Eroarea Heartbleed: Tot ce trebuie sa stii!

» Ştiri şi articole care trebuiesc citite!
Post Reply
User avatar
tataieee
Administrator
Posts: 3832
Joined: 17 Sep 2014, 17:52
Nume Real: Alexandru Costin
Nivel cunoştinţe IT: 10
Location: Giurgiu; România
Contact:

17 Oct 2014, 21:06

Image
Heartbleed, o vulnerabilitate in OpenSSL, a tinut capul de afis in ultima vreme in mediul online. Aceasta eroare afecteaza site-urile care au la inceputul link-ului “https” si permite extragerea informatiilor confidentiale.

Problema este ca datorita acestei vulnerabilitati nu se poate stii daca s-a realizat o activitate daunatoare asupra unui site, deoarece nu lasa urme, serverele nu pot sa faca diferenta intre utilizarea normala si un atac.

Heartbleed a afectat website-uri, servicii de email, servicii de comunicare instant, aproape tot ceea ce foloseste un certificat SSL. Se estimeaza ca ⅔ din serverele din toata lumea au fost afectate.

Mashable.com a postat o LISTA cu cele mai importante site-uri care au fost afectate, precum si declaratia acestora in legatura cu problema. Unele site-uri nu au fost afectate pentru ca nu au utilizat o versiune vulnerabila de OpenSSL. Versiunile vulnerabile se gasesc aici, la mijlocul paginii.

Pentru a testa care dintre site-urile care le folosesti sunt vulnerabile ai la dispozitie urmatoarele link-uri:

1. https://www.ssllabs.com/ssltest/analyze.html

2. https://filippo.io/Heartbleed/

3. https://lastpass.com/heartbleed/

Un tool foarte util in aceasta problema este managerul de parole Lastpass, care monitorizeaza site-urile care au fost vulnerabile si te atentioneaza sa schimbi parola in momentul in care este in regula.

Ce se poate face in aceasta situatie?

Zooku recomanda schimbarea parolelor la site-urile care au fost afectate si alegerea unor parole sigure, dar NUMAI dupa ce acestea anunta ca s-au luat masurile tehnice pentru remedierea problemei, altfel schimbarea parolei este inutila. Dupa schimbarea parolei, daca se poate introduce si autentificare in 2 pasi, este un plus pentru securitate. Cand este activata autentificarea in 2 pasi, pe langa parola este necesar si un cod trimis pe dispozitivul mobil sau generat de o aplicatie (exemplu Google Authenticator).

Obiectivul nostru este imbunatatirea neincetata a mijloacelor de protectie a clientilor si pentru asta monitorizam in permanenta serviciile oferite.

Specialistii nostri au demarat o serie de investigatii din prima zi cand vulnerabilitatea a fost facuta publica si garantam ca serviciile Zooku NU au fost afectate nici o secunda si toate datele sunt in siguranta.

Sursa: http://www.zooku.ro/blog/eroarea-heartb ... t-afectat/
*Email: w.tataieee@gmail.com
*PayPal: w.tataieee@yahoo.com
Post Reply

Return to “Stiri si articole”