HeartBleed bug promjena passworda

Pozdrav citam po ovim portalima o tom bagu i svi pisu sto prije da se promjeni pass… a i napisali su da je taj bug vec star 2 god… Dal cete vi mjenjati pass

Čitaj i na našem forumu:

Zanimljiv članak je na 24 sata:

Prvo si provjeri koji od servisa koje koristiš bi uopće mogao biti među pogođenima. Ne koriste svi OpenSSL. Neke su procjene da od poslužitelja koji uopće koriste SSL, njih 17 % je ugroženo ovim propustom. Pri tome veći igrači, poput Amazona, Googlea, Microsofta, nisu ugroženi.

Postoje neki načini na koje bi vlasnici poslužitelja mogli sada, kada su upozoreni, analizirati promet i dokučiti da li netko iskorištava propust, ali to je besmisleno, jer sada više ne koristi ničemu - treba ažurirati OpenSSL na posljednju inačicu. Dakle, ključ stvari je u tome da li je neki poslužitelj bio kompromitiran i da li uljez i dalje aktivno prisluškuje promet na njemu. Ako jest i ako se i dalje prisluškuje, naprosto nije moguće odrediti što je bolje: prestati pristupati poslužitelju dok se propust ne zatvori ili promijeniti zaporku, to je poput bacanja kocke. Jedino je pravo rješenje da vlasnik poslužitelja ažurira OpenSSL i potom aplicira novi certifikat za SSL i to mora učiniti što prije. Nakon toga treba što prije promijeniti zaporke.

Dakle, svatko tko koristi OpenSSL s propustom trebao bi u narednih par dana poduzeti potrebne mjere.

evo zgodan post sa tablicom ispod

1 Like

odražava li se ovo i na manje stranice poput raznih foruma?
tumblr je recimo objavio notification da se promjeni lozinka,
dok ne vidim da je google išta učinio po tom pitanju u gmailu.

Samo na one web-stranice na koje pristupaš kroz SSL (https://) i koje za SSL koriste OpenSSL biblioteku. Radi se o tome da stranice koje SSL uopće ne koriste (a forumi tipično ne koriste SSL) ionako vrše autentifikaciju korisnika u plain-tekstu, dakle nema zaštite od prisluškivanja. Ako te krađa zaporke ne brine kod takvih stranica, ne treba te posebno brinuti niti kod stranica koje imaju kompromitirani SSL. Jedino te stvar treba brinuti tamo gdje se SSL doista koristi, a imao bi problema u slučaju krađe identiteta.

GMail nije pogođen, ali je Google objavio da preporučaju zamjenu zaporke zbog nekih ranijih zakrpa, drugim riječima, svakako treba zaporke redovito mijenjati. Vidi listu na Mashableu u prethodnom postu.

Ovdje je jedna tražilica preko koje možeš provjeriti siteove koje koristiš:

Oni nagađaju status na osnovi serverskog softvera koji se koristi.

Bitno mi je da je paypal netaknut :smiley:

Financijske institucije izvještavaju da su bombardirane pokušajima iskorištavanja HeartBleed buga, prvenstveno s IP-adresa kineskog porijekla.

Neki dodatni izvještajima o proizvodima koji bi mogli biti ugroženi ovim bugom:

XKCD strip o tome u čemu je sigurnosni propust:

Detaljan opis s prikazom isječka koda s bugom: