Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі

Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі

10 Квітня 2014
11486
10 Квітня 2014
14:17

Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі

11486
Днями стало відомо про існування дірки в безпеці протоколу шифрування даних OpenSSL
Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі
Виявлено найбільшу загрозу безпеці приватної інформації в мережі. Час змінювати паролі

Проблема існує вже 2 роки. Протягом всього цього періоду хакери, які могли знати про діру, безконтрольно могли читати вашу переписку, знати інформацію про ваші банківські дані, вашу пошту і т.д., повідомляєWatcher.com.ua із посиланням на Businessinsider.

 

Дірку в безпеці назвали Heartbleed. Експерти з безпеки інформації вважають, що це найбільша загроза безпеки приватної інформації за весь час існування інтернету.

 

Причому це не просто баг в якомусь додатку, який легко можна «апдейтнути». Дірка в безпеці серверів, які забезпечують безпечну передачу даних в таких сервісах як Facebook, Gmail та тисячах інших.

 

Heartbleed - дірка в безпеці OpenSSL - опенсорсний стандарт шифрування даних, який використовують більшість сайтів для шифрування даних, які проходять між сервером та користувачем. Це дає можливість шифрувати дані при обміні повідомленнями в чаті чи електронній пошті.

 

Шифрування відбувається в такий спосіб, що якщо хтось перехопить вашу інформацію - це буде лише набір символів, який не має жодного сенсу.
Коли комп‘ютери встановлюють між собою безпечне з‘єднання через OpenSSL - вони відправляють один одному так званий heartbeat (серцебиття) - невеликий пакет даних, який просить дати відповідь на запит.

 

Через помилку в програмному коді OpenSSL зловмисники отримали можливість надіслати неавторизований heartbeat в такий спосіб, що сервер буде сприймати його як авторизований комп‘ютер і може отримати доступ до даних, що зберігаються, зокрема, в пам‘яті серверів.

 

Наскільки висока загроза для користувача?

 

Це найвищий рівень загрози з існуючих до сьогоднішнього дня. Веб сервери можуть тримати своїй активній пам‘яті багато інформації, включаючи паролі, контент, який завантажив користувач. Навіть номери кредитних карток.

 

Але найнебезпечніше те, що в хакерів з‘явилась можливість доступу до ключів шифрування - кодів, які дають можливість перетворити беззмістовну інформацію, яка передається між користувачем та сервером, у нормальну.

 

Маючи такі ключі, хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) та розшифровувати їх. Наприклад, можна підключитись до вашого інтернет-кабеля, і знімати з нього всю вашу переписку поштою.

 

Тобто це означає, що поки на сервері не будуть змінені ключі безпеки - хакери зможуть продовжувати читати вашу інформацію.

 

Чи стосується це вас особисто?

 

Скоріш за все, так. Це може стосуватись вас як прямо, так і опосередковано. OpenSSL - найпопулярніший стандарт шифрування в інтернеті. Ваші улюблені сайти, сайт вашої компанії, сайт, де ви оплачуєте комунальні послуги чи купуєте книги - багато з них використовують OpenSSL.

 

За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогоднішній день сайтів, 66% використовують технології на базі SSL.

 

Що ви можете зробити, щоб захистити себе?

 

Оскільки проблема існує вже понад 2 роки, і процес доступу до ваших даних не залишав жодних слідів втручання - це означає, що так чи інакше хтось міг отримати доступ до ваших даних. Важливо змінити ваші паролі. Особливо для сервісів, де є важлива інформація.

 

Однак, якщо сайт, де зберігається ця інформація, не оновив OpenSSL, зміна вашого паролю нічого не дасть - загроза доступу до даних буде зберігатись.

 

Поштові сервіси Gmail та Yahoo.Mail вже «залатали» діру, і просять користувачів змінити свої паролі. Аналогічна ситуація з соціальною мережею Facebook та сервісом зберігання даних Dropbox.

 

За даними BBC News, деякі компанії, серед яких Google та Yahoo, уже закликають людей змінювати свої паролі. Так, блог-платформи Tumblr радить громадськсті «змінити свої паролі скрізь - особливо це стосується електронної пошти, зберігання файлів і банківську діяльність».

 

У Google та у Codenomicon (фінська компанія із безпеки) кажуть, що внаслідок виявленої помилки в програмі SSL-шифрування, яка існувала протягом двох років, інтернет-користувачі можуть втратити персональні дані та паролі різних веб-сервісів.

 

Оскільки персональні дані не були ніде опубліковані, виявити чи зламана ваша скринька - неможливо.

 

Експерти називають ситуацію катастрофічною. За словами блогера Брюса Шнейера, катастрофа - правильне слово. По 10-бальній шкалі - 11. 

 

«Українська правда. Життя»

Ілюстрація - http://life.pravda.com.ua

 

Команда «Детектора медіа» понад 20 років виконує роль watchdog'a українських медіа. Ми аналізуємо якість контенту і спонукаємо медіагравців дотримуватися професійних та етичних стандартів. Щоб інформація, яку отримуєте ви, була правдивою та повною.

До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування спільних ідей та отримувати більше ексклюзивної інформації про стан справ в українських медіа.

Мабуть, ще ніколи якісна журналістика не була такою важливою, як сьогодні.
У зв'язку зі зміною назви громадської організації «Телекритика» на «Детектор медіа» в 2016 році, в архівних матеріалах сайтів, видавцем яких є організація, назва також змінена
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
11486
Коментарі
0
оновити
Код:
Ім'я:
Текст:
Долучайтеся до Спільноти «Детектора медіа»!
Ми прагнемо об’єднати тих, хто вміє критично мислити та прагне змінювати український медіапростір на краще. Разом ми сильніші!
Спільнота ДМ
Використовуючи наш сайт ви даєте нам згоду на використання файлів cookie на вашому пристрої.
Даю згоду