Грошова допомога постраждалим у війні!
Магазин спортивного харчування Strong Life
Дерево благодарностей7Благодарности
  • 1 Сообщение от RAMM
  • 4 Сообщение от erazer
  • 2 Сообщение от Karen
+ Ответить в теме
Показано с 1 по 6 из 6.
  1. #1
    Offline
    Пророк

    Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    Днями стало відомо про існування дірки в безпеці протоколу шифрування даних OpenSSL. Проблема існує вже 2 роки. Протягом всього цього періоду хакери, які могли знати про діру, безконтрольно могли читати вашу переписку, знати інформацію про ваші банківські дані, вашу пошту і т.д.

    А тепер про все і доступнішою мовою.

    Дірку в безпеці назвали Heartbleed. Експерти з безпеки інформації вважають, що це найбільша загроза безпеки приватної інформації за весь час існування інтернету – пише Businessinsider.

    Причому це не просто баг в якомусь додатку, який легко можна апдейтнути. Дірка в безпеці серверів, які забезпечують безпечну передачу даних в таких сервісах як Facebook, Gmail та тисячах інших.

    Отже, що таке "Heartbleed баг"?

    Heartbleed – дірка в безпеці OpenSSL – опенсорсний стандарт шифрування даних, який використовують більшість сайтів для шифрування даних, які проходять між сервером та користувачем. Це дає можливість шифрувати ваші дані при обміні повідомленнями в чаті чи електронній пошті.

    Шифрування відбувається в такий спосіб, що якщо хтось перехопить вашу інформацію – це буде лише набір символів, який не має жодного сенсу.

    Коли комп'ютери встановлюють між собою безпечне з'єднання через OpenSSL – вони відправляють один одному так званий heartbeat (серцебиття) – невеликий пакет даних, який просить дати відповідь на запит.

    Через помилку в програмному коді OpenSSL зловмисники отримали можливість надіслати неавторизований heartbeat в такий спосіб, що сервер буде сприймати його як авторизований комп'ютер і може отримати доступ до даних, що зберігаються, зокрема, в пам'яті серверів.

    Наскільки висока загроза для користувача?

    Це найвищий рівень загрози з існуючих до сьогоднішнього дня. Веб сервери можуть тримати в своїй активній пам'яті багато інформації, включаючи паролі, контент, який завантажив користувач. Навіть номери кредитних карток.

    Але найнебезпечніше те, що в хакерів з'явилась можливість доступу до ключів шифрування – кодів, які дають можливість перетворити беззмістовну інформацію, яка передається між користувачем та сервером, у нормальну.

    Маючи такі ключі хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) та розшифровувати її. Наприклад, можна підключитись до вашого інтернет-кабеля, і знімати з нього всю вашу переписку поштою.

    Тобто це означає, що поки на сервері не будуть змінені ключі безпеки – хакери зможуть продовжувати читати вашу інформацію.

    Чи стосується це вас особисто?

    Скоріш за все, так. Це може стосуватись вас як прямо, так і опосередковано. OpenSSL – найпопулярніший стандарт шифрування в інтернеті. Ваші улюблені сайти, сайт вашої компанії, сайт, де ви оплачуєте комунальні послуги чи купуєте книги – багато з них використовують OpenSSL.

    За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогоднішній день сайтів, 66% використовують технології на базі SSL.

    Що ви можете зробити, щоб захистити себе?

    Оскільки проблема існує вже понад 2 роки, і процес доступу до ваших даних не залишав жодних слідів втручання – це означає, що так чи інакше хтось міг отримати доступ до ваших даних. Важливо змінити ваші паролі. Особливо для сервісів, де є важлива та чутлива інформація. Однак, якщо сайт, де зберігається ця інформація, не оновив OpenSSL, зміна вашого паролю нічого не дасть – загроза доступу до даних буде зберігатись.

    Поштові сервіси Gmail та Yahoo.Mail вже "залатали" діру, і просять користувачів змінити свої паролі. Аналогічна ситуація з соціальною мережею Facebook та сервісом зберігання даних Dropbox.

    http://gazeta.ua/articles/science/_p...bezpeci/551872

  2. #2
    Offline
    Пророк

    Re: Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    1. использовав данный эксплоит, есть возможность получить доступ к случайным данным сервера в размере в 64к
    1.1. получить этот доступ не так-то просто
    1.2. это будет относительно случайная область памяти
    1.3. в этой области памяти могут оказаться любые данные - как ключи (или часть ключа), так и просто "мусор"
    1.4. в конечном итоге, использовать данный баг практически не так просто и истерика в СМИ сильно раздута (по аналогии с "проблемой 2000-го года").

    2. проблема не в самом протоколе SSL, а в конкретной реализации - OpenSSL, то есть в конкретной программе. Да 66% используют SSL, но это просто протокол - вопрос сколько из них используют конкретно библиотеку OpenSSL
    2.1. хотфикс уже вышел и доступен для обновления
    2.2. OpenSSL используется по умолчанию на большинстве(?) unix-like систем. На Windows это ПО не используется, и там своя реализация SSL
    2.3. сегодня на большинстве систем сделать соответствующие обновления не составляет никакого труда - сисадмин может обновить необходимое ПО одной командой на сотнях серверов. Часто, это делается вообще автоматически

    3. неверным будет утверждать, что все эти два года "ваши письма кто-то читал" и "к вашим банковским данным имели доступ хакеры". Для того чтобы "прочитать все ваши банковские секреты", хакеру надо будет каждый раз проходить квест заново - отлавливать участки памяти сервера по 64к, перебирать их, искать там ключи для SSL и т.д. Это страшилка СМИ, которым нужны всегда жаренные факты.
  3. #3
    Offline
    Пророк

    Re: Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    ***

    Вот от маил.ру подробностей еще немного: http://habrahabr.ru/company/mailru/blog/218913/
  4. #4
    Offline
    Завсідник

    Re: Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    Как всегда СМИ раздули. Конец света. Простым смертным можно не беспокоиться. Нафиг мы никому не нужны.
  5. #5
    Offline
    Новачок

    Re: Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    у меня было в Контакте взломали пароль
  6. #6
    Offline
    المزيد من النفط

    Re: Паролі втрачають сенс: виявлена найнебезпечніша діра в інтернет-безпеці


    Ответ Сообщение от Sanych Посмотреть сообщение
    у меня было в Контакте взломали пароль
    Я б на вашем месте застрелилась !!!
+ Ответить в теме

Похожие темы

  1. 5 ГБ та 50 ГБ для інтернет користувачів
    fragov в разделе Новини операторів мобільного зв'язку
    Ответов: 0
    Последнее сообщение: 07.04.2011, 16:00
  2. Ответов: 0
    Последнее сообщение: 23.07.2010, 18:35
  3. Інтернет провайдери
    STALKER в разделе Локальні Мережі та Інтернет в Полтаві
    Ответов: 30
    Последнее сообщение: 12.06.2009, 12:23