Heartbleed - время менять пароли!

13 апреля 2014, 21:57
|
sander

Друзья, это важно предупреждение всем кто… ВСЕМ.
Да, это относится к трейдигу — все у кого есть личные кабинеты, почта, любые регистрации — стоит сменить пароль.

Интернет столкнулся с, возможно, самой серьёзной опасностью со времени своего создания.
Дело в том, что скомпрометирован OpenSSL 1.0.1 — это такой протокол, который использовался для установления доверенного соединения между сервером и клиентом. Представьте себе, что некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. (конспирологи, МОЛЧАТЬ!)
Чем это опасно? Масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Интересно, что эксплуатация данной уязвимости не оставляет никаких следов в логах веб-сервера.

Вот несколько ссылок по теме.
http://habrahabr.ru/post/218609/
http://habrahabr.ru/company/yandex/blog/218951/
http://habrahabr.ru/post/219151/
http://habrahabr.ru/post/218661/

СМЕНИТЕ ПАРОЛИ!!!

Кому интересно — вот как действует сервер, подврежденный уязвимости:

Ключевые слова:
безопасность

16 | ★4

7 комментариев

Не совсем всегда трафик, а случайное содержимое памяти сервера, а уж если вытащить приватный ключ с сервера, то тогда — да) прослушивать трафик.
п.с. соревнование устроенное cloudflare показало что вытащить приватный ключ с сервера не такая уже и сложная задача.

Алексей

13 апреля 2014, 22:04
Ответить

лучше оберну монитор алюминиевой фольгой

Edward

13 апреля 2014, 22:14
Ответить

спать, фольга не работает, вот кактус всегда выручал

Teslaboy

14 апреля 2014, 08:39
Ответить

А зачем биткоин повашему? :) На самом деле он майнит все эти SSL и прочее, и всё больше и больше, больше и больше.

AndyI

13 апреля 2014, 22:54
Ответить

AndyI, точно!!!111 :) :) :)
Главное, что для данной уязвимости не нужно ничего, кроме скрипта для отправки запросов.

sander

13 апреля 2014, 23:00
Ответить

-1

AndyI, smart-lab.ru/blog/news/162120.php

nik

14 апреля 2014, 05:48
Ответить

… кстати вброс о срочной тотальной смене паролей не может быть, как раз и необходим тем, кто нашёл некую(необязательно описываемую)уязвимость и вложился в некую техническую возможность поиметь самых осторожных и предусмотрительных???
Я полный чайник, но при смене паролей обычно нужно засветить и старый, и новый)))