Un virus informatic afectează milioane de site-uri online – inclusiv platforme ale băncilor, servicii de email şi reţele de socializare -, existând riscul expunerii numelor de identificare, parolelor de acces şi conţinutului comunicaţiilor, avertizează experţi citaţi de ziarul The Washington Post. (sursa)
Numai că nu e un virus, e o gaură de securitate, cea mai mare si cea mai serioase din ultimii 10 ani. Prin acea gaură se pot fura parolele utilizatorilor.
O lista cu site-urile afectate găsiți aici, dar totul se reduce la ce fel de informații aveți stocate in conturi. Pentru că mie, de pildă, nu îmi pasă de contul de pe youporn sau de userul de ym.
Vezi si stirea cu rcs-rds and vodafone = love
Iar pentru test de domeniu mergeti aici: https://www.ssllabs.com/ssltest/
Iar pentru cei mai norocosi dintre noi care avem Android putem sa verificam cu acesta aplicatie: https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector
Ai cont pe youporn?? Foarte tare
Cu alte cuvinte: unii au dat mii de euro pentru ca înainte de numele siteului să le apară ceva scris cu verde: https://
Prin bresa aia de securitate se pot fura informatii, dar nu inseamna ca acum cineva chiar fura. In plus, aia de au facut publica informatia au facut greseala vietii lor, trebuia sa pastreze totul secret si sa remedieze problema in liniste. Asa au asmutit hackeri pe site-uri.
@Grig : Da, evident că pentru asta au plătit, pentru scrisul verde și pentru iconiță. În mod special pentru iconiță, nu ești faraon adevărat dacă nu ai iconiță la site.
Sper că și tu ai fost ironic. Sper.
Cam din scurt.
?
Adica azi se inchide suportul pentru windows xp ( care ruleaza pe majoritatea ATM-urilor ) si maine se gaseste un bug in transferul de date securizate.
Oare va mai aparea update pentru xp
ghiseul.ro ftw
l-au inchis juma de zi cand s-au prins…
Ideea la heartbleed este ca dupa ce se captureaza un numar de chei publice se poate deduce cheia privata a host-ului. Degeaba faceti teste acum ca open ssl-ul a primit update pentru acest bug. Ceea ce e amuzant este ca nu a observat nimeni din 2011 pana acum. E open source deci bugul a fost in fata noastra 3 ani…
Iar la Stirile ProTv se recomanda cetatenilor sa nu intre pe internet in urmatoarele 2 saptamani.
@alin: fix in fata ta a fost, viteazule care esti tu viteaz!
sa presupunem ca:
(1) ai avea notiuni avansate de programare in domeniul securitatii – ceea ce ma indoiesc pana la frangere –
(2) ti-ar pune cineva in fata codul sursa, vorbind aici de minim cateva mii de linii de cod optimizat, ceea ce in unele cazuri sacrifica claritatea codului
te-ai gandit care ar fi sansele tale sa dai peste bug-ul ala, in conditiile in care:
– nu stii ca ai acolo un bug
– bugul nu se manifesta in mod disruptiv, deci nu iese in evidenta…
tocmai discutam chestia asta cu unul dintre cei mai meseriasi testori software cu care am lucrat vreodata. singura sansa sa gasesti bugul in astfel de situatie este sa faci testare explorativa/exhaustiva, ceea ce in cazuri complexe, cum este un security library, iti poate lua chiar mai mult de 2 ani.
fa-te manager! ai stofa de secretar de bob-pcr.
Lasă youporn – întreabă hosterul dacă n-au folosit vreo versiune vulnerabilă de OpenSSL din 2011 și până acuma. Dacă da, ar cam trebui să resetezi parole și certificate fiindcă ai zero șanse să afli dacă a scăpat ceva.
@alin: nu ma iau de tine, dar nu ma pot abtine…
„dupa ce se captureaza un numar de chei publice se poate deduce cheia privata a host-ului”
tu te auzi ce spui?
pai cheile publice de-aia se numesc asa, adica publice, fiindca le poate sti oricine. captura de chei publice suna a „penis captivus”: ce-am prins, nu mai dau drumul.
zi sa mori tu ca poti deduce cheia privata din tzaspe chei publice, si iti pun o pila sa te angajeze la nsa…
tragedia cu heartbleed este ca are potential sa afle direct cheile private din ca-uri, fara sa mai deduca nimic. asta nu inseamna neaparat ca toate retelele, serviciile si vpn-urie au fost compromise, ci doar ca ar fi putut fi, si nu se poate sti cu precize cine si ce…
@pi ATM-urile nu ruleaza cu clasicul XP care-l stim cu totii. Este o versiunea ce poarta denumirea de Embedded. Aceasta versiune mai are suport pana in 2016.
