Strona główna > Świat > Internet > Hasła zagrożone. Logowaliście się gdzieś wczoraj lub dzisiaj? Lepiej zmieńcie hasła Hasła zagrożone. Logowaliście się gdzieś wczoraj lub dzisiaj? Lepiej zmieńcie hasła a303 Internet 0
Większość z Was pewnie czytała już o najnowszym błędzie w OpenSSL. Zagrożenie nie jest teoretyczne – mamy dowody na to, że hasła użytkowników największych polskich i światowych serwisów wyciekały lub nadal wyciekają.
Błąd, nazwany Heartbleed, polega na wysyłaniu przez serwer własnej pamięci w porcjach po 64 kilobajty w odpowiedzi na każde odpowiednio skonstruowane zapytanie. Pamięć pochodzi z właśnie uwolnionego obszaru procesu OpenSSL, zatem może zawierać bardzo wrażliwe dane – i często zawiera.
Przykłady z naszego podwórka
Nie będziemy tutaj wskazywać konkretnych nazw firm – problem dotyczył wielu z nich a dzięki naszym Czytelnikom poznaliśmy kilkanaście przykładów. Wybraliśmy kilka z nich, a krytyczne dane zostały zanonimizowane.
1. Duży ogólnopolski portal
Co prawda serwery pocztowe zostały bardzo szybko załatane, ale główna domena oraz serwis usługi dysku w chmurze przez wiele godzin wysyłały kawałki pamięci, zawierające takie perełki:
.x-gzip, identity; q=0.9..Accept-Language: en-us..Authorization: Basic emFub25pbWl6b3dhbmVAeHh4LnBsOmF0dXRhamhhc2xvMQ==
Ciąg zakodowany w base64 to oczywiście login i hasło do skrzynki pocztowej. Serwis jest w dobrym towarzystwie, bo nawet Yahoo potrzebowało ponad doby na załatanie serwerów.
2. Duża firma hostingowa – serwer pocztowy
&_user=kontakt%domena.pl&_pass=haslouzytkownika<(hz0=poczta.*.pl; language=pl; roundcube_sessid=[id]
3. Serwis www dużej firmy kurierskiej
menu_name=parcelsMenu&loginKey=xxxxxxx&customerId=xxxxxx&userName=xxxxxx&password=xxxxxx
4. Jedna z największych firm bukmacherskich
Login=xxx%40xxxxx.pl&txtPasswd=xxxxx23&action=login&ajaxcall=ajaxcall
5. Panel obsługi klienta dużej firmy telekomunikacyjnej
action=logowanie&login=1234567&passw=xxxxxxx&submit=Zaloguj
6. Duża polska giełda BTC
if ($debug) printit("STDERR:$input");...fwrite($sock, $input);..}.}..fclose($sock);.fclose($pipes[0]);. fclose($pipes[1]);.fclose($pipes[2]);.proc_close($process);.
To akurat fragment kodu źródłowego, ale w odpowiedziach serwera przewijały się również dane użytkowników.
Fragment przykładowej odpowiedzi serwera
7. Jeden z największych sklepów
&j_username=xxx%40xxxx.pl&j_password=xxxxx&agreement=on
Reakcja firm, które padły ofiara ataku
Takich przykładów otrzymaliśmy dziesiątki. Zabrakło w nich chyba tylko polskich banków. W jednym rzędzie stanęły telekomy, firmy hostingowe, ubezpieczeniowe, biura maklerskie – jak się domyślacie, żadna branża nie zareagowała wystarczająco szybko, by uchronić swoich klientów przed ujawnieniem ich danych. Podatne były także serwery popularnych polskich serwisów „hakerskich”. Jak również nietrudno zgadnąć, żadna, ale to żadna z zaatakowanych firm lub organizacji nie poinformowała swoich klientów o konieczności zmiany haseł (jeśli na taką trafiliście, dajcie znać – pochwalimy).
Co prawda atak nie zostawiał śladów w logach, lecz skoro kod, umożliwiający nieautoryzowane pobranie danych z serwerów, był dostępny już po kilku godzinach od ogłoszenia błędu, to trudno zakładać, że nikt z niego nie skorzystał. Wygodniej jednak oczywiście uznać, że nic się nie stało. Polski rynek ma pod tym względem jeszcze bardzo dużo do nadrobienia.
Co z tym zrobić?
Co prawda jeśli dana firma ma milion klientów, to prawdopodobieństwo, że ktoś złośliwy trafił właśnie na Twoje hasło, jest niewielkie. Niemniej powyższe przykłady pokazują, że było to całkiem realne zagrożenie, zatem my już zmieniliśmy niektóre nasze hasła i rekomendujemy to samo naszym Czytelnikom. Co gorsza, nie wiemy, od jak dawna błąd był znany (a mógł występować od ok. dwóch lat) – zatem nawet, jeśli nie logowaliście się nigdzie w ciągu ostatnich 3 dni, to zmiana haseł nie zaszkodzi. Nawet zmiana hasła jednak może nie wystarczyć, jeśli ktoś wykradł ciasteczko Waszej sesji… Wtedy warto jeszcze się wylogować na wszelki wypadek.
Jeśli zaś szukacie podatnych serwerów, to zrobił to już za Was Robert Graham, który po przeskanowaniu całego internetu ustalił, że 600 000 adresów IP z 28 000 000 odpowiadających na porcie 443 jest ciągle podatnych. Uważajcie jednak, by nie trafić na Heartbleed-honeypota.
Honeypot Heartbleed
Tylko na Zaufanej Trzeciej Stronie zawsze najważniejsze informacje dotyczące bezpieczeństwa IT
a303
„Wy macie diabła za ojca i chcecie spełniać pożądania waszego ojca. Od początku był on zabójcą i w prawdzie nie wytrwał, bo prawdy w nim nie ma. Kiedy mówi kłamstwo, od siebie mówi, bo jest kłamcą i ojcem kłamstwa” – Jezus Chrystus do żydowskich faryzeuszy w Ewangelii św. Jana 8:44
bezpieczeństwointernetITZ3SRead the full article – wolna-polska.pl