Heartbleed, cea mai periculoasa vulnerabilitate ne afecteaza direct

Salutare prieteni, in tutorialul de astazi o sa vorbim despre securitate, mai exact despre vulnerabilitatea gasita in Open SSL folosit de servere pentru protejarea informatiilor introduse de utilizatori la logarea pe un site sau serviciu web. Vulnerabilitatea numita “Heartbleed” a aparut odata cu introducerea unei functii “heart beat”, functie ce permite pastrarea activa a unei sesiuni de autentificare pe un site.
Ce este mai exact vulnerabilitatea Heartbleed ?
Ei bine, un atacator care doreste sa exploateze aceasta vulnerabilitate, poate captura tot ce se afla in memoria RAM a unui server. Daca in momentul atacului cativa utilizatori aveau sesiuni de logarea active sau se logau chiar in acel moment pe site-ul respectiv, sesiunile, cheile aflate in memoria RAM la acel moment puteau fi capturate si astfel se putea obtine informatii sensibile, nume de utilizator, parola sau alte informatii introduse in timpul sesiunii. Informatiile capturate puteau fi folosite si ulterior.
Multe site-uri din Romania sunt inca afectate de aceasta vulnerabilitate, printre ele si un foarte cunoscut tracker caruia nu ii voi da numele 🙂
Exista si suficiente companii care nu folosesc Open SSL insa foarte multe site-uri de renume si platforme sociale precum Facebook, Twitter, Tumblr Flickr, Pinterest, Yahoo, Google, Dropbox, folosesc Open SSL.
Din fericire foarte multe companii sau servicii web si-au patch-uit deja vulnerabilitatea aflata in Open SSL. Se pare ca Heartbleed a fost descoperit de Google si patch-uit tot de acestia. Asa cum probabil stiti Google joaca un rol extrem de important in comunitatea open source si nu de putine ori s-a intamplat ca Google sa intervina ajutand open source-ul, o platforma in care Google isi pune foarte multa baza caci o foloseste din plin in majoritatea softurilor si serviciilor oferite.
Cum ne protejam de vulnerabilitatea Heratbleed ?
Ca simpli utilizator nu putem face prea multe lucruri. Un firewall si un Antivirus nu ne ajuta intr-un astfel de caz caci atacatorul tinteste spre serverul (site-ul) pe care noi il accesam nu spre PC-ul nostru.
– recomandat ar fi sa nu folositi aceeasi parola pentru toate conturile, sa folositi parole cat mai complexe care sa contina litere, cifre, semne, spatii.
– sa evitati autentificarile frecvente (de mai multe ori intr-un interval scurt)
– nu folositi retele publice si nu faceti autentificari de pe acestea. Daca totusi sunteti nevoiti, folositi un VPN abordat de noi in tutorialul Okay Freedom, plati pe internet si navigare in siguranta
– nu faceti plati online sau transfer de abani in aceasta perioada
– accesati Heartbleed test pentru a verifica daca site-ul catre care doriti sa navigati este inca vulnerabil sau nu.
Pe final, Heartbleed este cea mai mare vulnerabilitate din istoria internetului. Pe o scara de la 1 la 10 specialistii in securitate ii acorda lui Heartbleed un grad de risc 10+, foarte ridicat.
Din fericire site-ul nostru nu este afectat. Chiar acum cateva zile am primit un update de la WordPress care a patch-uit aceasta vulnerabilitate. Utilizatorii site-ului nostru ar trebui a stea linistiti in aceasta privinta caci pe site-ul nostru nu este nevoie de autentificare, nu va cerem informatii sensibile, nu aveti nevoie de un cont pentru vizionarea tutorialelor noastre.


[media id=1111 width=480 height=223]


Tutoriale similare


Despre Adrian

Flamand de informatie si cunoastere, imi place tot ce tine de domeniul tehnic si impartasesc din cunostintele mele cu mare placere. Cei ce se daruiesc altora se vor pierde pe ei insisi dar cu folos, lasand ceva util semenilor. Bucurandu-ma de acest privilegiu, nu voi spune niciodata "nu stiu", ci "nu stiu inca" !

Comments

  1. In acest caz, folosirea de parole complexe cu litere mari,mici, cifre si alte semne este inutila, exact ca in cazul unui keylogger pe care l-ai avea in PC, pentru ca iti sunt interceptate absolut toate tastele apasate…asa ca…
    Multumim pentru tutoriale, pe care le urmaresc tot timpul , dar in ultimul timp sunt cam rare…

  2. Nu ai dreptate cand zici “ca sa nu ne schimbam parola decat daca am primit email”.!!!!
    Parolele se schimba in mod regulat, odata la 2-3 luni.

