33
Heartbleed: Gracze, lepiej zmieńcie hasła
Z OpenSSL korzystają nie tylko same strony odpalane na pecetach, ale także routery. Również smartfony oparte na Androidzie 4.1.1 zostały wskazane jako zagrożone. W dużym skrócie – luka umożliwia podczas nawiązywania połączenia z serwerem wyciągać z jego pamięci pakiety informacji w porcjach po 64 kilobajty. Serwery przetwarzają mnóstwo danych, więc jedna paczka może zawierać rzeczy zupełnie nieprzydatne nawet dla żądnego sensacji hakera, ale – jak wiadomo – w bazie danych mogą znaleźć się choćby hasła użytkowników czy inne poufne informacje.
Jak mówił na antenie TVN24 Piotr Konieczny, ekspert i szef bezpieczeństwa bloga niebezpiecznik.pl:
Każdy człowiek, który jest w stanie odpalić prosty program, wpisać nazwę domenową i wcisnąć jeden przycisk jest w stanie odczytywać fragmenty pamięci danego serwera […] Sytuacja jest tragiczna. Nie przypominam sobie tak rozległego, tak strasznego błędu, który pozwala w tak łatwy sposób dotrzeć do poufnych danych
Oczywiście najbardziej zalecaną metodą zapobiegania złym skutkom działania Heartbleed jest zmiana haseł, szczególnie jeśli używamy jednego w różnych usługach, kiedy luka w OpenSSL zostanie załatana przez dostawców. Przed załataniem, co logiczne, nie ma to sensu. Problem w tym, że (wybaczcie prostą formę) aktualizacja wszystkiego może potrwać całe lata. A szkody już mogły zaistnieć, bo o luce dowiadujemy się po dwóch latach.
Dla wzrokowców – w formie obrazkowej zasadę działania Heartbleed przedstawił autor komiksu XKCD:
Wśród dużych stron, które otrzymały negatywny wynik w testach, kiedy rozprzestrzeniła się wieść o luce, znalazły się m.in. Yahoo, Imgur, Flickr i WeTransfer. Zmiany haseł polecają też Facebook, Google, Amazon i Dropbox.
Z szyfrowania połączeń korzysta też wiele witryn związanych z grami. Na ogromnej liście testowanych domen znajduje się m. in. Steam Communities, jednak sam sklep Steama wskazano jako bezpieczny. Serwis Digital Trends skontaktował się jednak z największymi firmami i cytuje komentarz Valve o naprawieniu szkód, więc dla bezpieczeństwa warto jednak swoje hasło zmienić. Stuprocentowo bezpieczne są – cytując DT – Battle.net, EVE Online, MLG.tv i Xbox Live. Nie wszędzie doczekano się oficjalnego komentarza, ale zmiana haseł jest zalecana w usługach m.in. GOG, Battlelog, Apple Game Center, Call of Duty, Humble Bundle, Origin, PlayStation Store, League of Legends czy Wargaming. Także Mojang przyznał, że oberwały serwery Minecrafta.
Pełną listę wraz z komentarzami i statusem znajdziecie TUTAJ.
Co robić po zmianie hasła, by nie wpaść w tę samą dziurę? Na przykład korzystać z pluginów, które sprawdzają, czy strona, z której korzystamy, jest dziurawa – jednym z nich jest wtykany do Chrome’a Chromebleed lub specjalny dodatek do Firefoxa.
Czytaj dalej
33 odpowiedzi do “Heartbleed: Gracze, lepiej zmieńcie hasła”
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.
Od kilku dni w sieci panuje blady strach – luka w zabezpieczeniach szyfrującej biblioteki OpenSSL zwana Heartbleed spędza sen z powiek działom IT mnóstwa firm i administratorom serwerów. Dziura uderzyła w spory procent serwerów, na których „stoją” tysiące stron i wpłynęła także na witryny związane z gamingiem.
No nie ma co robić jak już 2 lata istnieje luka, i to straszna. Możemy mieć jedynie nadzieje że nikt nie sprawdził naszego hasła i logina. Istna paranoja, człowiek ma jakieś tam zaufanie do firm o bezpieczeństwo a tu 2 lata już sobie Hakerzy wykradają informacje…
To tak jak chwytliwe reklamy typu: „zabezpiecz się przed hakerami”. Po pierwsze, jak ktoś naprawdę będzie chciał się włamać, to i tak to zrobi, a po drugie, co kogo obchodzą jakieś dane logowania do czegoś tam od przeciętnego użytkownika? Dopóki nie pada się ofiarą masówki, gdzie kradną całą bazę danych, to dane jakiegoś tam Kowalskiego nikogo nie obchodzą.
Wszystkim TVN’owskim 'ekspertom’ dziękujemy już bardzo.
@ DoMiNo1992|No to leć zmieniać wszystkie hasła, żeby ktoś Twojej fotki na fejsie przypadkiem nie usunął.
