Серьезная уязвимость в безопасности интернет-сервисов

[Demetri]

http://habrahabr.ru/post/218661/

Не вдаваясь в подробности, советую поменять пароли ко всем вашим любимым сайтам, Жжшечкам, Фейсбукам и ВКонтактам. А особенно, пароли и сертификаты к интернет-банкам, платежным системам и электронным почтам.

Уязвимость действительно серьезная, и может встретится у любого сервиса

[KL1982]

Да, а у соцсетей разве не защищенный протокол Https, или OpenSSL в любом случае отрабатывает. Или как то в ручную настраивается. Спасибо за совет и ссылку - сегодня поменяю. Только вопрос , если библиотека криптования OpenSSL уязвима, то какой смысл менять пароли? Или ? Немного запутался, я не безопасник. Поясните если знаете? Спасибо.

[Demetri]

KL1982, по ссылке все есть.
Если кратко, по украсть ваш пароль и сертификат могут не у вас лично, а с сервера, у которого эта уязвимость есть или была. Т.е. вот так, прям сразу все и вся или частично.

По поводу HTTPS и OpenSSL. HTTPS указывает лишь на то, что используется защищенное шифрованное соединение. А вот реализованы эти защита и шифрование могут использованы с использованием различных библиотек и пакетов.
OpenSSL - это один из таких крипто-пакетов. И самый популярный, надо заметить. По-моему, по статистике до 2/3 всех сервисов и сайтов в Интернете используют OpenSSL различных версий. Уязвимыми оказались лишь некоторые версии, но именно эти версии входили в состав множества дистрибутивов серверных операционных систем

[KL1982]

Demetri, Подождите. Как злоумышленник может проникнуть на сервер? В чем уязвимость? OpenSSL есть (я чайник еще тот Вы уж извините) крипто-пакет для криптования, соответсвенно отрабатывает он во время кодирования данных и передачи по установленному протоколу. Будь то протоколы сетки или выделенка. На серверах есть стэки, насколько я понимаю, соединение с ними осуществляется через потокол FTP, который может иметь простой тексовый пароль, соединяясь с сервером через FTP клиент может менять и извлекать контент, менять дизайн страницы. Так я, по-моему, не туда полез. Вопрос - как злоумышленник может вытащить данные без ключа?

Ок, лезем читать. Написано:

Насколько она опасна?
Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.

Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.

Как читается оперативная память через SSL? Ничего не понимаю? И как они могут осущствить MITM-атаку и что это, вообще? То есть, получается риск потери SSL ключа зависит от точки доступа? Например, открытый WI-FI?

Или вся причина в коммите?

(картинка ломает структуру форума, убрана).

Ну если в коммите, так в чем тогда проблема переписать его? Если мы уже знаем о уезвимости OpenSSL и о неудачном коммите, то разработчики то должны знать и что-то уже предприинять? Или я не о том говорю?

Еще, не смог прочитать код правильно. Где-то в коде есть команда, при помощи которой можно считать ключ? и в какой момент эт происходит при перезатерании?

Ничего не понял, чайник

[KL1982]

все, с кодом дошло. Код уже, наверное, поменяли или, вообще, терминировали. Но продукт-то уже выпущен. С этим понятно.

[Solar]

Это то ладно... Похоже что большинству сайтов/контор придется сертфикаты отзывать... Ну и private keys менять. Наверняка повытаскивали
А логины/пароли всем менять надо, никак иначе

[Demetri]

KL1982,
Стеки, FTP, протоколы, дизайн? АААААААА!!

--

Написал несколько строк текста, а потом подумал, и решил, что всю мою бурю чувств можно опять выразить одной лишь картинкой



Картинка эта становится моей любимой. Добавлю-ка я ее в закладки. Пригодится еще

[Eugene Demyanovskiy]

Demetri, thumbs up, dude =))))

[Svetlanna]

так, все такие умные-что аж не подойти.
для чайников, можно нормальным языком?
у меня как у нормального чайника имеется:
Винда 7 (люблю ее )
Винда 8 (никак не привыкну, уже больше года)
и Айпад предыдущий (не тот что новый вышел, а до этого )

мне чем грозит то что в топик стартере статья говорит -и что делать то надо ...Российскими банками -не пользуюсь ,одноклассниками и фейсбуком пользуюсь
на всякий случай сменила пароли на фейсбуке и майл.ру...-a где гарантия что эти компании поправилиu себя что то в настройках?

[Demetri]

Svetlanna,
Чем грозит? А тем, что кто-то уже владеет твоим паролем к банку и Фейсбуку, например. Проблема на стороне сервисов, поэтому нет разницы что за устройства у тебя. Плюс проблема глобальная, а не только российская. Поэтому пароли можно и нужно менять от любых интернет-банков, платежек, сайтов и т.д., т.е. на любых сайтах, где есть важная для тебя информация и личные данные. Для перестраховки, так сказать.

