- Регистрация
- 31.07.13
- Сообщения
- 368
- Реакции
- 514
- Депозит
- 0
- Покупок
-
0
- Продаж
-
7
На прошлой неделе мировой знаменитостью стала уязвимость Heartbleed. С ее помощью за несколько часов можно узнать логин и пароль от почты и социальных сетей, а также получить доступ к банковским счетам. Эксперты признают, что «кровоточащее сердце» стало одной из самых массовых угроз интернета за последние годы — проблема может коснуться до 90 % пользователей и полумиллиона сайтов по всему миру. Кто пострадает от уязвимости Heartbleed и как обезопасить себя от утечки информации — читайте в материале
Уязвимость Heartbleed (буквально «Сердце кровью обливается») обнаружили 7 апреля сотрудник Google Нил Мехта и специалисты компании Codenomicon. Оказалось, что она существует уже 2 года. «В последнюю неделю, когда о ней узнали, опасность увеличилась, потому что любой школьник мог ею пользоваться», — поясняет Владислав Зозуляк, технический директор компании Arello Mobile. Сбой сделал доступной на несколько часов приватную информацию пользователей, в том числе переписку в почте и социальных сетях, а также данные из банковских аккаунтов.
В конце прошлой недели с рекомендацией сменить пароли к пользователям обратился «Яндекс».
Крупные сайты, среди которых «Яндекс», Google и Facebook, объявили, что усилили защиту сразу после того, как узнали об уязвимости. В «Яндексе» через несколько часов после новости о Heartbleed были установлены обновления безопасности, за это время компания не зафиксировала атак на свои сервера. В пресс-службе Google в ответ на запрос НГС.НОВОСТИ сообщили, что ошибка была исправлена очень быстро, так что их пользователям не придется менять пароли, а пресс-служба «ВКонтакте» проигнорировала запрос. Газете «Ведомости» представитель соцсети Георгий Лобушкин сообщил, что основной домен vk.com эта уязвимость не затронула, а на серверах со старым сертификатом заменили софт, так что пользовательские данные не пострадали.
Heartbleed может угрожать до 90 % пользователей, которые так или иначе передавали в сети личные данные: например, реквизиты банковских карт или логины и пароли, считают в «Лаборатории Касперского».
«Суть уязвимости — в том, что злоумышленники смогли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей», — рассказывает об опасности блог «Яндекса». «Уязвимость располагается в расширении под названием Heartbeat библиотеки OpenSSL. Эта библиотека используется для работы с SSL/TLS соединениями. Они позволяют защищать трафик, передаваемый от клиента к серверу. В настоящее время подавляющее большинство сайтов, работающих с персональной информацией — социальные сети, банки, интернет-магазины и т.д., — шифруют персональную информацию с помощью SSL/TLS», — поясняет Вячеслав Закоржевский, руководитель группы исследования уязвимостей «Лаборатории Касперского».
Всем менять пароли Как сообщает «Компьютерра», первыми пострадавшими от Heartbleed стали налоговая служба Канады, у которой украли информацию о 900 налогоплательщиках, и британский сайт, посвященный воспитанию детей, где зарегистрировано около 1 млн пользователей.
Пожалуй, самой опасной утратой из перечисленных «Лабораторией Касперского» являются данные банковской карты, введенные при оплате покупок в интернет-магазинах или услуг через интернет-банкинг. Зная логин и пароль от аккаунтов в соцсетях и электронной почте, мошенники могут рассылать спам от чужого лица, а с помощью логина и пароля от сайта — добавить на него вредоносный скрипт для дальнейшего заражения пользователей.
Новосибирский программист, пожелавший остаться неизвестным, вспомнил, что еще 5 лет назад узнать пароль пользователя «ВКонтакте» было довольно просто: «Раньше вообще шифрования не было. Сидишь в кафе с бесплатным незащищенным «вайфаем» и собираешь логины-пароли всех, кто сидит рядом и вздумал залогиниться через эту же сеть. Реально дыра была. А сейчас ровно наоборот — уязвимость закрыли, не факт, что ею вообще хоть кто-то успел воспользоваться».
Чтобы обезопасить себя от последствий Heartbleed, следует сменить пароли на всех сайтах, в том числе в «Твиттере», «ВКонтакте» и «Фейсбуке», рекомендует Владислав Зозуляк, технический директор компании «Арелло Мобайл».
Антон Карпов напомнил азы компьютерной безопасности: не хранить важные пароли на самом видном месте, делать их сложными, регулярно менять и никому не называть. «Самым эффективным будет воздержаться на 1-2 недели от использования тех сервисов, в которых передаются критичные для пользователя данные», — рекомендует Вячеслав Закоржевский.
Heartbleed оказалась одной из самых массовых угроз для рядовых интернет-пользователей за всю историю интернета. «Не будет преувеличением сказать, что уязвимость Heartbleed — самая серьезная за все время существования так называемой «web 2.0», т.е. среды, в которой веб очень персонифицирован и почти каждый сайт имеет функциональность, требующую логина пользователя», — подчеркивает Антон Карпов, руководитель службы информационной безопасности «Яндекса». Уязвимости находят всегда, и это вполне рядовой случай, возражает Владислав Зозуляк. В «Лаборатории Касперского» вспомнили, что раньше на слуху были истории о взломе определенных сервисов, например сайта Sony PSN. Тогда, по разным источникам, под угрозой оказались данные о кредитных картах 2–10 млн игроков.