Weryfikacja dwuetapowa na poczcie, a resztę odzyskasz pocztą, tyle w temacie ;p
Nie kumam. Czyli co, mam zmienić hasło na stronach gdzie zalecają natychmiastową zmianę. I co, następnie w ogóle nie logować się na owych stronach dopóki nie załatają tego ? Totalnie nie kminię
@DoMiNo1992|akurat ten ekspert wie co mówi bo siedzi w tym temacie już kilka lat i nawet przeprowadzają szkolenia na temat bezpieczeństwa, o dziwo wypowiedział się ktoś normalny a nie pan inżynier informatyk co w firmie potrafi zlecić tylko reset kompa i może zadziała…|W ciągu kilku dni pojawiła się masa programów, skryptów, które ułatwiają przeprowadzenia ataku „nawet gimnazjalistom z IQ na poziomie temperatury pokojowe” 😉 ciekawi mnie tylko to od jakiego czasu ktoś o tym wiedział…
@KafarPL|Usuń konta i nie korzystaj z internetu, masz wtedy 100% gwarancję, że nikt Ci haseł nie ukradnie. 🙂
@SerwusX – toś pojechał sucharem. Aż się napić muszę
Skoro luka nie została jeszcze załatana to jaki jest sens zmieniać hasła? 😮 Zresztą fajnie wiedzieć to wszystko 2 lata PO FAKCIE. Co chcieli ukraść hakerzy to już dawno ukradli. Akurat rozpowiadanie tego w Internecie to zły pomysł bo teraz jak ktoś pisał poniżej – gimnazjaliści zaczną to wykorzystywać. A jakby nikt o tym nie mówił to mniej by wiedziało i byłoby lepiej.
Shit, muszę zmienić moje hasło do bazy danych pentagonu :[|A tak na serio, mam nadzieję, że hackerzy nie grają w goalunited 😛
Właśnie, po co zmiana hasła jak luka cały czas istnieje. I po co wtyczki do przeglądarek? Żeby mnie informowały, że loguję się na zagrożonym koncie na własną odpowiedzialność? Bez sensu
A nich gimnazjaliści zaczynają swoje „C”hakowanie, wykryją ich i będzie o paru script kiddo mniej.
Jak dobrze, że na żadnej ważnej stronie nie jestem zarejestrowany. 🙂 |Hm, Imgura jednak mam, Ale mam tam same śmieszne zdjęcia, więc mi to wisi.
Tyle tych stron, że może łatwiej podać, gdzie hasła nie „trzeba” zmieniać.
Weryfikacja dwuetapowa konta Gmail powinna wystarczyć?
to, że luka istnieje to nie znaczy, że wszystkie hasła zostaną podane od ręki, ” luka umożliwia podczas nawiązywania połączenia z serwerem wyciągać z jego pamięci pakiety informacji w porcjach po 64 kilobajty.” to mogą być same śmieci.wypuszczono łatkę i kto jest zainteresowany i odpowiedzialny to łata, reszta olewa i luka będzie ciagle dostępna, dlatego jednak lepiej, że poinformowano o tym oficjalnie 😉
@KafarPL|Mówię, jak jest. To nie suchar, tylko prawda.
Nic nie będę zmieniał… znowu mam spędzić dzień na zastanawianiu sie gdzie co jeszcze pozmieniać tylko dla tego że ktoś robi żar w necie, aczkolwiek po zmianie znowu będzie kolejny wyciek, wirus itp i znów zmiana haseł. Ło matko. To nic nie da. ;/
No tak, zmienię hasło by wychwycili je. Ktoś tu nie myśli całkowicie. Dziura wciąż jest więc nowe hasło też można wychwycić. Zmienić hasło jak już, należy po załataniu dziury. Teraz to nic nie da.
@pedroza|Akapit zaraz po cytacie z bolgu. Przeczytaj dokładnie i ze zrozumieniem. A potem niech ktoś przełączy twój kawałek galaretki w czaszce na tryb w którym jakkolwiek funkcjonuje. Dziękuję.
@xXkamoskixX|I kto to mówi. W tym artykule nie ma żadnego cytatu z blogu. Chyba ci bezpieczniki wywaliło.
@real4game – „Stuprocentowo bezpieczne są – cytując DT – ” mozliwe ze chodzi mu o te czesc.
Ojejku jejku, ile razy już było 10000 luk w takich systemach i jakoś nic mi się nie stało. Nie można panikować. Wiadomo, jest szansa ale tak znikoma, że nie będe marnował czasu na zmienianie haseł i zapamiętywanie ich od początku. 🙂
Sony nie przestaje mnie zaskakiwać. Niczego się nie nauczyli…
Sony? A co Sony ma wspólnego?
Tumblr mnie o tym informował, ale nie wiedziałem, że to aż taki błąd… Z tą zmianą hasła, też się zastanawiam, czy to ma sens, jeżeli błędu nie da się na szybko naprawić. Haseł, co tydzień też mi się nie chce zmieniać… Brawo Sony…
@Sycho14 – czy was do reszty pogielo? Jakie Sony. To bug w openssl.
czytam i trochę mnie bawią wszystkie komentarze…. dzięki błędowi można wykraść dowolne danye z serwera… nieważne co, sesje, hasła, logi, pakiety które przez serwer przechodziły… dlatego między innymi gogle i amazon pomimo że z otwartych bibliotek nie korzystają zalecają zmiany.|openssl? linuksom gratulujemy bezpieczeństwa:p
@gulasz No shit sherlock! To oczywiste, ale komentarz Zdzisia, w którym obwinia za to Sony, jest tak absurdalny, że aż śmieszny 🙂
Dobra robota Sony! Po prostu maskara co oni wyprawiają.
Trochę nie rozumiem… mam zmienić hasło, ale dziura i tak nie została jeszcze załatana, więc i tak istnieje szansa na to, że mi wykradną? To po co zmieniać. Chyba, że źle to sobie tłumaczę…