Проблема эта широко известна стала только сейчас, но возраст у нее два года - кто его знает, что за это время успели насобирать нехорошие дядьки?

...a где гарантия что эти компании поправилиu себя что то в настройках?

Все необходимые обновления и патчи были выпущены буквально в считанные часы после опубликования. Все уважающие себя компании должны уже были применить эти обновления.
Но можно и проверить: на странице по ссылке есть адреса сайтов-проверяльщиков, на которых можно указать адрес интересующего тебя сервиса и проверить этот самый сервис

[Eugene Demyanovskiy]

Svetlanna, давайте системно подойдем к вопросу=)
1. что для Вас важнее всего: соцсети или интернет-банк?
Проблема уже случилась, пользовательские данные уже тысячу раз могли "слить" и это хорошо, если только данные пользователей и плохо, если с помощью "дырочки" напихали в сервисы исполняемых шеллов и эксплойтов.
Поэтому я считаю что изменить пароль можно сейчас и позже, то есть сделать это дважды, а для банковских сервисов установить ограничение на операции с помощью телефона
2. даже если кто-то воспользуется вашим паролем к фейсбуку, то доступ всегда легко восстановить, акцентируйтесь на сохранении доступа к платежным системам

P.S. KL1982, уберите к чертям собачьим эту фотографию с кодом, она здесь никому не нужна и там вообще ничего нет полезного)), но она (фотография) рвет форум. Спасибо Вам

[KL1982]

Demetri, ну куда мне до компьютирщиков из Барнаула и я же, по-моему, обозначил, что многие вещи не понимаю - к чему этот дежурный сарказм? Такой же как в темке погибших пассажиров самолета... Дмитрий, Вы же вроде человек адекватный , не уподобляйтесь работнику нефте-газа из Омска Евгению Демьяновскому. С ним понятно, все - явные признаки нарушения психики и шизофрении, но Вы то человек неударенный я, наверное, для этого и спросил, потомучто Вы более компетентны в вопросе. Тем более, я слышал Алтайский Государственный Технический университет очень сильный.

[KL1982]

Алтайцы сильные спецы. Уверен. В в нем учились? Я уверен, что Вы компетентный компьютерщик, пожалуйста, будьте лояльны к чайникам, все мы занимаемся своим делом. Невозможно все покрыть.

Евгений Демьяновский. Житель сибирского города Омск. Странно, но сибиряки славятся своей открытой душой, но ты какой-то неправильный сибиряк. Я же уже сколько раз просил оскорбления в мой адрес и адрес моих постов , слова подобные "к чертям собачим" оставить при себе. Думаю, любому человеку будет неприятно получать подобные комменты. Но видимо голова пришита только для еды у Евгения странного Демьяновского... Жаль...

[Demetri]

KL1982,
Можно вам дать совет? Если чего-то не понимаете, то ПЕРЕСТАНЬТЕ ПИСАТЬ тонны текста и НАЧНИТЕ ЧИТАТЬ об этом. Чтение полезно, поверьте.

Вы ведь не просто задали вопрос, а написали целую страницу несвязных бесполезных рассуждений. Вы не жалеете не своего времени, ни нашего. Вот и приходится читать ваши опусы по диагонали, а отвечать картинкой. Для краткости.

Что-то не понятно? Почитайте. Все равно не понятно? Задайте вопрос - вам ответят! Без язв и подколок. Не нужна при этом простыня текста с россыпью нерелевантных терминов, которые вы где-то когда-то слышали которые имеют весьма косвенное отношение друг к другу

[Demetri]

...Евгений Демьяновский... Жаль...

Вы постоянно просите не комментировать вас и не язвить вам, а сами хамите и поясничаете направо и налево.

Вот Женя попросил вас убрать картинку, а вы по-хамски ответили россыпью оскорблений. Не хорошо это

[Eugene Demyanovskiy]

=)

[Дакиня]

Картинка эта становится моей любимой. Добавлю-ка я ее в закладки. Пригодится еще

Дмитрий, я тоже себе скачала, надеюсь вы не в обиде. Очень понравилась. Буду на неё смотреть, читая некоторые опусы

[KL1982]

KL1982,
Можно вам дать совет? Если чего-то не понимаете, то ПЕРЕСТАНЬТЕ ПИСАТЬ тонны текста и НАЧНИТЕ ЧИТАТЬ об этом. Чтение полезно, поверьте.

Вы ведь не просто задали вопрос, а написали целую страницу несвязных бесполезных рассуждений. Вы не жалеете не своего времени, ни нашего. Вот и приходится читать ваши опусы по диагонали, а отвечать картинкой. Для краткости.

