Критическая уязвимость в OpenSSL
Чукча не читатель:
новости не читай, плоди треды
+1
2 vvd, troop
-1
2 vvd, troop
-1
не читатель, да. Но баг достаточно эпичен, чтобы оказаться только в новостях
http://www.schneier.com/blog/archives/2014/04/heartbleed.ht...
Шнайер толкает идейку, мол, это сделано вполне намерено. Это сознательно сконструированная программерами OpenSSL дыра. Цель конструкции — компрометация всего защищённого SSL/TLS траффика. Надо выяснить, кто внёс исправление и сравнить его финансовое состояние в 2011 и сейчас.
Шнайер толкает идейку, мол, это сделано вполне намерено. Это сознательно сконструированная программерами OpenSSL дыра. Цель конструкции — компрометация всего защищённого SSL/TLS траффика. Надо выяснить, кто внёс исправление и сравнить его финансовое состояние в 2011 и сейчас.
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=...
author Dr. Stephen Henson <openssl.org>
Sun, 1 Jan 2012 02:59:57 +0400 (22:59 +0000)
committer Dr. Stephen Henson <openssl.org>
Sun, 1 Jan 2012 02:59:57 +0400 (22:59 +0000)
Submitted by: Robin Seggelmann <fh-muenster.de>
Reviewed by: steve
Support for TLS/DTLS heartbeats.
Вот нехуй человеку было делать в новогоднюю ночь.
А откуда по второй сссылке колонка "Утекшие данные" - откуда этот теоритик знает какие данные утекли?
в общем челов которые этот баг запустили, вполне можно сейчас объявить международными террористами и засадить в гуантанамо навсегда
Международными долбоебами, скорее.
А у меня обновление ноута с 8 до 8.1 с установкой всех апдейтов заняло больше 4 часов. На 30 мегабитной карбине.Пипец ты клиника.
Приблизительно столько же времени сколько потребовалось чтобы написать патч для опенссл, опакетить его и поставить на пол сотни серверов.
Я обновил Toyota Prius 2012 до Prius 2013 до калины за 4 часа. Приблизительно столько же заняло наложение заплаток на шины 100 запорожцев.
Как эти времена связаны?
Молодец, что обновился, кстати. Но степень армагеддеца ты не осознал.
Но степень армагеддеца ты не осознал.да уж куда мне.
я прекрасно осознаю степень пиздеца. но я всё равно считаю, что это меньший пиздец, чем то что творится с безопасностью в винде перманентно.
Что мне делать, как пользователю?
Если вы используете Linux, вам необходимо обновиться до последней доступной версии OpenSSL. Большинство дистрибутивов уже содержат пропатченную версию в репозиториях.
Если вы на OSX, вы, с большой верятностью, используете OpenSSL 0.9.8, которая не подвержена уязвимости, если вы не ставили версию новее вручную.
Если вы используете Windows, то, скорее всего, у вас нет OpenSSL. Если вы устанавливали его вручную (например, через cygwin), то убедитесь, что ваша версия не содержит уязвимости.
таки что мне делать как простому, ничего не устанавливавшему пользователю осх и венды?
поменять пароли на онлайн сервисах, предварительно проверив, что на соответствующем сайте уязвимость уже закрыта. проверить можно здесь: http://filippo.io/Heartbleed/
если проверялка скажет "vulnerable" - написать этим долбоебам с сайта
если проверялка скажет "vulnerable" - написать этим долбоебам с сайта
>на онлайн сервисах
на всех что ли? - это же овердо***
или только на тех, что эту штуку используют? - тогда как узнать, какие использовали дырявую, если проверялка говорит все ок?
на всех что ли? - это же овердо***
или только на тех, что эту штуку используют? - тогда как узнать, какие использовали дырявую, если проверялка говорит все ок?
> как узнать
гуглить ресурс+heartbleed
ограничься наиболее актуальными для тебя ресурсами
я так понимаю, что в виду катастрофичности ситуации большинство ресурсов предпочло особо не распространяться о проблеме.
мой интернет провайдер закрыл дыру на своем домене с личными кабинетами абонентов только вчера после письма. думаешь они хоть кого-то о чем-то предупредили?
гуглить ресурс+heartbleed
ограничься наиболее актуальными для тебя ресурсами
я так понимаю, что в виду катастрофичности ситуации большинство ресурсов предпочло особо не распространяться о проблеме.
мой интернет провайдер закрыл дыру на своем домене с личными кабинетами абонентов только вчера после письма. думаешь они хоть кого-то о чем-то предупредили?
я так понимаю, что в виду катастрофичности ситуации большинство ресурсов предпочло особо не распространяться о проблеме.wargaming (world of tanks) вчера всем письмо разослал и простимулировал сменить пароль начислением внутриигровой валюты
ну вот собственно в такой ситуации проявляются не мудаки. а те кто боятся предупредить - мудаки.
чего они боятся? репутационных рисков от того что используют последние версии ssl?
чего они боятся? репутационных рисков от того что используют последние версии ssl?
чего они боятся? репутационных рисков от того что используют последние версии ssl?Конечно они этого боятся. Обычный пользователь подумает на провайдера услуг а не на что-то с неизвестным ему названием типа (openssl).
Может тебе еще приваты шифровать PGP?
>Может тебе еще приваты шифровать PGP?
Как будто сейчас кто-то запрещает мне это делать.
Как будто сейчас кто-то запрещает мне это делать.
http://sos-rzd.com/
Российские Железные Дороги в тандеме c банком ВТБ24, в течении недели, позволяли злоумышленникам сливать данные банковских карт всех, кто оплачивал билеты на официальном сайте РЖД. По скромным подсчетам, было скомпрометировано более 200.000 карт. Мы выложили данные по картам, за последний день (14.04.2014) присутствия уязвимости в системе. Кто покупал билет в этот день, могут проверить сей факт.
http://sos-rzd.com/cards.zip для оффлайн проверки
http://roem.ru/2014/04/16/yes97090/ история утечки от какого-то известного человека
http://roem.ru/2014/04/16/yes97090/ история утечки от какого-то известного человека
Моя виртуальная карта тоже утекла.
Так что история тру. А ВТБ публично все отрицает.
Так что история тру. А ВТБ публично все отрицает.
пришла смска от райфа, что моя карта скомпрометирована, нужна замена. как раз на ржд оплачивал
Оставить комментарий
Kira
Описание: http://habrahabr.ru/post/218609/Последствия: http://habrahabr.ru/post/218661/