11:38
17/4/2014

TVN24 BIS donosi o aresztowaniu 19-latka za wykradnięcie danych kanadyjskich podatników — serwery ichniejszego fiskusa były podatne na Heartbleed.

Od siebie dodamy tylko, że Heartbleed to nie wirus, i że zachęta do zmiany haseł na serwerach, które są wciąż podatne na ten atak to kiepski pomysł. Wrzucacie wtedy wasze stare/nowe hasło do pamięci serwera, skąd odczytać je może atakujący.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. Material zrodlowy jest po prostu genialny!
    “…młody mężczyzna, który w ostatni piątek włamał się na stronę internetową”
    “…wirus Hearbleed zaatakował bazę danych agencji.”

  2. A na jednym z materiałów na TVN24 niejaki Piotr Konieczny z Niebezpiecznika zaleca w takiej sytuacji zmianę hasła ;-) (materiał trwający 4:50 “Dzień na świecie”)

    • Bo co do zasady, hasła zawsze warto regularnie zmieniać ;)

      Tamto nagranie było realizowane po 3 dniach od publikacji błędu, i oczywiście w domyśle należałoby przyjąć, że większość serwerów jest już załatana (CERT podawał, że jedynie 6% jest podatnych) — precyzując, rada oczywiście jest dobra wyłącznie, dla serwerów, dla których wyeliminowano problem.

    • Piotrze, takie małe pytanko do tego materiału.

      Czy pojawiła się nieścisłość (może w celu uproszczenia sprawy dla laików) czy może ja coś źle rozumiem i muszę zaktualizować swoją wiedzę? Padła bowiem informacja, że można wyciągnąć dane z pamięci komputera. W domyśle, co potwierdzają jednak przykłady: z całej pamięci.

      Wg mnie problem jest “fizycznie” ograniczony do pamięci procesu (czy to serwera, czy klienta), bo OpenSSL działa w userspace. A tak naprawdę to nawet dużo mniej, bo do puli pamięci, z której OpenSSL alokuje miejsce na stringi (nie używają normalnego calloca, co zresztą dla mnie jest głównym powodem Heartbleeda).

      Czy coś pomieszałem?


      Na marginesie: poprawcie reklamę VPSów, które polecacie. W tej chwili oferują “10USD na strat”. Straty 10USD źle brzmią w reklamie ;).

    • Niebezpiecznik jest znany z tego, że ma mnóstwo literówek w swoich artykułach – to i czemu w reklamie nie miałby ich mieć? :P

  3. W jaki sposób został wykryty?

  4. Zobaczcie na pasek w 1:16 ;) “hartbleed” :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: