Tag: heartbleed

Internetowe menedżery haseł mogą być podatne na ataki przestępców

W kwietniu wiele mówiło się o tzw. Heartbleed, czyli luce bezpieczeństwa w popularnym protokole OpenSSL. Chodziło o to, że wiele stron internetowych, które z niego korzystało, było podatnych na ataki cyberprzestępców. W efekcie tysiące użytkowników mogło stracić swoje dane logowania i narazić się na niebezpieczeństwo utraty ważnych informacji. Jako remedium na taką sytuację proponowane były menedżery haseł. Jak się okazuje, nie wszystkie z nich są tak samo bezpieczne.

1Password - dodatek do Safari

Gdzie tkwi problem? Winne są zakładki przeglądarek internetowych, ponieważ menedżery haseł często są w nich umieszczane. Przestępcy mogą to wykorzystać, umieszczając na stronach internetowych złośliwy kod, który „podpatrzy” i ukradnie dane zawarte w pamięci usługi chroniącej hasła. W ten sposób użytkownik może stracić dane logowania i hasła do wielu często wykorzystywanych stron internetowych.

Na ślad błędów w kilku internetowych menedżerów haseł natrafili specjaliści w dziedzinie bezpieczeństwa z Uniwersytetu Kalifornijskiego w Berkeley. We wrześniu 2013 roku odkryli, że 5 najpopularniejszych sieciowych menedżerów haseł jest narażonych na ataki, które pozwolą odczytać przechowywane w nich dane. Następnie poinformowali o tym zainteresowane firmy.

Ofiarami ataków mogli być użytkownicy następujących usług: LastPass, PasswordBoxRoboFormmy1login oraz NeedMyPassword. Wszystkie z wyjątkiem jednej – NeedMyPassword, zostały już poprawione i nie powinny stanowić zagrożenia dla użytkowników.

Co ważne – menedżery haseł, które nie mają wersji internetowych, nie są narażone na podobne zagrożenia. W dodatku większość z wymienionych wyżej firm zareagowały na informacje o problemach nienagannie, wydając odpowiednie patche i likwidując problem. Jednak jeśli korzystaliście z tych usług przed wrześniem 2013 roku, warto mimo wszystko rozważyć zmianę hasła głównego lub zmianę programu na lokalnego menedżera haseł (czyli takiego, który pracuje w pamięci komputera, a nie tylko w przeglądarce internetowej).

Jak widać bezpieczeństwie w internecie to dynamiczne zagadnienie, które ciągle się zmienia i ewoluuje. Jeszcze w kwietniu mówiło się, że menedżer haseł pomoże w zachowaniu bezpieczeństwa naszych danych. Dziś okazuje się, że to nie zawsze musi być prawda i bardzo wiele zależy od samych twórców takiego oprogramowania. A Wy z jakich metod korzystacie?

Więcej informacji na temat bezpieczeństwa w sieci znajdziecie w naszym dziale poświęconym temu zagadnieniu: bezpieczeństwo w Softonic.

Zobacz także:

Źródła: devd.me (plik PDF), LastPass,

Źródło obrazka:David Goehring (Flickr)

Obserwuj @PawelKanski na Twitterze

Luka w OpenSSL – spytaliśmy się międzynarodowych specjalistów od bezpieczeństwa co o tym myślą

Jeszcze raz wracamy do spraw związanych z dziurą w zabezpieczeniach biblioteki OpenSSL, o której pisaliśmy już kilkukrotnie. Tym razem z garścią opinii od międzynarodowych specjalistów od bezpieczeństwa w internecie. Na nasze pytania odpowiedzieli m. in. Geoffroy Couprie oraz Lorenzo Martínez.

Obaj podzielają takie same opinie, szczególnie jeśli chodzi o skalę zjawiska, konieczność zmiany haseł oraz rolę NSA w całej tej sytuacji. Zgadzają się co do tego, że Heartbleed to naprawdę poważna luka, a cała ta sytuacja nie powinna pozostać bez reakcji. Szczególnie, że jak twierdzi  Geoffroy Couprie:

Atak za wykorzystaniem luki w OpenSSL może ujawnić dane użytkownika jakie są przepuszczane przez serwer. W zależności od serwera mogą to być hasła, pliki cookies, dane kart kredytowych adresy czy numery telefonów.