    • Adrian Gudus a zis

      Ai inteles gresit tutorialul meu. ai inteles gresit si modul in care un atacator iti poate obtine informatiile. Daca erai putin mai atent si citeai si textul de deasupra tutorialului ai fi inteles (si probabil ai fi auzit) cand am spus ca nu este recomandat sa se schimbe parola in ACEASTA PERIOADA (1-2 saptamani)
      Este foarte probabil ca pe site-ul pe care intri tu astazi sau maine, vulnerabilitatea sa existe inca. Daca in acest timp un atacator profita de ea si captureaza memoria serverului respectiv, s-ar putea sa ramai fara username si parola caci ce sa vezi, sesiunea ta se afla in memoria serverului, exact atunci cand tu crezi ca tu faci o mare fapta schimband parola. Daca in acel timp (cand tu schimbi parola) atacatorul face captura, va obtine nu doar parola veche ci si noua parola impreuna cu alte sesiuni active la acel moment.
      Era mai simplu sa spui ca nu ai inteles tutorialul decat sa ma corectezi gresit pe mine.
      Data viitoare fii mai atent

  3. propun sa continuati tutorialele despre camere de supraveghere, dvr-uri, nrv-uri … setari.. sa ne facem si noi acasa sau la firme singuri retelele de supraveghere .astea chiar ar fi interesant de dus pana la capat.
    multumim pentru acest tutorial . eu stiam ca chiar daca intercepteaza datele din server criptate nu prea au ce face cu ele . dureaza o vesnicie decriptarea. nu cred ca e nimeni chiar asa de nebun sa stea 1 , 2 saptamani poate mai mult sa descopere parola unui utilizator .

  4. SE PARE CA LASTT TORENTS AR PUTEA FI INFECTAT – http://filippo.io/Heartbleed/#lasttorrents.org

    • Adrian Gudus a zis

      Nu este o infecție, un virus. Este vorba despre un bug, o vulnerabilitate. Cum am spus și în textul de deasupra tutorialului, un antivirus și un firewall nu te ajuta pe tine ca utilizator în cazul acestei Vulnerabilitati.

      • Buna ziua, am mare nevoie sa ma ajutati cu un sfat.De cca 2 luni,dupa 5 min cateodata si 20 minute, nu mai pot naviga pe net -implicit sa intru pe mail, aparandu-mi in colt stang un mesaj “establishing secure connection…”.Si o fereastra in care spune: “ERROR CODE:ERR-EMPTY-RESPONDE”.Pe unele site-uri ca sa intru tb sa dezactivez antivirusul.Ca sa pot intra pe net, trebuie sa inchid calculatorul si sa redeschid.Mentionez ca am Win 7 home si antivirus Avast,brows Chrom.Cu deosebita stima, Stefan

  5. Am si eu acest sistem placa de baza :https://www.asus.com/Motherboards/M2NE/,procesor:amd phenom ii x4 940
    http://www.pcgarage.ro/procesoare/amd/phenom-ii-x4-940-black-edition-300-ghz-skt-am2-plus-box/
    4 gm ram ddr 2 800 mhz ,sursa de 45 w integrata .
    Si as vrea sa-mi achizitionez aceasta placa video :http://www.emag.ro/placa-video-msi-amd-radeon-r7-250-oc-1024mb-gddr5-128bit-hdmi-dvi-vga-propeller-blade-technology-r7-250-1gd5-oc/pd/D387JBBBM/ si am slot 1.0 si placa video este pe 3.0 la ce capacitate va merge placa video si daca are nevoie de alimentare.

  6. Voi, astia de la videotutorial, va pricepeti cel mai bine la copy-paste, la a furat articole de pe siteurile altora.
    Va dati destepti cand nu sunteti si vreti sa pareti nush’ ce genii in ochii unor fraieri neinformati care pun botul.
    Ati ajuns penibili !

    • Banuiesc ca esti inginerul / inginerii de la Google care a / au descoperit vulnerabilitatea…si ai scris prima oara despre ea.
      Ai / ati facut treaba buna cu gasirea bug-ului si publicarea patch-ului.
      Ne cerem scuze ca ne-am informat vizitatorii, data viitoare nu mai publicam asa ceva. Totusi noi credeam ca e bine sa stie lumea….

      • …..intotdeauna de gaseste un netot sa arunce cu noroi in cel care munceste, mergi inainte cu tutorialele si nu apleca urechea la “marile genii ale internetului”!

        • Nu putem merge inainte in conditiile astea, maine inchidem pravalia, adica videoturorial.ro, website responsabil pentru multe nelegiuiri.
          ‘Eu’ are dreptate, gata cu ciordeala…
          Suna ca dracu ‘eu are dreptate’… Corect ar fi fost ‘eu am dreptare’, dar n-am, eu are dreptatate.

