7 апреля компания Codenomicon обнаружила уязвимость в программном обеспечении для шифрования данных в интернете — OpenSSL. Heart Bleed, как назвали эту уязвимость специалисты Codenomicon, позволяет хакерам получить доступ к оперативной памяти серверов, использующих в работе эту версию OpenSSL. С помощью такого доступа злоумышленники могут узнать ключи для шифрования данных при передаче их между серверами и любую другую информацию, которой обмениваются сервер и его клиенты (например, логины, пароли, cookies, сообщения пользователя и т. п.).
Рекомендации:
1. ЖЕЛАТЕЛЬНО ПОМЕНЯТЬ ПАРОЛИ НА ВАЖНЫХ РЕСУРСАХ!!!
2. Если у вас есть привязанные к сервисам типа PayPal кредитные или дебетовые карты, то рекомендую их удалить из сервиса. !!!
3. Желательно привязать используемые сервисы к номеру своего мобильного (если такая возможность есть)
Провверить является-ли сервер уязвимым для Heartbleed атаки, можно тут:
https://www.ssllabs.com/ssltest/index.html
Уязвимость Heartbleed: как избежать апокалипсиса
11 Апрель 2014 Yuri Ilyin Угрозы
Как мы уже сообщали, исследователи обнаружили весьма скверную уязвимость в популярном криптографическом пакете с открытым кодом OpenSSL, позволяющую считывать содержимое памяти в системах, защищённых уязвимой версией OpenSSL. Это по сути означает, что все механизмы защиты соединений, полагающиеся на данную реализацию протоколов шифрования, попросту не работают. Речь идёт не о том, что шифрования никакого нет. Просто любой, кто знал об уязвимости, присутствующей в OpenSSL, начиная с версии 1.0.1, выпущенной в 2012 году, мог всё это время прослушивать любые шифрованные соеднения, эксплуатируя брешь, получившую уже громкое имя Heartbleed («кровоточащее сердце» или «сердце кровью обливается»).
Читать далее: http://business.kaspersky.ru/heartbleed-doomsday/
Почтовый сервис «Яндекса» в течение двух лет работал с уязвимостью в системе шифрования OpenSSL, рассказал источник в крупной интернет-компании. То есть злоумышленники могли получить доступ к переписке всех пользователей сервиса. О наличии уязвимости в OpenSSL на днях сообщили компании Google Security и Codenomicon: уязвимость, получившая название «Кровоточащее сердце», поставила под угрозу примерно две трети всех сайтов в интернете. На этой неделе многие компании, включая Yahoo!, заявили о том, что им пришлось модифицировать свои сайты с целью защиты от этой угрозы. Кроме того, Yahoo! попросила своих пользователей сменить пароли.
Согласно сервису LastPass, уязвимость Heartbleed присутствует на всех массовых сайтах рунета, кроме Google, — на «Яндексе», на Mail.ru и «В контакте». Представитель Mail.ru Group Ксения Чабаненко утверждает, что этот сервис зачислил Mail.ru в список уязвимых ресурсов по ошибке: «Просто потому, что мы используем OpenSSL. Мы уже связываемся с ними».
Райффайзенбанк:
О возможных проблемах в системе безопасности интернет-банка R-Connect сегодня предупредил Райффайзенбанк. «Несколько дней назад была обнаружена серьезная уязвимость в криптографическом пакете OpenSSL, позволявшая третьим лицам получить в свое распоряжение логины и пароли клиентов от различных закрытых систем. К числу таких систем относится и интернет-банк R-Connect, — говорится в сообщении, опубликованном на сайте банка. — Нашим сотрудникам удалось оперативно ликвидировать данную уязвимость, внедрив новую версию пакета OpenSSL. Мы рекомендуем всем пользователям изменить пароли на доступ в интернет-банк R-Connect. Это позволит избежать рисков, связанных с инцидентом».
Читайте далее: http://www.vedomosti.ru/companies/news/25179571/pochta-yandeksa-byla-uyazvima-v-techenie-dvuh-let#ixzz2yeCVH2E0
Рекомендации:
1. ЖЕЛАТЕЛЬНО ПОМЕНЯТЬ ПАРОЛИ НА ВАЖНЫХ РЕСУРСАХ!!!
2. Если у вас есть привязанные к сервисам типа PayPal кредитные или дебетовые карты, то рекомендую их удалить из сервиса. !!!
3. Желательно привязать используемые сервисы к номеру своего мобильного (если такая возможность есть)