Obaj specjaliści zmienili hasła oraz inne dane logowania do stron z których korzystają. Co więcej, zwracają uwagę, że to dobry moment na to by zacząć korzystać z menedżera haseł.

W sieci pojawiły się też informacje o tym, że amerykańska agencja bezpieczeństwa, NSA, korzystała z wycieku Heartbleed. Dzięki temu Amerykanie mogli uzyskać dostęp do bardzo wielu danych, nie tylko należących do obywateli Stanów Zjednoczonych. Geoffroy Couprie twierdzi jednak, że użytkownicy nie powinni się tym specjalnie przejmować.

Martwienie się o ty, że NSA mogło dostać się do naszych danych za pomocą dziury w OpenSSL jest nie na miejscu. Szczególnie, że błąd ten umożliwiał dostęp do tych danych w zasadzie każdemu kto wiedział jak wykorzystać tę sytuację.

Co można zalecić użytkownikom w takiej sytuacji? Lorenzo Martínez twierdzi, że:

Obecnie należy korzystać tylko z niezbędnych nam serwisów sieciowych i to tylko z tych, które nie były dotknięte luką OpenSSL lub już oficjalnie sobie z nią poradziły. Dodatkowo, zawsze należy korzystać z długich, nieprzewidywalnych haseł oraz nie wykorzystywać jednakowych kodów dla kilku serwisów jednocześnie. Można też zacząć korzystać z menedżerów haseł i z podwójnej weryfikacji dostępu, jeśli jest to możliwe.

Ciekawą radę ma Geoffroy Couprie:

Jeśli jeden z serwisów z którego korzystacie nie zareagował na potencjalny wyciek lub Was o tym nie poinformował, informujcie ich o takiej potrzebę aż to naprawią lub porzućcie ich usługę w ogóle. Luka w OpenSSL jest łatwa do naprawienia, więc jeśli jeszcze ktoś tego nie zrobił, nie warto powierzać mu swoich danych.

Jeśli chcecie dowiedzieć się więcej o problemach z OpenSSL, zajrzyjcie do naszych newsów i artykułów na ten temat:

Źródło: Własne

Obserwuj @PawelKanski na Twitterze

Czym jest Heartbleed: 5 kroków dla ochrony i bezpieczeństwa

Przez lata Twoje dane były narażone na wielkie niebezpieczeństwo. Przyczyną tego była luka o nazwie Heartbleed. Zachowaj jednak spokój, można się przed nią bronić.

Podczas połączenia z niektórymi stronami na pasku adresu w przeglądarce widnieje kłódka. Ta ikona informuje o tym, że połączenie jest bezpieczne, a dane pomiędzy komputerem a serwerem strony są szyfrowane. Nikt zatem nie może odczytać tych informacji. Ponadto, zamiast standardowego http, początek adresu zaczyna się od https, gdzie s oznacza security, czyli bezpieczne połączenie. Odwiedzenie takich stron powinno być odporne na wszelkie konwencjonalne ataki.

Jednak nawet najbardziej zaawansowane programy i zabezpieczenia mają luki. Właśnie te luki w połączeniach SSL odkryte zostały niedawno i nazwane Heartbleed, czyli krwawiące serce. Jest to bardzo poważna luka ponieważ pozwala oszukać blokadę i odczytywać wszystkie dane. Nie trzeba nawet nic ukrywać na serwerach, wystarczy wysłać odpowiednie zapytanie. Hakerzy mogli więc przez lata wykorzystywać tę dziurę, a teraz jest ona już w pełni ujawniona.

Szacuje się, że 17,5% witryn narażonych jest na niebezpieczeństwo. Dobrą wiadomością jest fakt, że OpenSSL został już zaktualizowany do wersji 1.0.1g. I wszystkie strony wkrótce znów będą bezpieczne. Mleko się jednak rozlało i nie ma pewności, że nasze hasło lub dane nie zostały skradzione.

Aby czuć się bezpiecznie, należy podjąć odpowiednie kroki.

