rollon: (orange)

айтишники об этом и так в курсе, так что этот пост для всех остальных.
в начале этой недели обнаружили серьёзную уязвимость в OpenSSL, которой дали название Heartbleed («кровотечение сердца»). название связано с тем, что уязвимость была в heartbeat («пульс» – то, как проверяется, жив ещё сервер или нет).
OpenSSL – это, упрощённо говоря, то, чем шифруются ваши данные, когда вы вводите пароль, чтоб войти на какой-нибудь сайт (например, чтобы прочесть почту).
по оценкам, этой уязвимости были подвержены около 17% серверов. на работе все на ушах ходили всю неделю. как написал Брюс Шнайер, по шкале от 1 до 10 это 11 баллов.
баг настолько серьёзный, что ему посвящён отдельный сайт и придуман логотип. это вообще первый баг с собственным брендом и маркетинговой кампанией (финны придумали, кстати).
вот как это работает в картинках:
Read more... )


или вот ещё одна картинка, показывающая реакцию NSA на то, что этот баг не могли найти 2 года (NSA, вероятно, была в курсе).
Read more... )
что делать? пока уязвимые сервера не пропатчили, сделать ничего было нельзя. основные сайты к концу недели уязвимость устранили и сейчас рассылают своим пользователям письма о том, чтобы они сменили пароли ВЕЗДЕ. и вообще, разумеется, не использовали один пароль на разных сайтах, о чём все знают и никто этого не делает.
так что:
  • меняйте пароли.

  • [livejournal.com profile] zerkms дополнил: проверьте, включена ли проверка отозванных сертификатов в вашем браузере. для Хрома это Settings -> Show advanced settings -> HTTPS/SSL. в Firefox эта опция у меня была уже включена по умолчанию, проверяется в Preferences -> Advanced -> Security -> Validation.

  • настраивайте двух-факторную аутентификацию везде, где это можно (для логина нужен будет не только пароль, но и уникальный код, полученный по смс или сгенерированный программой).

  • не используйте один пароль на разных сайтах.

  • пароль должен быть или случайно сгенерированным, или набором несвязанных слов (это, наверное, не безопаснее короткого случайно сгенерированного пароля, но запомнить определённо проще).
вот пример в картинках насчёт последнего пункта:
Read more... )

rollon: (deathnote)

Boscovich said he believes the botnet originated in Russia or Ukraine because affiliated sites install a small text file known as a cookie that is written in Russian on infected computers.
The cookie file contains the Russian phrase "yatutuzebil," according to the court filing. That can loosely be translated as "I was here," he said.

Microsoft and Symantec disrupt cyber crime ring

rollon: (deathnote)

сегодня Google проводит День более безопасного интернета (Safer Internet Day). из заметки по ссылке я узнал, что в гугл-аккаунте можно подключить 2-этапную авторизацию, то есть при входе в аккаунт из необычного места на телефон будет приходить смска с кодом, как некоторые банки делают. там же ссылка на гугловскую базу данных по безопасным практикам в интернете (есть версия на русском).
когда заканчивал настраивать эту авторизацию, в разделе настроек гуглопрофиля заметил новые вкладки (не знаю как давно они там появились, я редко туда захожу). можно, оказывается, подписаться на ежемесячный отчёт со сводной информацией о пользователе, собираемой гуглом (Accounts > Account Activity).
там же рядом можно посмотреть, какая информация выдаётся при поиске по вашему имени и фамилии, и подписаться на новые материалы (мне, положим, неактуально, но кому-то пригодится). и ещё можно скачать свою информацию (профиль, фотографии, контакты и т.д.) и сохранить на своём компьютере.
заодно зашёл посмотреть на свой Google+ профиль, там тоже нашёл новые настройки — можно, например, запретить перепост фотографий, которыми вы поделились со своими кругами. непонятно только, почему это по умолчанию не включается.
в общем, Don't be evil в действии. если бы не необходимость поддерживать университетские контакты, я бы профиль на Фейсбуке давно удалил (точнее, обнулил насколько это там вообще возможно). а так многую рабочую и учебную информацию только там публикуют, и когда надо какое-то групповое задание выполнять, вся координация там же производится. пока я выпасть из этой среды не могу себе позволить, но новые фотографии, разумеется, давно там не публикую.

rollon: (Default)

два громких скандала на этой неделе, связанных с информационной безопасностью.
один местного масштаба — внутренняя сеть министерства социального развития, как выяснилось, была открыта для всех желающих. то есть в буквальном случае можно было прийти в их офис, воспользоваться публичным компьютером (они там стояли для ищущих работу) и получить доступ к их внутренним документам. и для этого вовсе не нужно было быть хакером.
скандал случился в очень неудобный для министра момент — она как раз сейчас лоббировала создание всеобъемлющей национальной базы данных проблемных детей, куда сводились бы воедино данные из всех министерств (утрируя: заметил учитель у ребёнка фингал под глазом — запись в национальной базе, семью взяли под контроль, и т.д.). публика теперь жаждет крови.
про второй случай я вот буквально только что прочитал. квартальный отчёт Гугла по ошибке опубликовали на несколько часов раньше назначенного времени и без авторизации. результаты там были не очень, и акции Гугла обвалились на 9% (-16 миллиардов долларов капитализации). понятно, что за несколько часов цифры там бы не поменялись, но всё равно это утечка закрытой (на момент утечки) информации, и фирме, допустившей это, я не завидую. опять же, никаких хакеров, обычное раздолбайство.

Profile

rollon: (Default)
rollon

April 2017

S M T W T F S
      1
234567 8
9101112131415
16171819202122
23242526272829
30      

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 20th, 2017 11:14 am
Powered by Dreamwidth Studios