Вернуться   Город Апрелевка > Общение > Хайтек

Важная информация

Ответ
 
LinkBack Опции темы
Старый 09.04.2014, 17:27   #1
Местный
 
Аватар для Stalker
 
Регистрация: 13.11.2008
Адрес: Парковая
Сообщений: 2,043
Оставил благодарностей: 685
Поблагодарили 1,173 раз в 550 сообщениях
Восклицание Heartbleed: крупнейшая уязвимость в истории интернета, 2/3 серверов скомпрометированы

Последствия OpenSSL HeartBleed / Хабрахабр


HeartBleed может стать, если уже не стала, самой большой информационной уязвимостью вообще.

Что произошло?
1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed.

Насколько она опасна?
Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.
Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.

Каков масштаб трагедии?
По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.
Уязвимость была/есть, как минимум, у:
  • 8 банков
  • 2 платежных систем
  • 8 VPN-провайдеров
  • mail.yandex.ru
  • mail.yahoo.com
Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг).



Что я предпринял?
Я не мог просто так сидеть и смотреть, как персональные данные пользователей утекают в руки злоумышленников.
Первым делом, я написал некоторым VPN-провайдерам, которые предоставляют доступ по протоколу OpenVPN, т.к. он мог быть уязвим. Затем, я начал искать уязвимости в системах, уязвимости в которых представляют наибольшую угрозу: банки, платежные системы, почтовые/jabber серверы. Я звонил и писал уязвимым сервисам. Как правило, до службы безопасности банков пробраться крайне сложно, и отвечают они только на почту. К сожалению, не все сервисы успели закрыть уязвимость, поэтому я пока воздержусь от оглашения их полного списка и буду их добавлять по мере закрытия уязвимости.


Как минимум, еще 1 известный мне банк все еще подвержен уязвимости.

Что мне делать, как пользователю?
Если вы используете Linux, вам необходимо обновиться до последней доступной версии OpenSSL. Большинство дистрибутивов уже содержат пропатченную версию в репозиториях.
Если вы на OSX, вы, с большой верятностью, используете OpenSSL 0.9.8, которая не подвержена уязвимости, если вы не ставили версию новее вручную.
Если вы используете Windows, то, скорее всего, у вас нет OpenSSL. Если вы устанавливали его вручную (например, через cygwin), то убедитесь, что ваша версия не содержит уязвимости.
После того, как вы обновите OpenSSL перезапустите все приложения, его использующие!
Имейте ввиду — есть немаленькая вероятность, что ваши пароли уже у других лиц. Смените их, но не сейчас. Сейчас не заходите на уязвимые сайты. Проверить сайт на уязвимость можно по ссылкам ниже.

Что мне делать, как владельцу сайта/системному администратору?
Прежде всего, вы должны незамедлительно убедиться, уязвима ваша версия OpenSSL, или нет. Для HTTPS есть три сервиса: Test your server for Heartbleed (CVE-2014-0160), Heartbleed OpenSSL extension testing tool, CVE-2014-0160 и www.ssllabs.com/ssltest/. Обновите версию при необходимости. Убедитесь, что вы ставите версию с патчем, либо же 1.0.1.g.

Если у вас была уязвимая версия OpenSSL, вам следует отозвать старый SSL-сертификат — он, с большой вероятностью, скомпрометирован.
© Хабрацентр им. valdikss / Хабрахабр
Stalker вне форума   Ответить с цитированием
Пользователи (3) благодарят Stalker за это полезное сообщение:
Родион (09.04.2014), kladoiskatels (22.04.2014), vladimir (09.04.2014)
Старый 09.04.2014, 18:00   #2
Местный
 
Аватар для Родион
 
Регистрация: 18.11.2011
Адрес: Цветочный переулок 21
Сообщений: 335
Оставил благодарностей: 166
Поблагодарили 281 раз в 130 сообщениях
Отправить сообщение для Родион с помощью ICQ
По умолчанию

думаю мало кто понял :-) Но мне лично эта уязвимость обеспечила очень "веселый денек"
__________________
Восстанавливаю данные с любых носителей (HDD, RAID массивы, CD\DVD, flash, магнитные ленты), даже в тяжелых случаях. Делаю все что касается компьютеров и сетей, от ремонта ноутбуков до серверов, кластеров и глобальных сетей. Оцифровываю аудио видео материалы.
А еще я вышивааать и на машинке стррррочить умею (С)
Родион вне форума   Ответить с цитированием
Старый 09.04.2014, 18:34   #3
Местный
 
Аватар для Stalker
 
Регистрация: 13.11.2008
Адрес: Парковая
Сообщений: 2,043
Оставил благодарностей: 685
Поблагодарили 1,173 раз в 550 сообщениях
По умолчанию

Проблема усугубилась тем, что эксплойт попал в паблик и школота начала серваки бомбить.

