Heartbleed, cea mai periculoasa vulnerabilitate ne afecteaza direct

Salutare prieteni, in tutorialul de astazi o sa vorbim despre securitate, mai exact despre vulnerabilitatea gasita in Open SSL folosit de servere pentru protejarea informatiilor introduse de utilizatori la logarea pe un site sau serviciu web. Vulnerabilitatea numita “Heartbleed” a aparut odata cu introducerea unei functii “heart beat”, functie ce permite pastrarea activa a unei sesiuni de autentificare pe un site.
Ce este mai exact vulnerabilitatea Heartbleed ?
Ei bine, un atacator care doreste sa exploateze aceasta vulnerabilitate, poate captura tot ce se afla in memoria RAM a unui server. Daca in momentul atacului cativa utilizatori aveau sesiuni de logarea active sau se logau chiar in acel moment pe site-ul respectiv, sesiunile, cheile aflate in memoria RAM la acel moment puteau fi capturate si astfel se putea obtine informatii sensibile, nume de utilizator, parola sau alte informatii introduse in timpul sesiunii. Informatiile capturate puteau fi folosite si ulterior.
Multe site-uri din Romania sunt inca afectate de aceasta vulnerabilitate, printre ele si un foarte cunoscut tracker caruia nu ii voi da numele 🙂
Exista si suficiente companii care nu folosesc Open SSL insa foarte multe site-uri de renume si platforme sociale precum Facebook, Twitter, Tumblr Flickr, Pinterest, Yahoo, Google, Dropbox, folosesc Open SSL.
Din fericire foarte multe companii sau servicii web si-au patch-uit deja vulnerabilitatea aflata in Open SSL. Se pare ca Heartbleed a fost descoperit de Google si patch-uit tot de acestia. Asa cum probabil stiti Google joaca un rol extrem de important in comunitatea open source si nu de putine ori s-a intamplat ca Google sa intervina ajutand open source-ul, o platforma in care Google isi pune foarte multa baza caci o foloseste din plin in majoritatea softurilor si serviciilor oferite.
Cum ne protejam de vulnerabilitatea Heratbleed ?
Ca simpli utilizator nu putem face prea multe lucruri. Un firewall si un Antivirus nu ne ajuta intr-un astfel de caz caci atacatorul tinteste spre serverul (site-ul) pe care noi il accesam nu spre PC-ul nostru.
– recomandat ar fi sa nu folositi aceeasi parola pentru toate conturile, sa folositi parole cat mai complexe care sa contina litere, cifre, semne, spatii.
– sa evitati autentificarile frecvente (de mai multe ori intr-un interval scurt)
– nu folositi retele publice si nu faceti autentificari de pe acestea. Daca totusi sunteti nevoiti, folositi un VPN abordat de noi in tutorialul Okay Freedom, plati pe internet si navigare in siguranta
– nu faceti plati online sau transfer de abani in aceasta perioada
– accesati Heartbleed test pentru a verifica daca site-ul catre care doriti sa navigati este inca vulnerabil sau nu.
Pe final, Heartbleed este cea mai mare vulnerabilitate din istoria internetului. Pe o scara de la 1 la 10 specialistii in securitate ii acorda lui Heartbleed un grad de risc 10+, foarte ridicat.
Din fericire site-ul nostru nu este afectat. Chiar acum cateva zile am primit un update de la WordPress care a patch-uit aceasta vulnerabilitate. Utilizatorii site-ului nostru ar trebui a stea linistiti in aceasta privinta caci pe site-ul nostru nu este nevoie de autentificare, nu va cerem informatii sensibile, nu aveti nevoie de un cont pentru vizionarea tutorialelor noastre.


[media id=1111 width=480 height=223]
ce este heartbleedce inseamna hearbleedcea mai mare vulnerabilitate din istoria internetuluicea mai periculoasa vulnerabilitate sslcum ne protejam de heartbleeddefinitie heartbleeddespre vulnerabilitatea heartbleedexplicarea vulnerabilitatii heartbleedexplicatia vulnerabilitatii heartbleedheart bleed virusheartbleed viruspe cine afecteaza vulnerabilitatea Heartbleedvirus internetvulnerabilitate gasita in Open SSL
Adrian: Flamand de informatie si cunoastere, imi place tot ce tine de domeniul tehnic si impartasesc din cunostintele mele cu mare placere. Cei ce se daruiesc altora se vor pierde pe ei insisi dar cu folos, lasand ceva util semenilor. Bucurandu-ma de acest privilegiu, nu voi spune niciodata "nu stiu", ci "nu stiu inca" !

