Fw: Az internetes jelszavaid
17 views
Skip to first unread message
Simonyi Béla
Apr 10, 2014, 5:18:45 AM4/10/14
to ___Simonyi-Béla_free
Ez most fontos
tudnivalónak tűnik. Ellenőriztem, hiteles az informátor is, az információ
is.
Béla
----- Original Message -----
From: "Bajnok Kristóf"
To: <b-l...@lev-lista.hu>
Sent: Thursday, April 10, 2014 9:55 AM
Subject: [b-lista] Jelszavak
Sziasztok!
Nem szokásom szakmai dolgokkal traktálni titeket, de az elmúlt napokban kiderült egy olyan hiba az "Internetben", amihez hasonló még sohasem történt. És ez nem csak néhány tízezer vagy millió felhasználót érint, hanem _mindenkit_, aki használja az Internetet.
A lényeg röviden: kiderült egy olyan hiba egy nagyon széles körben elterjedt szoftverben (OpenSSL), amelyet kihasználva nagyon sok titkos adat ellopható, olyanok is, amikről sohasem gondoltuk volna. Ezek közé tartozhatnak - többek között - a felhasználók jelszavai is, illetve olyan adatok (konkrétan az SSL titkos kulcsok), amelyeket felhasználva könnyen el lehet lopni más felhasználók jelszavait.
A probléma az, hogy:
1) A szolgáltató sem tudja megállapítani, hogy történt-e nála adatlopás vagy sem. A felhasználó még kevésbé.
2) Ugyan a szerverek egy részét nem érintette a hiba, egy felhasználó nem tudja megállapítani, hogy ő érintett-e vagy sem.
3) A hiba bejelentése után órákkal már én is hozzáfértem olyan programhoz, amivel adatokat lehet lopni. (Noha ezt feltehetően nem rossz szándékkal fejlesztették ki.) Magyarul: nagyon sokan tudnak vele visszaélni, és *egészen biztos*, hogy ezt sokan meg is tették. Nem csak az NSA, nem csak a titkosszolgálatok, hanem rossz szándékú "hackerek" tízezrei.
Ezért azt javaslom, hogy *minden olyan jelszavatokat cseréljétek le, amivel nem szeretnétek, hogy mások visszaéljenek*. Természetesen az internetbankos jelszavaitokkal kezdjétek. Freemail/gmail jelszavakat is, mert ezeknek az ellopására egy csomóan ráálltak. Paypal-os, vaterás, stb jelszavakat azért, mert nagy gond, ha ellopják őket.
Nem szokásom szakmai dolgokkal traktálni titeket, de az elmúlt napokban kiderült egy olyan hiba az "Internetben", amihez hasonló még sohasem történt. És ez nem csak néhány tízezer vagy millió felhasználót érint, hanem _mindenkit_, aki használja az Internetet.
A lényeg röviden: kiderült egy olyan hiba egy nagyon széles körben elterjedt szoftverben (OpenSSL), amelyet kihasználva nagyon sok titkos adat ellopható, olyanok is, amikről sohasem gondoltuk volna. Ezek közé tartozhatnak - többek között - a felhasználók jelszavai is, illetve olyan adatok (konkrétan az SSL titkos kulcsok), amelyeket felhasználva könnyen el lehet lopni más felhasználók jelszavait.
A probléma az, hogy:
1) A szolgáltató sem tudja megállapítani, hogy történt-e nála adatlopás vagy sem. A felhasználó még kevésbé.
2) Ugyan a szerverek egy részét nem érintette a hiba, egy felhasználó nem tudja megállapítani, hogy ő érintett-e vagy sem.
3) A hiba bejelentése után órákkal már én is hozzáfértem olyan programhoz, amivel adatokat lehet lopni. (Noha ezt feltehetően nem rossz szándékkal fejlesztették ki.) Magyarul: nagyon sokan tudnak vele visszaélni, és *egészen biztos*, hogy ezt sokan meg is tették. Nem csak az NSA, nem csak a titkosszolgálatok, hanem rossz szándékú "hackerek" tízezrei.