    • Constantin a zis

      Bai asta desteptu “Eu says” fraier esti tu ca aici ai si persoane desteapta care urmareste tutorialele acestor moderatori/administratori. Mai sunt si persoane cu profesinala, liceul, facultate care urmaresc aceste videotutorial, dupa cum se vede din postarea ta nu ai nici cele 8 clase terminate de la scola generala de acolo din provicie de unde esti tu sau pe vocabularul tau (de la tara) si controleazati un pic si tu vocabularul ca daca ai fi cat de putin “destept”.

    • Adrian Gudus a zis

      Cu toate acestea, vii si ne urmaresti pe ascuns, ne cauti. De ce oare? Doar nu suntem destepti, nu?

      • Constantin a zis

        Bravo baieti “echipa videotutorial.ro” faceti o treaba foarte buna nu luati in considerare tot ce unii posteaza la voi pe site. Poate o fi invidia pe omul care are succes in tot cea ce face si totul merge ok?
        Eu propun ca aceste mesaje lipsite de bun simnt sa nu le mai aprobati.
        Cine citeste acest mesaj pe care eu il las si este de acord cu mine va sugerez sa comunicati baietilor,
        Haide-ti sa facem o campanie impotriva “DESTEPTILOR”.
        Daca si ei sunt de acord sa puna in aplicare aceasta sugestie sa nu mai accepte aceasta situatie.

    • 1 NU Cristi nu ai de ce sa -ti ceri scuze
      daca domnul EU ar fi bine intentionat nu si ar face toti userii “fraieri neinformati”
      2 am spus si o sa mai spun ori de cate ori este nevoie cand spui calculator spui videotutorial.ro
      3 pina la urma ce sa mi fure dupa nu stiu ce site “caii de la bicicleta”
      4subiectul este in mas-media de cel putin 2 ani deci care furt si copy paste?
      5Romani in anul 2014 in Romania este democratie====avem dreptul la informatie sau nu?
      Adrian multumesc

  7. Heartbleed test a zis

    pana si saitul vostru este vulnerabil —- Uh-oh, something went wrong: You should check the http”s” site

    Videotutorial.ro nu stocheaza date personale ale vizitatorilor.
    Aici nu trebuie sa va autentificati, nu aveti parole, user, date de identitate,etc
    Cand vizitati videotutorial.ro o faceti prin ‘http’ nu prin ‘https’.

    Echipa videotutorial.ro

  8. Heartbleed test a zis

    rectific saitul este in regula imi cer scuze— se pare ca atunci cand introduci http inainte iti da ceva si cand introduci fara http iti da altceva

  9. Salut
    vorbeai in tutorial despre o extindere de retea cu mai multe routere, pot sa sper ca vei face un tutorial?

    • Voi face o retea noua si daca tot trebuie sa o fac va voi impartasi si voua din experienta prin care voi trece.
      Acum caut echipamentele necesare si cand le voi avea pe toate o sa fac acest tutorial.
      Vom avea si ceva PoE ( power over ethernet), tehnologie extrem de utila in cazul locatiilor indepartate unde nu avem retea electrica.

  10. Multumesc ca ne informati despre absolut orice, nu stiu de ce e asa de suparata persoana de mai sus, iar eu astept cu nerabdare urmatoare tutoriale pe care le ve-ti face.

  11. Sugestie, tutoriale cu Ubuntu.

  12. Felicitari pentru tutorial si multumesc mult pentru el.Astazi am decis datorita tutorialului tau sa imi instalez okay freedom pentru siguranta mea.Sunt putini oameni care isi pierd timpul lor pretios doar pentru a ii informa si pe altii despre marile probleme de securitate care sunt `online` si la ce riscuri se expun cand folosesc retele wi-fi publice sau `ne-parolate`.TOT RESPECTUL!

  13. Daca folosim LastPass tot suntem in pericol?

  14. de vreo trei zile antivirusul meu îmi raportează că a oprit o tentativă de scanare a porturilor,ce înseamnă asta?se întâmplă doar seara.

  15. Nu inteleg de ce uni nu au ce face , si dau si ei un coment pe videotutorial, ca de sa se afle si ei in treaba, eu de as fi in locul administratorilor nu numai ca nu as ,dar leas da si un spam , c-a alta data sa se mai ia de alte site
    cat despre subiect vurnerabilitate inseammna hakuit.

