Heartbleed: Галактика в опасности!

Ответить
  1. 10 г. назад

    #0 andrewks

    11.04.2014 08:02:28

    Хакеры могут получать доступ к электронной почте, взламывать системы защиты и получать доступ к данным на мобильных телефонах благодаря уязвимости в широко распространенном криптографическом пакете Open SSL, который применяется для шифрования данным при передаче информации. Уязвимость получила название Heartbleed.

    OpenSSL используется такими компаниями, как Amazon.com, Googlе и Yahoo. Информация об уязвимости появилась в понедельник, 8 апреля. При этом Google Security отметила, что уязвимость существует уже около двух лет, однако ее заметили только сейчас.

    Heartbleed позволяет хакерам перехватывать данные при передаче между пользователем и сервером провайдера. По данным финской компании Codenmonicon, которые приводит Би-би-си, Open SSL применяется примерно на 66% сайтов.
    ...
    Twitter сообщил, что уязвимость Hearbleed не повлияет на безопасность данных пользователей сервиса. Google объявила, что на браузер Google Chrome и операционную систему Google OS уязвимость не повлияла, а на Gmail пароль лучше сменить (его, как и YoyTube, коснулась уязвимость).

    Платежный сервис PayPal уведомил пользователей, что на логин и пароль при входе в систему PayPal нельзя перехватить с помощью уязвимости Open SSL.

    Эксперты в области компьютерной безопасности отмечают, что уязвимости подвержена такие широко распространенная программа, как анонимизирующий онлайн-браузер Tor, многие онлайн-игры и программное обеспечение устройств с интернет-соединением.

    Читать полностью: http://top.rbc.ru/society/11/04/2014/917229.shtml

    чё-то я офигел, и раньше было понятно, что безопасность в интернетах держится на волоске, но чтоб на таком тонком волоске...

  2. #1 andrewks

    11.04.2014 08:06:10

    тестер: http://filippo.io/Heartbleed/

  3. #2 V777

    11.04.2014 08:07:33

    мы все умрееееем!!!

    Ответы: (3)

  4. #3 andrewks

    11.04.2014 08:07:54

    (2) однозначно

  5. #4 Дядя Васька

    11.04.2014 08:12:56

    andrewks позволяет хакерам перехватывать данные при передаче между пользователем и сервером провайдера

    мужик посередине что ли?

    Ответы: (5)

  6. #5 andrewks

    11.04.2014 08:23:37

    (4) про сниффинг слышал?

    Ответы: (9)

  7. #6 Курильщик

    11.04.2014 10:47:46
    11.04.2014 10:48:00 отредактировано Курильщик

    Появляется все больше хороших и плохих известий, связанных с уязвимостью “Heartbleed”.

    Хорошие новости заключаются в том, что уже около трети серверов обновились и перестали быть уязвимыми. Плохая новость — по меньшей мере 600 тысяч машин остаются незащищёнными, вдобавок необходимо учесть количество встраиваемых систем, к которым уже перестали выходить обновления прошивок. Более того, зафиксированы свидетельства того, что уязвимость эксплуатировалась злоумышленниками еще в 2013 году. Компания MediaMonks обнаружила это после исследования журналов аудита за ноябрь прошлого года.

  8. #7 Курильщик

    11.04.2014 10:48:26

    Эксперт по безопасности Брюс Шнайер назвал Heartbleed катастрофой. «По десятибалльной шкале это тянет на 11», написал он у себя в блоге. Шнайер оценивает вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей, как близкую к единице. Следует рассматривать любой сертификат и пароль, как скомпрометированный, поскольку обнаружить следы атаки было практически невозможно. Неизвестно, где и как отзовутся нам эти утечки.

    http://www.linux.org.ru/news/security/10374572

  9. #8 Гефест

    11.04.2014 17:12:27

    статья про то, как это работает: http://www.banki.ru/news/daytheme/?id=6443641

    одно непонятно - как нужно было укуриться, чтобы такую дырищу напейсать и как можно было годами не заметить

  10. #9 Дядя Васька

    11.04.2014 19:56:36

    (5) так со свичами вроде неактуально

    Ответы: (12) (15)

  11. #10 Lenka_Boo

    11.04.2014 20:06:19

    Че-то "рыбалки", как я понимаю. Не?

    Ответы: (11)

  12. #11 Дядя Васька

    11.04.2014 20:22:39

    (10) Сниффинг-то? Да чужие пакеты слушать просто. Было актуально во времена хабов, в один порт приходит ему пакет, во все остальные уходит, кому нужен принимают, остальные игнорируют. Свичи же адресно работают. Кто заказывал, тому и уйдет, остальные не получат его.

  13. #12 andrewks

    11.04.2014 21:53:07

    (9) http://www.opennet.ru/base/sec/arp_snif.txt.html

  14. #13 andrewks

    11.04.2014 22:16:22

    OpenSSL Security Advisory [07 Apr 2014]
    ========================================

    TLS heartbeat read overrun (CVE-2014-0160)
    ==========================================

    A missing bounds check in the handling of the TLS heartbeat extension can be
    used to reveal up to 64k of memory to a connected client or server.

    Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
    1.0.1f and 1.0.2-beta1.

    Thanks for Neel Mehta of Google Security for discovering this bug and to
    Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
    preparing the fix.

    Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
    upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

    1.0.2 will be fixed in 1.0.2-beta2.

    https://www.openssl.org/news/secadv_20140407.txt

  15. #14 andrewks

    11.04.2014 22:19:26

    т.е. ветки 0.9.8 уязвимость не касается

  16. #15 Курильщик

    11.04.2014 23:01:34

    (9) не в этом дело...

  17. #16 andrewks

    12.04.2014 17:40:30

    Стали появляться свидетельства возможного применения Heartbeat-уязвимости в OpenSSL (CVE-2014-0160) для совершения вредоносных действий за несколько месяцев до выявления проблемы сотрудниками компаний Google и Codenomicon. Следы одной из таких атак зафиксированы компанией MediaMonks в журналах аудита, датированных ноябрём прошлого года. Сохранённые в журналах пакеты с нескольких серверов, подозреваемых во вредоносной активности, совпали по своему характеру с пакетами, применяемыми при эксплуатации Heartbeat-уязвимости.
    ...
    Шнайер считает близкой к единице вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей. Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL. Даже если проблема была внесена случайно, за два года присутствия в кодовой базе заинтересованные лица вполне могли её обнаружить и молча использовать.
    http://www.opennet.ru/openforum/vsluhforumID3/95331.html

    вот не знаю, почему, но у меня изначально тоже возникла версия, что тут каким-то образом замешаны спецслужбы, ну не мог просто так такой огроменный косяк прийти и оставаться незамеченным два года.
    видимо, код был составлен так, что выявить косяк при исследовании было весьма проблематично. нет, конечно, можно верить, что одна из тысячи шимпанзе в итоге сыграет Бетховена на рояле, но я в такие сказки слабо верю

или зарегистрируйтесь чтобы ответить!