View Comments (42)

  • In acest caz, folosirea de parole complexe cu litere mari,mici, cifre si alte semne este inutila, exact ca in cazul unui keylogger pe care l-ai avea in PC, pentru ca iti sunt interceptate absolut toate tastele apasate...asa ca...
    Multumim pentru tutoriale, pe care le urmaresc tot timpul , dar in ultimul timp sunt cam rare...

  • Nu ai dreptate cand zici "ca sa nu ne schimbam parola decat daca am primit email".!!!!
    Parolele se schimba in mod regulat, odata la 2-3 luni.

    • Ai inteles gresit tutorialul meu. ai inteles gresit si modul in care un atacator iti poate obtine informatiile. Daca erai putin mai atent si citeai si textul de deasupra tutorialului ai fi inteles (si probabil ai fi auzit) cand am spus ca nu este recomandat sa se schimbe parola in ACEASTA PERIOADA (1-2 saptamani)
      Este foarte probabil ca pe site-ul pe care intri tu astazi sau maine, vulnerabilitatea sa existe inca. Daca in acest timp un atacator profita de ea si captureaza memoria serverului respectiv, s-ar putea sa ramai fara username si parola caci ce sa vezi, sesiunea ta se afla in memoria serverului, exact atunci cand tu crezi ca tu faci o mare fapta schimband parola. Daca in acel timp (cand tu schimbi parola) atacatorul face captura, va obtine nu doar parola veche ci si noua parola impreuna cu alte sesiuni active la acel moment.
      Era mai simplu sa spui ca nu ai inteles tutorialul decat sa ma corectezi gresit pe mine.
      Data viitoare fii mai atent

      • Eu am vorbit la modul general ca ari fii bine ca utilizatorii sa-si schimbe parolele intr-un interval de 2-3-4 luni.

  • propun sa continuati tutorialele despre camere de supraveghere, dvr-uri, nrv-uri ... setari.. sa ne facem si noi acasa sau la firme singuri retelele de supraveghere .astea chiar ar fi interesant de dus pana la capat.
    multumim pentru acest tutorial . eu stiam ca chiar daca intercepteaza datele din server criptate nu prea au ce face cu ele . dureaza o vesnicie decriptarea. nu cred ca e nimeni chiar asa de nebun sa stea 1 , 2 saptamani poate mai mult sa descopere parola unui utilizator .

    • Nu este o infecție, un virus. Este vorba despre un bug, o vulnerabilitate. Cum am spus și în textul de deasupra tutorialului, un antivirus și un firewall nu te ajuta pe tine ca utilizator în cazul acestei Vulnerabilitati.

      • Buna ziua, am mare nevoie sa ma ajutati cu un sfat.De cca 2 luni,dupa 5 min cateodata si 20 minute, nu mai pot naviga pe net -implicit sa intru pe mail, aparandu-mi in colt stang un mesaj "establishing secure connection...".Si o fereastra in care spune: "ERROR CODE:ERR-EMPTY-RESPONDE".Pe unele site-uri ca sa intru tb sa dezactivez antivirusul.Ca sa pot intra pe net, trebuie sa inchid calculatorul si sa redeschid.Mentionez ca am Win 7 home si antivirus Avast,brows Chrom.Cu deosebita stima, Stefan

        • Vezi daca data, ora si anul de pe pc-ul tau sunt setate bine

  • Am si eu acest sistem placa de baza :https://www.asus.com/Motherboards/M2NE/,procesor:amd phenom ii x4 940
    http://www.pcgarage.ro/procesoare/amd/phenom-ii-x4-940-black-edition-300-ghz-skt-am2-plus-box/
    4 gm ram ddr 2 800 mhz ,sursa de 45 w integrata .
    Si as vrea sa-mi achizitionez aceasta placa video :http://www.emag.ro/placa-video-msi-amd-radeon-r7-250-oc-1024mb-gddr5-128bit-hdmi-dvi-vga-propeller-blade-technology-r7-250-1gd5-oc/pd/D387JBBBM/ si am slot 1.0 si placa video este pe 3.0 la ce capacitate va merge placa video si daca are nevoie de alimentare.

  • Voi, astia de la videotutorial, va pricepeti cel mai bine la copy-paste, la a furat articole de pe siteurile altora.
    Va dati destepti cand nu sunteti si vreti sa pareti nush' ce genii in ochii unor fraieri neinformati care pun botul.
    Ati ajuns penibili !

    • Banuiesc ca esti inginerul / inginerii de la Google care a / au descoperit vulnerabilitatea...si ai scris prima oara despre ea.
      Ai / ati facut treaba buna cu gasirea bug-ului si publicarea patch-ului.
      Ne cerem scuze ca ne-am informat vizitatorii, data viitoare nu mai publicam asa ceva. Totusi noi credeam ca e bine sa stie lumea....