Уязвимость Heartbleed (буквально «Сердце кровью обливается») обнаружили 7 апреля сотрудник Google Нил Мехта и специалисты компании Codenomicon. Оказалось, что она существует уже 2 года. «В последнюю неделю, когда о ней узнали, опасность увеличилась, потому что любой школьник мог ею пользоваться», — поясняет Владислав Зозуляк, технический директор компании Arello Mobile. Сбой сделал доступной на несколько часов приватную информацию пользователей, в том числе переписку в почте и социальных сетях, а также данные из банковских аккаунтов.
В конце прошлой недели с рекомендацией сменить пароли к пользователям обратился «Яндекс».
Крупные сайты, среди которых «Яндекс», Google и Facebook, объявили, что усилили защиту сразу после того, как узнали об уязвимости. В «Яндексе» через несколько часов после новости о Heartbleed были установлены обновления безопасности, за это время компания не зафиксировала атак на свои сервера. В пресс-службе Google в ответ на запрос НГС.НОВОСТИ сообщили, что ошибка была исправлена очень быстро, так что их пользователям не придется менять пароли, а пресс-служба «ВКонтакте» проигнорировала запрос. Газете «Ведомости» представитель соцсети Георгий Лобушкин сообщил, что основной домен vk.com эта уязвимость не затронула, а на серверах со старым сертификатом заменили софт, так что пользовательские данные не пострадали.
Heartbleed может угрожать до 90 % пользователей, которые так или иначе передавали в сети личные данные: например, реквизиты банковских карт или логины и пароли, считают в «Лаборатории Касперского».
«Суть уязвимости — в том, что злоумышленники смогли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей», — рассказывает об опасности блог «Яндекса». «Уязвимость располагается в расширении под названием Heartbeat библиотеки OpenSSL. Эта библиотека используется для работы с SSL/TLS соединениями. Они позволяют защищать трафик, передаваемый от клиента к серверу. В настоящее время подавляющее большинство сайтов, работающих с персональной информацией — социальные сети, банки, интернет-магазины и т.д., — шифруют персональную информацию с помощью SSL/TLS», — поясняет Вячеслав Закоржевский, руководитель группы исследования уязвимостей «Лаборатории Касперского».
Всем менять пароли Как сообщает «Компьютерра», первыми пострадавшими от Heartbleed стали налоговая служба Канады, у которой украли информацию о 900 налогоплательщиках, и британский сайт, посвященный воспитанию детей, где зарегистрировано около 1 млн пользователей.
Пожалуй, самой опасной утратой из перечисленных «Лабораторией Касперского» являются данные банковской карты, введенные при оплате покупок в интернет-магазинах или услуг через интернет-банкинг. Зная логин и пароль от аккаунтов в соцсетях и электронной почте, мошенники могут рассылать спам от чужого лица, а с помощью логина и пароля от сайта — добавить на него вредоносный скрипт для дальнейшего заражения пользователей.
Новосибирский программист, пожелавший остаться неизвестным, вспомнил, что еще 5 лет назад узнать пароль пользователя «ВКонтакте» было довольно просто: «Раньше вообще шифрования не было. Сидишь в кафе с бесплатным незащищенным «вайфаем» и собираешь логины-пароли всех, кто сидит рядом и вздумал залогиниться через эту же сеть. Реально дыра была. А сейчас ровно наоборот — уязвимость закрыли, не факт, что ею вообще хоть кто-то успел воспользоваться».
Чтобы обезопасить себя от последствий Heartbleed, следует сменить пароли на всех сайтах, в том числе в «Твиттере», «ВКонтакте» и «Фейсбуке», рекомендует Владислав Зозуляк, технический директор компании «Арелло Мобайл».
Антон Карпов напомнил азы компьютерной безопасности: не хранить важные пароли на самом видном месте, делать их сложными, регулярно менять и никому не называть. «Самым эффективным будет воздержаться на 1-2 недели от использования тех сервисов, в которых передаются критичные для пользователя данные», — рекомендует Вячеслав Закоржевский.
Heartbleed оказалась одной из самых массовых угроз для рядовых интернет-пользователей за всю историю интернета. «Не будет преувеличением сказать, что уязвимость Heartbleed — самая серьезная за все время существования так называемой «web 2.0», т.е. среды, в которой веб очень персонифицирован и почти каждый сайт имеет функциональность, требующую логина пользователя», — подчеркивает Антон Карпов, руководитель службы информационной безопасности «Яндекса». Уязвимости находят всегда, и это вполне рядовой случай, возражает Владислав Зозуляк. В «Лаборатории Касперского» вспомнили, что раньше на слуху были истории о взломе определенных сервисов, например сайта Sony PSN. Тогда, по разным источникам, под угрозой оказались данные о кредитных картах 2–10 млн игроков.