@danyzus: n-au avut de ales, caci nu puteau contacta pe sestache toti providerii de securitate ca sa-si faca update.
ce-am inteles eu dintr-un articol citit ieri, este ca au dat-o publica la 2 zile dupa ce bug-ul a fost remediat si fix-ul era deja disponibil. au fost ceva hekareala asmutita, dar fereastra a fost destul de ingusta.
Numai v. OpenSSL 1.0.1 -> 1.0.1f sunt vulnerabile.
1.0.1g nu, la fel si vers. mai vechi. OpenSSL 1.0.0 & 0.9.8.
Cica orice stire bomba incearca de fapt sa ne distraga atentia de la alta stire care ar fi putut sa ne intereseze dar la care e mai bine sa ramanem indiferenti. Adica vrei sa-mi spui ca tot ce era sigur acum un an avea de fapt o bresa ? Ce urmeaza? Sa-mi spui peste 10 ani ca apa plata care o beau astazi e toxica? Gata renunt la internet. Si la apa. Ma duc la carciuma satului si beau doar vin.
Pe mine ma interesează numai partea :
„Your PayPal account details were not exposed in the past and remain secure.”
@pi: bug-ul este în biblioteca OpenSSL care n-are nicio legătură cu Windows XP. Este o bibliotecă scrisă de alții (nu de Microsoft) care este folosită mai mult pe Linux și BSD.
@voc: si daca executi tomcat pe o platforma microsoft?
Si iata avantajele unui regim curat open source. Muzica!
mihai draghici probabil nu stia engleza, dar a compus o stire care sa sune bine. sa fi fost offline google translate? e bine totusi ca n-a tradus „bug” cu „gandac”
„@voc: si daca executi tomcat pe o platforma microsoft?”
Nici în cazul ăsta nu ai probleme cu acest bug pentru că foarte probabil ți-ai tăiat de mult venele, sau ești internat la nebuni – dacă cumva n-ai reușit să-ți tai venele cum trebuie.
@silicon_v, DA. au patch-uit ssl-ul ultra-rapid. Doar cine-a fost leneș sau prost n-a făcut update la versiunea patchuită.
Să-ți spun cât durează până să apară patch-uri pe diversele găuri de microsoft/macos ? De fapt caută singur pe net.
@neaorin: stiu eu [cel putin] o companie care suporta cateva mii de utilizatori simultan in web-portalul lor de health records, si pe langa faptul ca foloseste os si db de la microsoft, mai are si tupeul sa-si ruleze aplicatiile pe tomcat, ca sa faca aprox $80 milioane anual.
nebunii dracului cu venele taiate, unde erau ei acum daca se impiedicau la timp de niste neaorini…
@aurache: dacă execuți Tomcat pe o platformă Microsoft tot nu e vina Microsoft și tot n-are vreo legătură cu Windows XP.
E acceasi distanta dintre „cea mai mare si cea mai serioase din ultimii 10 ani” si CVE-2014-0160 cu distanta dintre un virus si o vulnerabilitate…
@Meeku: vezi c-a apărut și ceva pentru Cisco.
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20140409-asa.html
“@voc: si daca executi tomcat pe o platforma microsoft?”
tomcat foloseste implementarea ssl din java, nu OpenSSL deci nu e vulnerabil. Ja fel si jetty
@ill: are sens ce spui, sper ca stii mai bine.
chiar nu stiu exact detaliul asta, dar am vazut ieri intr-un articol ca listau tomcat la applicatiile afectate de heartbleed. de-aia am intrebat.
am incercat chromebleed pe un site care stiu sigur ca foloseste tomcat, a trecut testul, dar mi-am zis ca poate deja au aplicat fix-ul.
@voc: nu cautam un vinovat, doar intrebam [de curiozitate].
@ill: m-ai facut curios si am dat un search, primul link era asta:
https://stackoverflow.com/questions/22982848/solving-heartbleed-issue-on-tomcat-with-apr-and-openssl-compilation-errors
pare ca macar in unele cazuri, tomcat si openssl win la pachet.
oricum, nu stiu tomcat la nivelul asta de detaliu…
@twist: Ce sens are sa ai net daca nu ai cont pe youporn?
@motanul A fost o ironie și nu prea … A fost ca și cum ai fi făcut abonament de monitorizare la cea mai tare firma de paza, ți-ai pus pe ușă un sticker cu „Obiectiv monitorizat de …” și apoi a venit unul și ți-a trecut codul de dezarmare, cu pixul, pe sticker.