5 kroków aby zachować bezpieczeństwo

Natychmiastowa zmiana wszystkich haseł nie jest dobrym rozwiązaniem. Jeśli wszędzie dalej będziecie używać tego samego hasła, to taki zabieg nic nie zmieni. Część serwisów nadal może być narażona na lukę. Dlatego warto sprawdzić, czy nasze dane w konkretnym serwisie są bezpieczne za pomocą Heartbleed Test.

  1. Wyloguj się ze wszystkich swoich stron internetowych i aplikacji. Celem jest zakończenie korzystania z usług, które potencjalnie dotknięte są zagrożeniem
  2. Sprawdź status każdej ze stron za pomocą darmowego Heartbleed Test
  3. Jeśli są zielone, możesz zmieniać hasło na każdym z nich na unikatowe i silne
  4. Jeśli nie są zielone, to czekaj. Powtórz za jakiś czas, gdy będzie zielone
  5. Jeśli otrzymujesz e-maile zachęcające do zmiany hasła, zrób to. Ale sprawdź wcześniej czy nie są fałszywe. Przestępcy mogą chcieć wykorzystać sytuację aby ukraść hasła.

Zmień hasło do konta w momencie, gdy wynik Heartbleed Test jest zielony (pozytywny)

Jeśli zamierzasz zmienić hasła lub nie używać tych samych, warto skorzystać z pomocy w postaci menadżera haseł jak na przykład LastPass. Usługa ta pozwala zarządzać hasłami i poinformuje nas o tym, kiedy należy hasło w danym serwisie zmienić.

LastPass nie tylko zarządza hasłami ale przypomina o ich zmianie

Dwie wskazówki na przyszłość

Aktywuj weryfikację dwuetapową. Polega ona na podaniu swojego numeru telefonu, a następnie wpisaniu kodu z wiadomości SMS na stronie. Dzięki niej niemożliwy jest dostęp do konta nawet gdy ktoś zdobędzie nasze hasło. Możemy to zrobić w takich serwisach jak Google, Facebook, Dropbox, WordPress, usługach Microsoftu i wielu innych.

Jeśli masz trochę czasu, przejrzyj serwisy, z których nie korzystasz. Przeanalizuj z których usług warto zrezygnować i należy usunąć tam konto. Wiele serwisów nie jest aktualizowanych, a posiadają nasze dane i hasła. Usunięcie zbędnych kont pozwoli na zwiększenie bezpieczeństwa naszego głównego konta.

Teraz internet będzie bezpieczniejszy

Z tego wydarzenia możemy wynieść ważną lekcję. Odkrycie to wzmocniło bezpieczeństwo stron i aplikacji, z których korzystamy na co dzień. Przede wszystkim wyczuli nas na punkcie stosowania bezpieczniejszych systemów identyfikacji. Wydaje się, że hasła w tradycyjnym znaczeniu są już przestarzałe.

Teraz już wiesz, że warto stosować dwuetapową weryfikację oraz dobrego menadżera haseł. Jeśli zaczniesz stosować technologię szyfrowania i ukrywania danych, tym lepiej dla Ciebie. Kryzys ten wpłynie na to, że będziesz jeszcze bezpieczniej surfować po internecie.

Co sądzisz o tym wielkim kryzysie bezpieczeństwa?

Zobacz również:

Luka w OpenSSL – kolejne doniesienia z frontu

Wczoraj pisaliśmy o bardzo poważnej luce w bezpieczeństwa wielu stron i usług internetowych. Związana jest ona z biblioteką kluczy oraz szyfrów OpenSSL, z której korzysta 66% wszystkich stron internetowych na świecie. Dziś mamy dla Was garść informacji i porad o tym, jak zabezpieczyć się przed ewentualnymi konsekwencjami tej luki bezpieczeństwa.

Na czym polega luka bezpieczeństwa w OpenSSL?

Przypomnijmy – OpenSSL to zbiór kluczy i szyfrów, dzięki którym można zaszyfrować dane jakie są wysyłane i odbierane przez serwery np. sklepu internetowego czy portalu społecznościowego. Wspomniana luka w zabezpieczeniach pozwalała nieupoważnionym osobom na dostęp do informacji jakie użytkownik wymienia ze stroną internetową. Mogą to być więc nazwa użytkownika, hasła dostępu, dane osobiste, a nawet informacje o kartach kredytowych.

Które strony były narażone na wyciek danych poprzez lukę w OpenSSL?

