LINUX.ORG.RU

Новые сведения об эксплуатации уязвимости OpenSSL «Heartbleed»

 , ,


5

10

Появляется все больше хороших и плохих известий, связанных с уязвимостью “Heartbleed”.

Хорошие новости заключаются в том, что уже около трети серверов обновились и перестали быть уязвимыми. Плохая новость — по меньшей мере 600 тысяч машин остаются незащищёнными, вдобавок необходимо учесть количество встраиваемых систем, к которым уже перестали выходить обновления прошивок. Более того, зафиксированы свидетельства того, что уязвимость эксплуатировалась злоумышленниками еще в 2013 году. Компания MediaMonks обнаружила это после исследования журналов аудита за ноябрь прошлого года.

Эксперт по безопасности Брюс Шнайер назвал Heartbleed катастрофой. «По десятибалльной шкале это тянет на 11», написал он у себя в блоге. Шнайер оценивает вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей, как близкую к единице. Следует рассматривать любой сертификат и пароль, как скомпрометированный, поскольку обнаружить следы атаки было практически невозможно. Неизвестно, где и как отзовутся нам эти утечки.

>>> Подробности

Ответ на: комментарий от pousqie

уже нагуглил. грепнул статью по ssl. Эта кампания, проданная в 2006м ответственна за недавний эксплоит?

Не знаю насчет именно этого, но ее обвиняют в других подобных грехах. Учитывая то, что она является крупным (если не крупнейшим) поставщиком всевозможных решений в области безопасности, то дело в целом дрянь.

rtvd ★★★★★ ()
Ответ на: По-моему нагнитают панику. от fi

Re: По-моему нагнитают панику.

Потеря вебовких поролей неприятно

Так ведь затрагивается не только HTTPS, а вообще любой протокол с SSL, т.е. ещё, как минимум, эл. почта и VPN.

anonymous ()

Ну вот, что и требовалось доказать. А некоторые хомячки, хранящие данные на публичных хостингах и сервисах(особенно коммерческие данные), так хваляться тем, что им якобы «поможет» шифрование. Ну это ведь сказки для тех, кто ничего не смыслит в информационной безопасности.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)

АНБ использовало уязвимость в OpenSSL для сбора информации

Агентство национальной безопасности в течение двух лет знало о существовании критической уязвимости в популярном протоколе шифрования данных OpenSSL. Этот сбой, получивший название Heartbleed, сотрудники спецслужбы использовали для доступа к данным интернет-пользователей, включая их пароли, сообщает Bloomberg.

http://lenta.ru/news/2014/04/12/heartbleed/

АНБ естественно все отрицает)))

ChAnton ★★ ()
Ответ на: комментарий от rezedent12

Да, люди начали обновляться ещё вчера, или даже позавчера, уже не помню... Не забудьте обновить пакеты openssl и libssl1.0.0 , после чего перезапустить сервисы, зависящие от libssl1.0.0 - такие как httpd, bind, exim и прочие...

lucentcode ★★★★★ ()

всегда говорил, что это говнецо и никогда не пользовал это г-но в своих проектах. OpenSSL давно мертв, как проект.

anonymous ()
Ответ на: комментарий от slyjoeh

Чувак из гугла обнаружил ее чуть-чуть позже.

он мог обнаружить ее как результат анализа атаки на гугловские сайты после того как кто-то захотел протестировать уязвимость на них.

dilmah ★★★★★ ()
Ответ на: комментарий от anonymous

В стандардизированной венде таких проблем нет.

Вот и омичи подтянулись. В стандартизированной винде «таких проблем нет» только потому, что ее код никто не читает. А кто читает, тот не расскажет, что там есть.

anonymous ()
Ответ на: комментарий от anonymous

Windows унифицирована, в случае обнаружения неисправности разослать обновленную бибилиотеку как два пальца об асфальт.

Ты неправильные сказки читаешь. Попроси маму рассказать тебе на ночь про Сноудена.

anonymous ()
Ответ на: комментарий от anonymous

вобщем в интернете никогда небыло и нет анонимности,и все ваши данные открыты,

Будь оно так, мы бы не ощущали постоянных усилий системы затянуть гайки законодательно.

Поясняю, исходя из принципа целеесообразности: если бы заинтересованные лица обладали невозбранным доступом к интересующим их данным, в их интересах было бы как раз таки не выдавать своей заинтересованности в этих данных, и не выдавать заинтересованности в контроле над этими данными. Я надеюсь причины этому очевидны?

Если же власти постоянно идут на конфликт с гражданами, ради обретения законодательного контроля над их частной жизнью, значит возможности обеспеченные техническими средствами им явно недостаточны.

Они и не могут быть достаточны. Фрагментация технологий во-первых. Постоянное их совершенствование во-вторых. Данная дыра существовала два года. Для пользователей, сейчас взявшихся за головы, это катострофически много. Но поставьте себя на место спецслужб: для них это ничтожно мало.

Данный сканадал очень живителен для интернета. Я думаю он разовьет интерес к аудиту широко используемого кода независимыми экспертами. Хотя бы ради саморекламы. А может из личной паранои.

anonymous ()
Ответ на: комментарий от anonymous

Хм, так, что тут у нас...

вобщем в интернете никогда небыло и нет анонимности,

Раздался вопль...

и все ваши данные открыты,

Противопоставление? Неужели со стороны лубянки? 0_0

По факту массовости-у всех стоит флеш,хром,ИЕ

Или просто виндолюба?

Я вообще который год наблюдаю устойчивые усилия энной категории граждан убедить других граждан в их полной беззащитности. Что-то мне это напоминает?..

«ставайтесь, ви окрузжени!»

Так кричат, когда ссут или считают бесполезным штурмовать.

anonymous ()
Ответ на: комментарий от anonymous

боже, АНБ всё-таки расшифровала мою кварплату.. уж0с!1

p01ymer ()

Гугл, втюхав свой браузер, имеет доступ ко всем сертификатам на клиентских машинах. А еще Гугл купил квантовый компьютер (для благородных, конечно же, целей).

anonymous ()

было/нет?

https://sos-rzd.com/
Российские Железные Дороги

в тандеме c банком ВТБ24, в течении недели, позволяли злоумышленникам сливать данные банковских карт всех, кто оплачивал билеты на официальном сайте РЖД. По скромным подсчетам, было скомпрометировано более 200.000 карт. Мы выложили данные по картам, за последний день (14.04.2014) присутствия уязвимости в системе. Кто покупал билет в этот день, могут проверить сей факт.

madcore ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.