Ai citit/vazut stiri despre bug-ul Heartbleed cum ca e rau si alea alea.

Poate va ziceti: “nu ma afecteaza si pe mine”.

Ba aproape sigur DA, si in cel mai rau mod.

Idee este ca in OpenSSL versiunile 1.0.1 si 1.0.2 s-a strecurat un mic bug care din cauza unei decizii proaste anterioare facute de dezvoltatorii OpenSSL a permis oricui de pe internet sa citeasca informatia din memoria serverelor ce foloseau OpenSSL, si asta fara ca sa apara in vre-un log faptul ca s-a intamplat asta. (daca doriti, pot da detalii mai amanuntite despre bug, explicate pe cat de non-tehnic pot eu)

Treaba este ca OpenSSL este libraria de software folosita pentru encriptare cam de catre toata lumea de pe planeta.

Si e grav.

Pentru inceput considerati asa:

- Parolele si informatiile personale de pe urmatoarele servere sunt compromise. Schimbati parola acum, nu unele pe care nu le-ati mai folosit in alte parti:

Facebook
IFTTT
Instagram
Pinterest
Tumblr
Google/Gmail
Yahoo
Amazon Web Services
Box
Dropbox
Lastpass
Minecraft
Soundcloud
Twitter
Flickr

... si mii de alte site-uri.

- Nu au fost afectate:

MacUser.ro
LinkedIn
Apple
Amazon
Microsoft
Hotmail/Outlook
eBay
PayPal

- Urmatoarele OS-uri sunt vulnerabile si trebuiesc patch-uite. Considerati orice informatie transferate pe un canal encriptat catre/de catre aceste masini ca compromisa. Orice certificat digital SSL avut pe un astfel de sistem trebuie schimbat cu unul nou.

RedHat Enterprise Linux 6.5
DD-WRT versiunile cuprinse intre 19163-23882
Debian Wheezy (stable)
Ubuntu 12.04.4 LTS
CentOS 6.5
Fedora 18
OpenBSD 5.3 si 5.4
FreeBSD 10.0
NetBSD 5.0.2
OpenSUSE 12.2
Arch Linux
... si precis gramezi de alte “cutii inteligente” cu port de retea.

- Urmatoarele OS-uri nu sunt afectate:

OS X, iOS (toate versiunile)
Debian Squeeze (oldstable) si mai vechi
SUSE Linux Enterprise Server
FreeBSD 8.4, 9.2

Salut, Windows, Android sunt afectate?

Android 4.1.x este afectat
Pe Windows, doar aplicatiile 3rd party care folosesc librariile OpenSSL (cum ar fi printre altele LibreOffice 4.2.0, 4.2.1, 4.2.2 - Bug-ul a fost reparat in 4.2.3)

Faceti update la browsere si orice aplicatii care folosesc conexiuni criptate.
Bug-ul nu este doar pe servere - calculatoarele/tabletele/telefoanele sunt si ele vulnerabile. Orice site web pe care il accesati cu o conexiune SSL poate sa va citeasca memoria. Nu va ganditi ca “eu nu ma duc pe site-uri dubioase” - nici nu trebuie sa accesati paginile direct - o imagine de la o reclama mica in coltul de jos daca se incarca de pe un site “rau” si v-au tras-o. Si am eu o banuiala ca unele compani care se ocupa cu afisarea de bannere de reclama au tot interesul sa incerce sa suga cat mai multe informatii de la fiecare care ii vede reclamele.

PS: v-ati schimbat deja parolele ? Daca ati folosit cumva serviciul 1PasswordAnywhere - schimbati-le si pe toate de acolo.

Daca am conturi pe urmatoarele siteuri:

Facebook
Instagram
Pinterest
Tumblr
Google/Gmail
Yahoo
Box
Dropbox
Soundcloud
Twitter
Flickr

trebuie sa-mi schimb parolele ? am citit http://recode.net/2014/04/10/apple-says-ios-osx-and-key-web-services-not-affected-by-heartbleed-security-flaw/ ca ar trebui schimbata parolele numai dupa ce companiile si-au updatat propriile servere. poti sa-mi explici mai multe?

Da, cei de care ai zis și-au reparat deja bubele - apucă-te ACUM să schimbi parolele până când nu ți le schimbă alții.

Pentru alte site-uri pe care ai conturi importante (mail, servicii cloud, stocare fisiere, licitatii, banci ...), caută pe net sau contactează-i direct ca să aflii dacă au fost afectați de Heartbleed și dacă au reparat. Consideră un raspuns gen “nu știm” sau lipsa răspunsului ca înseamnă “da, am fost afectați, încă suntem, toate datele tale private și personale sunt acum răspândite pe tot internetul și se tot răspândesc”

cum e mai sigura o parola?
sa fie din litere si din cifre?
http://bits.blogs.nytimes.com/2014/04/08/security-flaw-emphasizes-the-need-to-change-passwords
aici explica o chestie despre cum sa fie setata parola.
E bun ce zice?

Servicii cloud doar de la Apple

@psergiu - nu știu de ce ai menționat aiurea lastpass…

care soft e mai bun pentru managementul parolelor ?

Instagram mi-a trimis un mail zilele trecute de activitati ciudate si ca trebuie sa-mi resetez parola, presupun ca de la asta era.

Pentru generat parole eu folosesc:

http://strongpasswordgenerator.com/

sive:
Am mentionat LastPass pentru că au declarat că da, au fost vulnerabili la bug-ul ăsta: http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html
Ei zic că nu este nevoie să schimbați parolele dar asta este la alegerea voastra tinand cont ca pentru o lunga perioada certificatul lor SSL a fost compromis și toata comunicatia cu site-ul lor a fost astfel neprotejata.
Daca MasterPasswordul pe care l-ai folosit este simplistic (cuvant dintr-un dictionar fara sau cu mici alteratii) si i se poate face brute-force, eu zic să schimbi și toate parolele pe care le-ai avut în LastPass.

Oricine altcineva mai foloseste alte software-uri de management și sincronizare parole - verificati dacă și cum sunteți afectați.

.ral:cr:
Sau cineva deja ti-a luat parola ... Oricum, schimb-o.

O explicatie foarte pe scurt a bug-ului Heartbleed http://xkcd.com/1354/

Daca vreti sa verificati daca un site este sau a fost afectat de acest bug: https://lastpass.com/heartbleed/
Introduceti acolo adresa sitului si primiti raspunsul.

Se pare ca se stia de mult de el http://gizmodo.com/nsa-used-heartbleed-to-spy-on-people-for-years-1562307207?utm_campaign=socialflow_gizmodo_facebook&utm_source=gizmodo_facebook&utm_medium=socialflow

Sa imi bag ceva in internetul asta.
M-am saturat sa tot schimb parole.
Instagram-ul si IFTTT nu mai folosesc de cateva luni (conturi dezactivate, deci mi se rupe), dar recent am schimbat parola la mail, facebook si asa mai departe….acum trebuie sa o iau de la capat ?
Awesome.

Nu stiu daca nu este un prim semn de paranoia, dar eu sunt convins ca toate produsele software care sunt folosite la nivel international au back doors si astfel de bug-uri care sunt exploatate de cei interesati. Pana acum era doar la nivel de barfa dar se pare ca devine un fapt demonstrat. Si ce e mai enervant, nu ai cum sa te protejezi cand apelezi la jucaria asta mondiala (internetul) care devine din ce in ce mai periculoasa.

Și încă nu ne-am luat Tesla Model S