Хакери радять терміново всім поміняти паролі на пошті і у соцмережах
Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі.
Днями стало відомо про існування дірки в безпеці протоколу шифрування даних OpenSSL.
Проблема існує вже 2 роки. Протягом всього цього періоду хакери, які могли знати про діру, безконтрольно могли читати вашу переписку, знати інформацію про ваші банківські дані, вашу пошту і т.д., повідомляє Watcher.com.ua із посиланням на Businessinsider.
Дірку в безпеці назвали Heartbleed. Експерти з безпеки інформації вважають, що це найбільша загроза безпеки приватної інформації за весь час існування інтернету.
Причому це не просто баг в якомусь додатку, який легко можна "апдейтнути". Дірка в безпеці серверів, які забезпечують безпечну передачу даних в таких сервісах як Facebook, Gmail та тисячах інших.
Heartbleed – дірка в безпеці OpenSSL – опенсорсний стандарт шифрування даних, який використовують більшість сайтів для шифрування даних, які проходять між сервером та користувачем. Це дає можливість шифрувати дані при обміні повідомленнями в чаті чи електронній пошті.
Шифрування відбувається в такий спосіб, що якщо хтось перехопить вашу інформацію – це буде лише набір символів, який не має жодного сенсу.
Коли комп‘ютери встановлюють між собою безпечне з‘єднання через OpenSSL – вони відправляють один одному так званий heartbeat (серцебиття) – невеликий пакет даних, який просить дати відповідь на запит.
Через помилку в програмному коді OpenSSL зловмисники отримали можливість надіслати неавторизований heartbeat в такий спосіб, що сервер буде сприймати його як авторизований комп‘ютер і може отримати доступ до даних, що зберігаються, зокрема, в пам‘яті серверів.
Наскільки висока загроза для користувача?
Це найвищий рівень загрози з існуючих до сьогоднішнього дня. Веб сервери можуть тримати своїй активній пам‘яті багато інформації, включаючи паролі, контент, який завантажив користувач. Навіть номери кредитних карток.
Але найнебезпечніше те, що в хакерів з‘явилась можливість доступу до ключів шифрування – кодів, які дають можливість перетворити беззмістовну інформацію, яка передається між користувачем та сервером, у нормальну.
Маючи такі ключі, хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) та розшифровувати їх. Наприклад, можна підключитись до вашого інтернет-кабеля, і знімати з нього всю вашу переписку поштою.
Тобто це означає, що поки на сервері не будуть змінені ключі безпеки – хакери зможуть продовжувати читати вашу інформацію.
Чи стосується це вас особисто?
Скоріш за все, так. Це може стосуватись вас як прямо, так і опосередковано. OpenSSL – найпопулярніший стандарт шифрування в інтернеті. Ваші улюблені сайти, сайт вашої компанії, сайт, де ви оплачуєте комунальні послуги чи купуєте книги – багато з них використовують OpenSSL.
За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогоднішній день сайтів, 66% використовують технології на базі SSL.
Що ви можете зробити, щоб захистити себе?
Оскільки проблема існує вже понад 2 роки, і процес доступу до ваших даних не залишав жодних слідів втручання – це означає, що так чи інакше хтось міг отримати доступ до ваших даних. Важливо змінити ваші паролі. Особливо для сервісів, де є важлива інформація.
Однак, якщо сайт, де зберігається ця інформація, не оновив OpenSSL, зміна вашого паролю нічого не дасть – загроза доступу до даних буде зберігатись.
Поштові сервіси Gmail та Yahoo.Mail вже "залатали" діру, і просять користувачів змінити свої паролі. Аналогічна ситуація з соціальною мережею Facebook та сервісом зберігання даних Dropbox.
За даними BBC News, деякі компанії, серед яких Google та Yahoo, уже закликають людей змінювати свої паролі. Так, блог-платформи Tumblr радить громадськсті "змінити свої паролі скрізь - особливо це стосується електронної пошти, зберігання файлів і банківську діяльність".
У Google та у Codenomicon (фінська компанія із безпеки) кажуть, що внаслідок виявленої помилки в програмі SSL-шифрування, яка існувала протягом двох років, інтернет-користувачі можуть втратити персональні дані та паролі різних веб-сервісів.
Оскільки персональні дані не були ніде опубліковані, виявити чи зламана ваша скринька - неможливо.
Експерти називають ситуацію катастрофічною. За словами блогера Брюса Шнейера, катастрофа - правильне слово. По 10-бальній шкалі - 11.
admin
За матеріалами Української правди
Коментарі :
Додати коментар