На днях стало известно о существовании дыры в безопасности протокола шифрования данных OpenSSL.



Проблема существует уже 2 года. В течение всего этого периода хакеры, которые могли знать о дыре, бесконтрольно могли читать вашу переписку, знать информацию о ваших банковские данные.

Дыру в безопасности назвали Heartbleed . Эксперты по безопасности информации считают, что это самая большая угроза безопасности частной информации за все время существования интернета.

Причем это не просто баг в каком-то приложении, который легко можно "апдейтнуть" . Дыра в безопасности серверов, которые обеспечивают безопасную передачу данных в таких сервисах как Facebook, Gmail и тысячах других .



Heartbleed - дыра в безопасности OpenSSL - опенсорсный стандарт шифрования данных, который используют большинство сайтов для шифрования данных, проходящих между сервером и пользователем. Это дает возможность шифровать данные при обмене сообщениями в чате или электронной почте.

Шифрование происходит следующим образом, что если кто-то перехватит вашу информацию - это будет только набор символов, который не имеет никакого смысла .
Когда компьютеры устанавливают между собой безопасное соединение через OpenSSL - они отправляют друг другу так называемый heartbeat (сердцебиение ) - небольшой пакет данных, который просит дать ответ на запрос.

Из-за ошибки в программном коде OpenSSL злоумышленники получили возможность послать неавторизованный heartbeat таким образом, что сервер будет воспринимать его как авторизованный компьютер и может получить доступ к данным, хранящихся в частности, в памяти серверов.

Насколько высока угроза для пользователя?

Это самый высокий уровень угрозы из существующих до сегодняшнего дня. Веб серверы могут держать своей активной памяти много информации, включая пароли, контент, который загрузил пользователь . Даже номера кредитных карточек.

Но самое опасное то, что у хакеров появилась возможность доступа к ключам шифрования - кодов, которые дают возможность превратить бессмысленную информацию, которая передается между пользователем и сервером, в нормальную .

Имея такие ключи, хакер может перехватывать зашифрованные данные (даже не имея доступа к серверу ) и расшифровывать их. Например, можно подключиться к вашему интернет -кабеля, и снимать с него всю вашу переписку по почте.

То есть это означает, что пока на сервере изменения значения ключи безопасности - хакеры смогут продолжать читать вашу информацию.

Касается это вас лично?

Скорее всего, да. Это может касаться вас как прямо, так и косвенно . OpenSSL - популярный стандарт шифрования в интернете . Ваши любимые сайты, сайт вашей компании, сайт, где вы оплачиваете коммунальные услуги покупаете книги - многие из них используют OpenSSL .

По информации компании Netcraft, с почти 1 миллиарда существующих на сегодняшний день сайтов, 66 % используют технологии на базе SSL.

Что вы можете сделать, чтобы защитить себя ?

Поскольку проблема существует уже более 2 лет, и процесс доступа к данным не оставлял никаких следов вмешательства - это значит, что так или иначе кто-то мог получить доступ к вашим данным . Важно изменить ваши пароли. Особенно для сервисов, где есть важная информация.

Однако, если сайт, где хранится эта информация, НЕ обновил OpenSSL, изменение вашего пароля ничего не даст - угроза доступа к данным будет храниться .

Почтовые сервисы Gmail и Yahoo.Mail уже " залатали " дыру, и просят пользователей изменить свои пароли. Аналогичная ситуация с социальной сетью Facebook и сервисом хранения данных Dropbox .

По данным BBC News, некоторые компании, среди которых Google и Yahoo, уже призывают людей менять свои пароли. Так, блог- платформы Tumblr советует громадськсти " изменить свои пароли везде - особенно это касается электронной почты, хранения файлов и банковской деятельности ".

В Google и в Codenomicon (финская компания по безопасности ) говорят, что в результате выявленной ошибки в программе SSL - шифрования, которая существовала на протяжении двух лет, интернет-пользователи могут потерять персональные данные и пароли различных веб - сервисов.

Поскольку персональные данные не были нигде опубликованы, выявить или сломана ваш ящик - невозможно.

Эксперты называют ситуацию катастрофической . По словам блогера Брюса Шнейер, катастрофа - правильное слово . По 10 - бальной шкале - 11.

Источник: life.pravda.com.ua

Блогеры-зло за бабло напишут все и Эксперты по безопасности информации считают........ думаю это он же эксперты))))

Как бы там ни было а сменить пароли лишний раз не помешает.

А толку то менять??? дыра большая ,в одном месте залатают в другом убудет))) а с баблом приложение Advisor в браузер с привязкой к мобильному и спать спокойно

А толку менять пароль, если в многих серверах есть такая огромная дыра?

сменю пароль,на долго ли это?
пока не залатают дыру так и будешь менять каждый месяц неделю

Пароль можно менять после того, как на сервере залатали дыру. Например, в сейчас WOT плюшки дают за смену пароля.

Что же так "беспокойно"? Ни одна "система", даже компьютерная не бывает идеальной - всегда есть и будут в ней слабые места. Тут уж зависит от людей - кто пользуется, или, кто разрушает. А средства защиты - у всех своя "дубинка" - если ещё нет - сделайте такую, чтобы на все "системы" была гарантия собственного сохранения.