      • .....intotdeauna de gaseste un netot sa arunce cu noroi in cel care munceste, mergi inainte cu tutorialele si nu apleca urechea la "marile genii ale internetului"!

        • Nu putem merge inainte in conditiile astea, maine inchidem pravalia, adica videoturorial.ro, website responsabil pentru multe nelegiuiri.
          'Eu' are dreptate, gata cu ciordeala...
          Suna ca dracu 'eu are dreptate'... Corect ar fi fost 'eu am dreptare', dar n-am, eu are dreptatate.

    • Bai asta desteptu "Eu says" fraier esti tu ca aici ai si persoane desteapta care urmareste tutorialele acestor moderatori/administratori. Mai sunt si persoane cu profesinala, liceul, facultate care urmaresc aceste videotutorial, dupa cum se vede din postarea ta nu ai nici cele 8 clase terminate de la scola generala de acolo din provicie de unde esti tu sau pe vocabularul tau (de la tara) si controleazati un pic si tu vocabularul ca daca ai fi cat de putin "destept".

    • Cu toate acestea, vii si ne urmaresti pe ascuns, ne cauti. De ce oare? Doar nu suntem destepti, nu?

      • Bravo baieti "echipa videotutorial.ro" faceti o treaba foarte buna nu luati in considerare tot ce unii posteaza la voi pe site. Poate o fi invidia pe omul care are succes in tot cea ce face si totul merge ok?
        Eu propun ca aceste mesaje lipsite de bun simnt sa nu le mai aprobati.
        Cine citeste acest mesaj pe care eu il las si este de acord cu mine va sugerez sa comunicati baietilor,
        Haide-ti sa facem o campanie impotriva "DESTEPTILOR".
        Daca si ei sunt de acord sa puna in aplicare aceasta sugestie sa nu mai accepte aceasta situatie.

    • 1 NU Cristi nu ai de ce sa -ti ceri scuze
      daca domnul EU ar fi bine intentionat nu si ar face toti userii "fraieri neinformati"
      2 am spus si o sa mai spun ori de cate ori este nevoie cand spui calculator spui videotutorial.ro
      3 pina la urma ce sa mi fure dupa nu stiu ce site "caii de la bicicleta"
      4subiectul este in mas-media de cel putin 2 ani deci care furt si copy paste?
      5Romani in anul 2014 in Romania este democratie====avem dreptul la informatie sau nu?
      Adrian multumesc

  • pana si saitul vostru este vulnerabil ---- Uh-oh, something went wrong: You should check the http"s" site

    Videotutorial.ro nu stocheaza date personale ale vizitatorilor.
    Aici nu trebuie sa va autentificati, nu aveti parole, user, date de identitate,etc
    Cand vizitati videotutorial.ro o faceti prin 'http' nu prin 'https'.

    Echipa videotutorial.ro

  • rectific saitul este in regula imi cer scuze--- se pare ca atunci cand introduci http inainte iti da ceva si cand introduci fara http iti da altceva

  • Salut
    vorbeai in tutorial despre o extindere de retea cu mai multe routere, pot sa sper ca vei face un tutorial?

    • Voi face o retea noua si daca tot trebuie sa o fac va voi impartasi si voua din experienta prin care voi trece.
      Acum caut echipamentele necesare si cand le voi avea pe toate o sa fac acest tutorial.
      Vom avea si ceva PoE ( power over ethernet), tehnologie extrem de utila in cazul locatiilor indepartate unde nu avem retea electrica.

  • Multumesc ca ne informati despre absolut orice, nu stiu de ce e asa de suparata persoana de mai sus, iar eu astept cu nerabdare urmatoare tutoriale pe care le ve-ti face.

    • Probabil are exclusivitate pentru toate subiectele din toata lumea ever si noi ''i-am furat'' unul din aceste subiecte.
      Asteptam citatia...

Leave a Comment
Related Post
  1. Copilot Designer creează imagini digitale originale după descrierea noastră

    Despre ce este vorba în tutorialul video Copilot Designer creează imagini digitale originale după descrierea…

  2. Aer condiționat ușor de curățat recomandare – Midea All Easy Pro Nordic

    Aer condiționat ușor de curățat recomandare Despre ce este vorba în acest video cu titlul…

  3. Luminarea ecranului pe margine la notificări – notificări mai discrete

    Despre ce este vorba in tutorialul Luminarea ecranului pe margine la notificări? In acest tutorial…

This website uses cookies.