Что-то не понятно? Почитайте. Все равно не понятно? Задайте вопрос - вам ответят! Без язв и подколок. Не нужна при этом простыня текста с россыпью нерелевантных терминов, которые вы где-то когда-то слышали которые имеют весьма косвенное отношение друг к другу

Так, по порядку. Что конкретно нерелевантно? Рассказать откуда у меня появились мысли? Ну, конечно, после чтения и Вашей ссылки и статьи и определений про OpenSSL и возможные пути проникновения и кражи ключей. Про коммиты, написано в статье Вашей ссылки. Что конкретно вызвало такое непонятное, дошкольное чувство сарказма? Когда человек говорит - читайте , это означает, что он сам мало, что понимает. Причем, интересно, то, что Вы сами написали два совершенно ненужных поста, но так и не ответили конкретно и четко - почему происходит проникновение. Вы же сами инициировали сообщение, а потом сами же отфутболиваете людей. Зачем? Я же, по-моему, четко дал понять, что не туда забрел в рассуждениях, что чайник и т.д. Заааааачем нужен Ваш непонятный , подростковый сарказм и совершенно глупые коллажи? Вам взрослые люди говорят (по крайней мере старше нас), что не надо шутить в подобном роде в теме про пропавших людей – Вы продолжаете себя выгораживать. Вам говорят – не надо острить,и вывешивать глупые картинки – вы продолжаете.

Все, устал, ночь уже.. Пойду лучше новости послушаю. завтра продолжим.

[Demetri]

1. Мое дело было малое: сообщить о проблеме, рассказать чем это грозит и что нужно делать. Устраивать ликбез в планах не было.
Вы же можете или последовать совету, или... вам решать, в общем

2. Что писать, и где писать я сам буду решать, а не слушать указов неких хамоватых виртуальных персонажей

завтра продолжим.

Продолжайте на здоровье. А я все, что хотел сказать по теме в рамках этого форума, то уже сказал.

[KL1982]

1. Мое дело было малое: сообщить о проблеме, рассказать чем это грозит и что нужно делать. Устраивать ликбез в планах не было.
Вы же можете или последовать совету, или... вам решать, в общем

2. Что писать, и где писать я сам буду решать, а не слушать указов неких хамоватых виртуальных персонажей

завтра продолжим.

Продолжайте на здоровье. А я все, что хотел сказать по теме в рамках этого форума, то уже сказал.

Деметри. Я и в мыслях не имел Вам хамить в начале данной ветки. Вопросы были релевантными и образовались, именно ,после прочтения опрделенной информации Вашей ссылки. Ваш сарказм неуместен во всех темах. Если не верите мне - почитайте, что пишут другие. По поводу меня: я никому не хамлю и если это имело место, то в далеком прошлом. И только по одной теме, по теме страны в котрой я родился, вырос и живу.

Ответная реакция у меня на этом форуме только на жителя Омска по фамилии Демьяновский. Я его, в свое время, даже в гости звал, предлагал встретиться, но человек как маленький чертенок идет не на сближение, а на конфронтацию и вставляет палочку в каждое колесико. Постоянно испоьзует выражения "к чертям собачим" и прочие нехорошие эпитеты в мой адрес.

Значит так. Ребят, если вы считаете себя не дошколятами, здесь и сейчас я вас прошу - держите себя в руках. Есть ответы резкие, но они должны быть в рамках. Неуместен сарказм над горем, над людьми, которые что-то не понимают в IT и так далее. Я буду стараться придерживаться той же самой модели.

Заранее спасибо за понимание.

[Eugene Demyanovskiy]

KL1982, я понимаю что деменция, случившаяся в твоем столь юном возрасте это горе, но что ты к Омску привязался? Давай я тебе книжку-расскраску по почте пришлю, иначе как на другое ума не хватает у тебя))) Ну или сыр-косичку))))
Я вот задумался, если кто-то жил в Барнауле, то и Алтайский вуз заканчивать должен был? И он житель Барнаула)))
Как быть у кого омское, питерское и калифорнийское образования? Житель Омска?)))

Кстати, давай я к тебе тоже по фамилии обращаться буду? Ну так, чтобы веселее было))

[Demetri]

Eugene Demyanovskiy,
Да не обращай внимание. У товарища выраженный комплекс понаехавшего в столицу.
И это, ну, не надо матом. Удалят же. Тоньше надо, тоньше.

[Eugene Demyanovskiy]

Demetri, действительно, что-то я это зря так толсто))

[mitchel]

для банковских сервисов установить ограничение на операции с помощью телефона

мне некоторое время назад поднадоело постоянно обращаться к телефону, чтобы прочитать там конфирмэйшн код для всяких операций, тем более что привязка к российской симке, поэтому приходится ради этого держать второй аппарат, следить, чтобы оператор номер не отобрал (вроде бы там по правилам требуется не реже, чем раз в полгода надо пользоваться как минимум одной платной услугой, например отправить смс). однако в один непрекрасный и неужасный, а вполне обычный день вдруг на телефон пришло рядовое сообщение с подтверждающим кодом для интернет-банка... хотя я в интернет-банк в этот или ближайшие дни не заходил! вот так-то... стало быть, пароль-таки увели, пришлось оперативно менять.

[Eugene Demyanovskiy]

mitchel, очень показательная история.