Na serwisie GitHub znajdziecie listę 1000 największych stron internetowych na świecie i informację czy były one narażone na utratę danych. Powstała ona wczoraj, ósmego kwietnia, więc do dziś wielu z administratorów wymienionych tam stron pewnie już sobie z problemem poradziła. Listę znajdziecie tutaj. Wśród stron narażonych na ataki były takie firmy i serwisy jak m. in. Yahoo.com, Flickr.com czy xda-developers.com. Polskie serwisy (Onet.pl, Allegro.pl, WP.pl, Gazeta.pl i Kwejk.pl) okazały się na szczęście bezpieczne.

Jak się ochronić przed konsekwencjami?

Niestety, jako użytkownicy sklepów czy banków nie możemy zrobić zbyt wiele. Tak naprawdę wszystko zależy od administratorów stron internetowych z których korzystacie. To oni muszą zaktualizować bibliotekę OpenSLL do najnowszej wersji, by pozbyć się tej “dziury”.

Jeśli usługa lub strona internetowa, z której korzystaliście, jest na liście i została oznaczona jako zagrożona, poczekajcie aż jej administratorzy zaktualizują OpenSSL. Wtedy można zmienić hasło dostępu. Warto też zmienić hasła dostępu do innych serwisów, które korzystają z Waszych poufnych danych.

Jeśli jesteście zainteresowani informacjami na temat bezpieczeństwa w sieci, koniecznie zajrzyjcie do naszego działu poświęconego antywirusom i bezpieczeństwu.

Zobacz także:

Źródło: News.Softonic

Obserwuj @PawelKanski na Twitterze

Ogromna dziura w zabezpieczeniach wielu serwerów, 65% z nich narażona na kradzież danych użytkowników

Ponad połowa serwerów w internecie, także te na których pracuje Wasz bank, ulubiony sklep czy blog, przez dwa lata narażona była (i prawdopodobnie wciąż jest) na “podsłuchiwanie” i kradzież danych. Wszystko przez lukę w zabezpieczeniach protokołów OpenSSL z których korzysta większość serwerów w internecie.

Na czym polega zagrożenie? OpenSSL to biblioteka kluczy oraz szyfrów, które umożliwiają szyfrowanie i deszyfrowanie informacji jakie przepływają przez dany serwer, np. podczas logowania się użytkownika na stronę sklepu internetowego. Jeśli ktoś wiedział o tej dziurze w zabezpieczeniach, mógł w łatwy sposób odczytać wymianę informacji pomiędzy serwerami jakiejś usługi, a użytkownikiem. Mogą to być np. dane dotyczące kart kredytowych, dane logowania do sklepu czy inne, wrażliwe dane pochodzące z prywatnych kont np. na Facebooku. Co gorsza – kradzież takich informacji nie zostawia na serwerze żadnych śladów i dlatego nie wiadomo, które z serwerów mogły paść ofiarami takich ataków. Dziura o której piszemy zyskała już nawet przydomek “heartbleed“.

Co można zrobić, by zabezpieczyć się przed ewentualnym atakiem? Niestety nic. Cała odpowiedzialność spoczywa na administratorach serwerów. Jedyne co mogą oni zrobić w tej chwili to aktualizacja protokołu OpenSSL do najnowszej wersji, która pozbawiona jest krytycznej luki. Na wszelki wypadek możemy tylko zmienić hasło do serwisów z których korzystamy.

O komentarz spytaliśmy się specjalistę od bezpieczeństwa internetowego w Softonic. Zapewnił nas, że strona Softonic.pl jest bezpieczna, a nasze serwery mają zaktualizowaną wersję OpenSSL. Jeśli chcecie sami sprawdzić czy serwis z którego korzystacie jest bezpieczny, możecie zrobić to na stronie http://filippo.io/Heartbleed/. Wystarczy wpisać tam adres strony, która może być potencjalnie narażona na atak. W zamian otrzymamy informację, czy jest ona już bezpieczna. Obecnie usługa ta może działać powoli z powodu dużej ilości zapytań.

Więcej szczegółowych informacji na ten temat możecie znaleźć na specjalnie przygotowanej stronie tutaj.

Zobacz także:

Źródło: Techcrunch, Heartbleed


//