Heartbleed

[Killaflo]

Actualizare NSA neagă informaţiile publicate de „Bloomberg“ potrivit cărora ştia despre vulnerabilitatea Heartbleed. „NSA nu ştia despre recent descoperita vulnerabilitate din OpenSSL, denumită Heartbleed, până ce nu s-a aflat despre asta în sectorul privat al securităţii online. Informarţiile care prezintă altă situaţie sunt greşite“, se arată în comunicatul oficial. O eroare de securitate în inima internetului poate provoca scurgeri de informaţii şi parole cum nu a mai existat vreodată. Eroarea afectează aproximativ 66% din locurile de pe internet, iar administratorii de servere trebuie să treacă la o nouă versiune a protocolului. Eroarea a fost descoperită luni în cadrul implementării OpenSSL, un protocol open-source de implementare a funcţiilor criptografice de bază. Eroarea a fost denumit Heartbleed şi poate fi folosită pentru a extrage memorie de pe orice server care rulează OpenSLL Serverele Yahoo, Gmail şi Facebook au fost afectate, iar utilizatorii acestor servicii sau site-uri au fost, cel mai probabil, expuşi, informează Bussines Insider. Heartbleed poate fi considerat un instrument util pentru eforturile de colectare a datelor de către NSA, cu toate că acest lucru poate duce la apariţia unei noi problematici în ceea ce priveşte modul în care acţionează agenţia americană: fie permiterea expunerii conturilor cetăţenilor din SUA pentru aproape doi ani, fie o luptă tacită a NSA împotriva bugului, dar în acelaşi tip a utilizării lui pentru propriile obiective. Agenţia de securitate a SUA a identificat în scurt timp vulnerabilitatea la scurt timp după apariţia acesteia, însă potrivit reportajului Bloomberg bugul a devenit rapid „o parte esenţială a setului de instrumente ale agenţiei pentru a fura parolele conturilor şi (n.r. – al îndeplinirii) altor sarcini (n.r. – de lucru)”. Este precizat faptul că deşi în mod treptat are loc remedierea acţiunilor Heartbleed nu înseamnă că NSA nu mai re accesat la datele utilizatorilor. Astfel, potrivit surselor jurnalistului Michael Riley de la Bloomberg, NSA dispune de o bază de date care conţine mii de vulnerabilităţi care probabil nu au fost observate de către specialiştii în securitate cibernetică.

Sit-uri care trebuie sa evitati in urmatoarele zile
yahoo.com
twitter.com
steamcommunity.com

[SAAB]

Ma, tu vrei sa ne sperii? Sa stii ca nu stau bine cu picpalacu cand nu sunt baut ....

[paX]

Ideea e sa va schimbati periodic parolele la toate site-urile (greu de facut uneori).

LISTA SITE-URI AFECTATE

[TiTex]

nu inteleg de ce dati copy/paste la un "carnati" de text fara pic de formatare ... la cum arata textul ala nici nu ma obosesc sa ma apuc sa-l citesc.

legat de acest "bug" gasit in openssl , articolele de pe net care relateaza problema te fac sa ai impresia ca te poti folosi de aceasta vulnerabilitate ca si cum ai face o plimbare in parc ceea ce nu e deloc asa.
ma seaca fazele astea cand se creaza o isterie pe o chestie de care eu cel putin cred ca majoritatea nu suntem afectati
poate sunt in minoritate pe aici dar nu prea ma intereseaza daca imi afla cineva parola de pe yahoo sa zicem si credca nici pe cei care chiar pot face asta de mine , asa ca ma simt in siguranta

dupa parerea mea cei care ar trebui sa-si faca griji si sa verifice daca sunt ok sunt siturile bancilor sau orice companie care face tranzactii cu bani pe internet si siturile guvernamentale

anyway ... serverul ilogicgroup pare ca foloseste o ramura neafectata al openssl-ului

detalii tehnice daca va intereseaza
http://www.openssl.org/news/secadv_20140407.txt" onclick="window.open(this.href);return false;
https://rhn.redhat.com/errata/RHSA-2014-0376.html" onclick="window.open(this.href);return false;
https://access.redhat.com/security/cve/CVE-2014-0160" onclick="window.open(this.href);return false;

[SAAB]

Cum adica Titex, nu vine sfarsitul lumii informatice? Bai si eu care mi-am vandut si planuiam sa imi beau toate actiunilede la bursa, pana si conturile de yahoo, gmail, dropbox sau steam le-am vazut ca sa am ce bea ....
Alta dezamagire ..... alarma falsa .... oricum beau ... dar acum beau de bucurie

[paX]

ma seaca fazele astea cand se creaza o isterie pe o chestie de care eu cel putin cred ca majoritatea nu suntem afectati

Daca nu se creaza isterie, nu se face audienta. Daca nu se face audienta, nu se da click la pagina de ziar/blog/stire. Daca nu se da click la pagina, lumea nu-si pune reclamele pe pagina. Daca lumea nu-si pune reclamele pe site, site-ul nu face bani. Daca site-ul nu face bani, ownerul moare de foame. Daca ownerul moare... se creaza isterie... pe alt site...

Stai linistit, SAAB, ca nu-ti fura nimeni fy_pornu' de pe calculator.

[God Of War]

Deci daca intram pe Cs ne infectam cu Heartbleed?Sau cum,ca n-am inteles...

[ice]

dupa parerea mea cei care ar trebui sa-si faca griji si sa verifice daca sunt ok sunt siturile bancilor sau orice companie care face tranzactii cu bani pe internet si siturile guvernamentale

Deci multe servere sunt/'au fost' vulnerabile , unu si serveru de mail de la tarom (inca mai este) si yahoo a fost , banci , multe alte site`uri servere

PS: nu fura parola sau ce se zice prin ziare se fura sesiunea de login , cookie`urile , etc

Deci Cineva Poate folosi acel lucru sa intre direct logat in sessiunea ta de yahoo , un exemplu , nu cred ca yahoo ar accepta parole necryptate .

whatever , bad bad bug ... really bad ... !

[paX]

ice,
Bugu' expunea o parte a memoriei serverului, ceea ce inseamna ca era/este posibil sa ai acces si la parole decriptate, algoritm de criptare, chei de criptare... etc.

God of War,
Bugul are legatura cu servere de informatii (servere de mail, de banci etc), nu cu servere de joc, cum e cel de CS, desi si asta-i plin de vulnerabilitati. Nu te poti infecta, ci exista posibilitatea ca altii sa-ti fure informatii confidentiale din mail, cont de banca etc. (daca ai informatii confidentiale) Ca si cum eu ti-as stii parola si ti-as citi mail-urile.

E o regula buna sa-ti schimbi parola la cateva luni, doar ca sa fi precaut si sa nu folosesti aceeasi parola pt mai multe conturi, indiferent daca exista heartbleed bug sau nu.

[matachemacelaru]

am verificat lista
.. gmail .. intru rar pe el .. nu il folosesc
...facebook mi-o sparge fac alt cont si gata...nu tin neaparat sa am unu, il folosesc mai mult pt a discuta cu difeiti membrii din grupuri de acvaristica...
...youtube ))
...dropbox, am un cont pe el .. nici nu ami stiu userul..e notat undeva in calculator dar nu il folosesc oricum.
..si yahoo mail ..cred ca am 1 an de cand nu am mai intrat.

cu restul site-urilor nu am tangenta.
fain bannerul , in ton cu sarbatorile

o seara buna! matache.

[paX]

Ma distreaza cum articolul postat de killa e mai mult despre NSA si cum ar putea folosi ei bug-ul impotriva noastra si noi o tot dam in balti cu altceva.