Heartbleed un tā sekas

[samurajs]

Pirms dažām dienām visā pasaulē izziņoja trauksmi sakarā ar HTTPS protokola bāzes bibliotēkas OpenSSL 1.0.1 kritiskas ievainojamības atrašanu. Tai dots nosaukums Heartbleed. Tā kā HTTPS nav tikai sociālie portāli, bet arī bankas – saprotams sabiedrības satraukums.

Darbojas bugs tā: urķis izsūta serverim īpaši modificētus heartbeat pieprasījumus. Ievainojamības rezultātā requestu validācija nenotiek, bet serveris atbildē izsūta līdz 64 KB brīvi izvēlētu random datu. Tātad sistemātiski novilkt datubāzes šādi nevar, bet kaut ko iegūt tomēr var. Bugs attiecas tikai uz OpenSSL 1.0.1 versiju, bet 1.0.0, 1.0.1g, 1.0.2beta ir imūnas. Š obrīd jau viss ir nopatčots un drošs, vienīgi nav zināms, cik liels daudzums datu nokļuvis urķu rīcībā.

Kaspersky Lab seko līdz urķu aktivitātēm, un atzīmē, ka pēdējās dienās tās pamatīgi uzņēmušas apgriezienus. Atkal presē parādās aicinājumi masveidā mainīt paroles. Tāpēc noskaidrosim, kurš ir cietis no ievainojamības un kurš nē:

Facebook: nav skaidrs, bet paroli iesaka nomainīt

Tor: daļēji caur citiem serveriem; ja ļoti svarīga drošība, paroles iesaka mainīt

LinkedIn: nē

Tumlblr: jā, parole jāmaina

Twitter: nav skaidrs, pagaidām neko konkrētu neiesaka

Apple: nav skaidrs, pagaidām neko konkrētu neiesaka

Amazon: nē

Google: jā; kaut arī uzreiz atklāja un nopatchoja, tomēr paroli labāk nomainīt

Microsoft: nē

Yahoo: jā, jāmaina

eBay: nav skaidrs, pagaidām neko konkrētu neiesaka

GoDaddy: jā, jāmaina

Paypal: nē

Dropbox: jā, jāmaina

Evernote: nē

SoundCloud: jā, jāmaina

[img]https://notepad.lv/userpix/28_14fa94ea15115bb20772c2903ac51755_1.png[/img]

Avoti: 1, 2, 3, 4.

[BlackHalt]

Nav ko zīlēt! Labs iemesls nomainīt paroles visur!

[RicoPico]

Jezus… ja tā no malas paskatās- cik gan to paroļ-portālu ir daudz. Un pie tam- tas nav viss saraksts. Trūkst Instagram, VKontakķe un vēl vairāki. Lai visur nomainītu paroles, ir jāsasmērē desmaizes un jārezervē vietu pie kompja uz kādu stundu.

“Sorry, the password you typed, is too weak.” “do not match” “too short” “too rude” “too illegal, please stand by- police is on the way” Aaarrrrggghh….

Pieļauju, ka nākotnē visur varēs identificēties ar digitālo parakstu vai ko tamlīdzīgu. Nesaprotu, kāpēc digitālo parakstu lieto tikai nopietnos iestādījumos? Kapēc draugiem.lv neievieš šādu autentifikācijas veidu, paralēli klasiskajam? Ir kāds zinātājs, kurš mācētu pastāstīt par šķēršļiem?

[system32]

DPA (pats strādāju un piepalīdzu) taču piedvā CaptureIn draugiem.lv. 🙂 Apskaties zem login formas.

[RicoPico]

Device Rooted Error. 😀

Pamēģināju no cita, nerūtota, telefona- aizgāja. Ideja apsveicama un ceru, ka projekts attīstīsies talāk par draugiem.lv lapu.

Starp citu baig ilgi lasa to QR kodu. Tādā dīvainā pozā jāsastingst uz sekundēm 10 līdz atskn pīkšķis. Citi QR lasītāji to kodu atpazīst zibenīgi- tiklīdz nofokusējas kamera.

[Mad182]

Nācās updeitot 3 caurus serverus.

Š…emot vērā ka gļuks pastāvēja jau pāris gadus, interesanti vai kādam un kam par to bija zināms iepriekš.

[iKey]

man gan fiksi nolasīja QR kodu (Xperia Z1 C6903. Andža 4.4.2 oficiālais)

bet nekauņa brēc par ROOT un neļauk neko izdarīt

[E-500]

Bija gan zināms: “NSA Said to Exploit Heartbleed Bug for Intelligence for Years“

Tagad gan notiek dzīres – jau pirmās nozagtās naudas šitā buga dēļ kamēr servisi bremzē sevi sapačot.

Tā kā mainām visas paroles lietotas pēdējo 2 gadu laikā un izmantojam 2fa kur varam.

[garaisezis]

Nezinu vai saistībā ar šo, bet pilnīgi visi produkti ko biju pasūtījis caur ebay man atnāc dubulti pa divi, bet nauda noņemta par vienu. Sazinoties ar pārdevējiem šie saka, kad viss kārtībā, esmu pasūtījis vienu un pēc tam, pēc dienām divām vēl vienu. Nav jau nekas īpašs, pāris vadi, baterijas un sensori.

Nedz paypal, ne arī bankas kontā neesmu aizdomīgas darbības novērojis.

[Autors]

Ieraksti