  16. Alexu Mihai a zis

    Salut videotutorial.ro! As dorii si eu sa faceti un tutorial despre un program cu care sa descarc foarte usor muzica de ori unde,de pe orice site,chiar si de pe Trilulilu(ba chiar mai ales de pe acela).Stiu ca exista si multi o sa-mi spuneti sa folosesc Trilulilu Downloader dar eu nu-l folosesc pe acela fiindca atunci cand vreau sa descarc exact unde ii spun eu nu vrea,trebuie neaparat sa descarc unde zice el,nush parerea mea e ca are multe minusuri,si mai stiu de un program PyMaxe care este foarte bun dar din pacate nu stiu ce au avut creeatorii cu el ca in ultima vreme nu-mi mai gaseste melodiile care le descarcam eu inainte de exemplu melodii vechi cu formatiile Generic si Azur (probabil ca o sa radeti dar na asta ascult si asta am eu nevoie sa descarc).Daca pana cum 3-4 zile imi gasea 10 rezultate cu o melodiie de-a lor sau mai mult de 10,acum nu mai gaseste nimic,m-am uitat si pe site si vad ca pe trilulilu sunt melodiile respective.Am bifat acolo la optiuni sa descarce de pe toate site-urile inclusiv Trilulilu.Imi placea foarte mult la acel program ca descarcam foarte usor:scriam melodia,mergea si sa o ascult,si daca vroiam ii dadeam direct Download,nu mai trebuia sa copi si sa pastez acolo,era mura in gura vorba aia,dar acum daca au umblat cei de la Pymaxe la el,na ce sa fac,mergea foarte bine,nu inteleg ce ii mai trebuia.Daca mai stiti si alt program,macar la fel de bun si usor de folosit ca Pymaxe va rog sa faceti un tutoria lcu el,ca sa descarc si eu asa cum trebuie de pe Trilulilu.Numai bine!

    • Adrian Gudus a zis

      Nu Pymaxe este de vina si nici Trilulilu Downloader. De vina este Trilulilu, acestia nu sunt de acord cu download-ul clipurilor/melodiilor, la fel cum nu este de acord nici YouTube.
      Aceste site-uri fac frecvent modificari ca softurile de download sa nu mai functioneze. Google inlatura extensiile din Google Play Store pentru browserul Chrome care faciliteaza download-ul clipurilor de pe YouTube.

      • Alexu Mihai a zis

        Am inteles,dar chestia e ca numai acolo gaseam eu melodiile respective,dar asta este.Atunci daca se poate ati putea face un tutorial cu programul cu care descarcati dumnevoastra muzica sau ma rog,metoda respectiva daca nu folositi neaparat un program.

    • Freemake video downloader

  17. Adrian ma puteti ajuta sa aflu cum se claculeaza W la componente pentru a alege o sursa si cati W treabuie sa lasam de rezerva.
    Si ce modele de surse sunt cele mai bune

    • Adrian Gudus a zis

      A făcut-o deja colegul meu Cristi într-un alt tutorial despre “ghid achiziÈ›ionare sursa” pe care îl găseÈ™ti folosind căsuÈ›a de căutare din dreapta sus.

  18. Cristian Cismaru:
    Banuiesc ca esti inginerul / inginerii de la Google care a / au descoperit vulnerabilitatea…si ai scris prima oara despre ea.
    Ai / ati facut treaba buna cu gasirea bug-ului si publicarea patch-ului.
    Ne cerem scuze ca ne-am informat vizitatorii, data viitoare nu mai publicam asa ceva. Totusi noi credeam ca e bine sa stie lumea….

    Cel mai bine anuntati-ne!Va rog!

  19. Cu ce sa va afecteze pe voi…videotutorial….voi nici macar nu folositi protocolul https!

  20. Faine tutoriale Felicitari! Tineti-o tot asa!
    As avea un mesaj pentru profesorii de informatica sau ma rog de T.I.C,poate totusi vede vreunu macar.Cred ca lucruri ca formatarea unei partitii,partitionarea unui hard si multe altele ar trebui sa fie predate inca din clasa a5a sau hai a6a macar la scoala.Multi profesori in loc sa predea fie ii lasa sa stea pe net sau sa se joace la aceste ore.Sincer eu cred ca orele de informatica ar trebui luate mai in serios in scoliile romanesti.Am auzit acum vreu 2 luni o stire la un post de radio,nu-i dau numele ca nu vreau sa fac reclama,cum ca nu stiu prin ce localitate din Moldova,au fost primite vreo 50 de calculatoare cu ubuntu pe ele,dar stau si se depune praful pe ele deoarece nimeni nu stie sa foloseasca acest S.O sincer e grav,foarte grav.Eu am terminat un liceu filo bilingv in urma cu ceva ani vreo 6 si la noi la ora de informatica,copiii stati si voi pe net sau de cele mai multe ori ne lasa acasa si toata lumea avea 10.Serios aceasta problema ar trebui luata mai in serios in scolile romanesti

  21. Unde e lincu?

  22. Lincul este in text,unde scrie accesati HeartBleed.Da click pe HeartBleed.

  23. Cristina urmăream tutorial ele telefon dar pe apk samsung nu merge , player ul nu se vizualizează.

Speak Your Mind

*