружение уязвимостей занимает не последнее место. А уж как эти уязвимости использовать и оглашать ли о них всему миру это на их усмотрение.
Какое-то время по молодости я тоже учился пару курсов в универе на факультете информационной безопасности (ФИБ) и наслушался немало разных баек и вселенских заговоров =) Верить им или нет дело каждого, истина как всегда где-то посередине.
Апд.
- Подборка статей на Хабре, посвященных Heartbleed — клик
- История об утрате персональных данных банковских карт на сайте РЖД из-за уязвимости Heartbleed — клик
Комментариев: 30
Привет…Прошел на сайт, проверил уязвимость…Проверил)))С английским на Вы и осторожно, поэтому решил воспользоваться переводчиком от г-на Яндекса и вот какой результат я увидел
«…Это может означать, что сервер находится в безопасности, мы просто не можем быть уверены на 100% …»
Как-то обнадеживающе переведено)))А если быть точнее, то слово «просто» звучит как-то по детски…Обычно я использовал это слово, чтобы снять с себя ответственность за содеянное))))
Не знаю как кому, а мне перевод показался забавным =)
У меня тоже самое сообщение выдает) Скорей всего просто настройками сервера у хостинга закрыт доступ, так что можно не переживать.
Даже ни капли не расстроился))))
Аналогичная ситуация
Ребят, а причем тут наши обычные сайты? Они данной уязвимости не подвержены. Речь ведь об OpenSSL. Ну это, грубо говоря, сайты с https.
А про пароли — это да, менять нужно обязательно. Это ладно Гуглы-Шмуглы быстро все обновили у себя, а наши горе-админы могут годами такие дыры держать. Так что, проверяйте вышеуказанным сервисом не свои сайты, а всяческие интернет-банки, муниципальные сайты, госуслуги и проч. Если вдруг сервис покажет наличие уязвимости, трубите админам этих сайтов.
При желании можно прикрутить и на WP SSL, плагины видел, но обычным блогам без надобности конечно)
Я первым делом пошел проверять вк, яндекс, гугл и т.д. =) залатали вроде
Можно, конечно, но смысл? Разве, что на админку, или на вход в админку. Во фронтенде-то нечего шифровать. Кстати, читал на Хабре статью? http://habrahabr.ru/post/218661/ Это на тему, кто и как латает =) (по крайней мере, на момент публикации поста и последних камментов).
Да уж, почитал, особенно комменты доставили, как некоторые банки не чешутся даже… печаль беда, вскоре будем ждать массовую волну киберпреступлений.
Слушай, у тебя же как раз блог по профилю, про безопасность в сети. Напиши если будет время обзорную статью насчет этой уязвимости и что с ней связано, будет интересно почитать твое мнение.
Хотел написать, но в график вообще не укладываюсь, времени совершенно не хватает. А пока соберусь, так уже и не актуально это будет =) Кстати, сегодня читал, что Андроид 4.1.1 имеет эту уязвимость, а девайсов на нем более 1 млрд. в мире. Вот уж где раздолье для кибермошенников =) Хотя патч вроде как уже выпущен, главное, чтобы вендоры запустили обновление на своих устройствах.
Ого, вот это уже совсем не весело… точно будем долго расхлебывать
Мда..вот уж новость..
Ну, с другой стороны, если данными об этой дыре владели лишь несколько крупных ребят. То вряд ли что-то угрожает простым смертным..
Но вот уникализовать пароли и подключить везде мобильник и смс оповещения, лишним никогда не будет.
В том то и проблема, никто не знает как много людей владели инфой о данной дырке. Может только пару человек а может половина хакерских сообществ, которые на автомате выкачивали все подряд данные и собрали базы с паролями которые будут лежать до лучших времен
Мобилку подключил ко всему, что важно.а пароли менять.. ну их. я слишком мелкий человек, что бы меня ломать.
🙂 а вдруг станешь большой шишкой а пароли уже засвечены =)
когда стану большой шишкой — заведу новую почту 😀
Ой я про эту новость в игре World of tanks узнала =) Они даже провели акцию — смени пароль — получи игровое золото) Заботятся о своих игроках)
🙂 о задницах они своих заботятся
Ну зачем так грубо?))
Я между прочим пароль только за золото и меняю — просто так лень)
суровая правда онлайн игр =) я верю только играм с абонентской платой)
А я вот не могу в себе искоренить желание получать все на халяву) Меня просто жаба задавила бы платить за нарисованные пиксели) Хотя вон сайт по сути тоже из пикселей состоит, а я подумываю ему приобрести уникальный логотипчик =) Эх, женская логика — ничего не скажешь))
А ты че не спишь? 0_о
Перефразирую известную цитату — «Я не настолько богатый, что бы позволить себе играть в бесплатные онлайн игры» =) Уже накушался в свое время. Вся проблема ftp игр в том что в какой-то момент игрок просто перестает получать положительные эмоции, если не начнет донатить.
Придется тратить либо очень много времени на нудные занятия в игре, либо довольствоваться местом аутсайдера среди игроков.
Я редко сплю в такое время)
Да я понимаю все это =) И поэтому как игра перестает быть фаном — забываю ее) Я вообще к этому всему легко отношусь — ну не нагибаю я без донатских танков или голдовых снарядов и что =) Зато когда попаду в команду к нубам — буду всех мочить)
А вообще блогинг очень много времени занимает и играть некогда)
Молодцы танкисты =) Все бы так. А то многие крупнейшие сервисы до сих пор ни рассылку не сделали, ни внутри сервисов никак не уведомляют клиентов.
Я кстати очень удивился что почти никто не оповещал об этой уязвимости своих пользователей, в новостях тихонько проскочило и все. Разве что на спец. форумах и сайтах можно было прочитать и то не сразу.
Ага, и не говори. На IT и ИБ площадках тема-то сразу поднялась, а вот сами сервисы и игроки рынка что-то помалкивают (большинство). Боятся панику посеять что ли?
Скорей всего. А так же ответственности за утерю данных своих клиентов.
Уж лучше предупредить, чем пользователи узнают от третьих лиц, что их данные утекли, а контора молчала. Как по мне, так это еще бОльшая ответственность
Ха, я тоже узнала об этой уязвимости от мужа, когда он в танки играл)))
Там еще ссылки были, на статьи — как защитить аккаунт в гугл, и т.д. и ссылка на проверку сервера SSL.
Все равно так или иначе дыры будут появляться, со временем. Прогресс не стоит на месте. Вообще практику регулярной смены паролей, где бы то ни было, надо взять за правило, без фанатизма, конечно…
Угу, тут проблема как раз в том что бы знать, где уже дыру залатали и можно менять пароли, а где на это дело радостно забили, подставляя своих пользователей