На прошлой неделе случилось одно из самых крупных событий в сфере IT безопасности, да и в сфере IT в целом. Была обнаружена уязвимость в самом распространенном криптографическом пакете - openssl. Дыра серьезная и позволяет злоумышленнику невозбранно читать до 64К из оперативной памяти уязвимого сервера. Это круто.
“
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
“
на самом деле, не то что бы злоумышленник запускал у себя PoC и получал в xls со всеми логинами и паролями мира. Например умыкнуть хотя бы 1 связку логина и пароля со специального “конкурсного” сервера заняло у сообщества пару часов.
Через 5-7 часов после публикации уязвимости - 08.04.2014 где-то в 12 ночи по Москве самые расторопные уязвимости закрыли (наш хостинг я закрыл через 5 часов). Многие не закрыли до сих пор, в том числе некоторые платежные шлюзы.
Что делать? Вообще паниковать, беспокоиться за фонд свободного программного обеспечения (им был нанеcен колоссальный урон репутации), менять пароли, чаще дышать свежим воздухом и меньше бывать в интернете. Мониторьте активность по вашему банковскому счету. Постарайтесь сейчас сменить пароли. Постарайтесь не забыть сменить их через месяц. Вообще пару-тройку раз в год менять пароли - это верный путь. Очень внимательно следите за своей почтой - не умыкнут ли ее. Mail.ru, gmail, yandex отчитались что у них все в безопасности.
Остальное будет просто перепост, так что я просто прикреплю ссылочки - почитайте сами.
начало
последствия
немного паранойи
список сайтов, на которых точно нужно менять пароль
Андрей М.