По-хорошему, теперь надо обязательно сменить пароли всем логинившимся в последние 2 дня на https серверы.
Stalker вне форума   Ответить с цитированием
Старый 17.04.2014, 18:05   #4
Местный
 
Аватар для Stalker
 
Регистрация: 13.11.2008
Адрес: Парковая
Сообщений: 2,043
Оставил благодарностей: 685
Поблагодарили 1,173 раз в 550 сообщениях
По умолчанию

Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД
Stalker вне форума   Ответить с цитированием
Старый 17.04.2014, 18:59   #5
Местный
 
Регистрация: 06.08.2013
Сообщений: 464
Оставил благодарностей: 181
Поблагодарили 220 раз в 181 сообщениях
По умолчанию

Бэлин. И надо ж мне было именно вчера билеты купить на их сайте... Stalker, вы имеете в виду сменить пароль от карты или от личного кабинета ржд?
Vasiliska вне форума   Ответить с цитированием
Старый 17.04.2014, 20:12   #6
Местный
 
Аватар для Stalker
 
Регистрация: 13.11.2008
Адрес: Парковая
Сообщений: 2,043
Оставил благодарностей: 685
Поблагодарили 1,173 раз в 550 сообщениях
По умолчанию

Цитата:
Сообщение от Vasiliska Посмотреть сообщение
Бэлин. И надо ж мне было именно вчера билеты купить на их сайте... Stalker, вы имеете в виду сменить пароль от карты или от личного кабинета ржд?
Конкретно на сайте РЖД уязвимость была с 7 по 14 апреля, 15 уже исправили. Если вы в тот период платили, то лучше перевыпустить карту.

Проблема в том, что уязвимы были многие сайты, хотя сейчас они могут все отрицать. Поэтому можно сказать шире — если вы платили картой в инете с 7 по ... апреля, её лучше перевыпустить.
Stalker вне форума   Ответить с цитированием
Старый 17.04.2014, 20:22   #7
Местный
 
Регистрация: 06.08.2013
Сообщений: 464
Оставил благодарностей: 181
Поблагодарили 220 раз в 181 сообщениях
По умолчанию

А мобильных приложений это тоже касается (сбербанк онлайн, app store)?
Vasiliska вне форума   Ответить с цитированием
Старый 17.04.2014, 20:39   #8
Местный
 
Аватар для Stalker
 
Регистрация: 13.11.2008
Адрес: Парковая
Сообщений: 2,043
Оставил благодарностей: 685
Поблагодарили 1,173 раз в 550 сообщениях
По умолчанию

Касается, конечно. Конкретно Сбербанк и Appstore вроде бы не были подвержены.
Кроме того, кража пароля от мобильного банка не так страшна — для любых операций там требуется СМС-подтверждение.
А вот при оплате картой никаких СМС не надо. Поэтому умные люди советуют сделать отдельную карту для оплаты в инете, чтобы не светить основную. В США для этого же придумали Paypal.
Stalker вне форума   Ответить с цитированием
Пользователи, поблагодарившие Stalker за это сообщение:
kladoiskatels (22.04.2014)
Старый 17.04.2014, 21:02   #9
Местный
 
Регистрация: 06.08.2013
Сообщений: 464
Оставил благодарностей: 181
Поблагодарили 220 раз в 181 сообщениях
По умолчанию

А у меня что-то наоборот: вчера ржд спросил пароль, присланный по смс, а СБ ( когда телефонный счет пополняю) не требует... В любом случае, спасибо за инфу. Буду менять отношение к интернет-оплатам))
Vasiliska вне форума   Ответить с цитированием
Старый 21.04.2014, 23:27   #10
Местный
 
Регистрация: 24.03.2013
Сообщений: 485
Оставил благодарностей: 358
Поблагодарили 976 раз в 246 сообщениях
По умолчанию

Телефоны и планшеты проверяем аппликацией Bluebox Heartbleed Scanner.

https://play.google.com/store/apps/d...rtbleedscanner

Для айфона - на аппсторе аналог.

Не то чтобы риск большой, но все же многие проги используют старые библиотеки OpenSSL - станет ясно удалить или пропатчить.
andrewsmile вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Часовой пояс GMT +3, время: 01:46.