Ezért azt javaslom, hogy *minden olyan jelszavatokat cseréljétek le, amivel nem szeretnétek, hogy mások visszaéljenek*. Természetesen az internetbankos jelszavaitokkal kezdjétek. Freemail/gmail jelszavakat is, mert ezeknek az ellopására egy csomóan ráálltak. Paypal-os, vaterás, stb jelszavakat azért, mert nagy gond, ha ellopják őket.
Ezt a hibát nagyon komolyan kell
venni.
Kristóf
Ui1. Ezt a felhívást _dátummal együtt_ (2014.04.10)
tovább szabad küldeni ismerősöknek is.
Ui2: néhány figyelmeztető cikk a témában:
Ui2: néhány figyelmeztető cikk a témában:
https://www.niif.hu/niif_intezet/aktualitasok/heartbleed (ezt én írtam)
http://444.hu/2014/04/09/valtoztassa-meg-az-osszes-jelszavat-meg-ma/
http://444.hu/2014/04/09/valtoztassa-meg-az-osszes-jelszavat-meg-ma/
Egy kiegészítő levélváltás:
> Egy kérdés viszont: a jelszóváltoztatással nincs megoldva a dolog,
hiszen a hacker-rés megszüntetése lenne a megoldás, nem?
Ez a szolgáltatók felelőssége. Azt gondolom, a rések nagy része ma már be van tömve (addig felesleges is lett volna jelszót változtatni). A hibaelhárítás ezen része nagyon egyszerű, rutinszerű.
> "Az Internetnek" viszont nincs azonnali gazdája, hanem vírusirtó cégek vagy mások kidolgoznak majd (néhány nap alatt?) valamennyire védő "ajtónálló" szoftvert vagy ilyesmi.
A hiba jellege miatt erre nincs lehetőség. Valóban, nem hangsúlyoztam korábban: semmiféle vírusirtó nem véd a jelszavak ellopásától, mert nem tőled lopják el, hanem a szolgáltatótól. És persze most már a legtöbb helyen befoltozták a hibát, de ez nem segít azon, hogy addigra rengeteg adatot elloptak.
> Magyarul: van-e ötleted (Neked vagy másoknak) arra, hogy a jelszóváltoztatáson túl mit kellene/lehetne tenni egy magánember részéről?
Pontosan azért egyedi a hiba, mert nincs más lehetőségük a szolgáltatóknak, mint hogy megkérjék a felhasználóikat, hogy változtassanak jelszót.
Vannak olyan szolgáltatások / szerverek, amelyeket nem érint a hiba. (A sors fintora, hogy elsősorban a "rendetlen, lusta" szolgáltatók jártak most jól, akik a saját rendszerüket már 2 éve nem/alig frissítették.) Az a baj, hogy felhasználói szemmel nem tudod megállapítani, hogy a te szolgáltatód ilyen-e vagy sem.
Összefoglalva: hacsak nem kapsz arról tájékoztatást, hogy NEM vagy érintett, az a biztos, ha feltételezed, hogy érintett vagy.
Kristóf
Ez a szolgáltatók felelőssége. Azt gondolom, a rések nagy része ma már be van tömve (addig felesleges is lett volna jelszót változtatni). A hibaelhárítás ezen része nagyon egyszerű, rutinszerű.
> "Az Internetnek" viszont nincs azonnali gazdája, hanem vírusirtó cégek vagy mások kidolgoznak majd (néhány nap alatt?) valamennyire védő "ajtónálló" szoftvert vagy ilyesmi.
A hiba jellege miatt erre nincs lehetőség. Valóban, nem hangsúlyoztam korábban: semmiféle vírusirtó nem véd a jelszavak ellopásától, mert nem tőled lopják el, hanem a szolgáltatótól. És persze most már a legtöbb helyen befoltozták a hibát, de ez nem segít azon, hogy addigra rengeteg adatot elloptak.
> Magyarul: van-e ötleted (Neked vagy másoknak) arra, hogy a jelszóváltoztatáson túl mit kellene/lehetne tenni egy magánember részéről?
Pontosan azért egyedi a hiba, mert nincs más lehetőségük a szolgáltatóknak, mint hogy megkérjék a felhasználóikat, hogy változtassanak jelszót.
Vannak olyan szolgáltatások / szerverek, amelyeket nem érint a hiba. (A sors fintora, hogy elsősorban a "rendetlen, lusta" szolgáltatók jártak most jól, akik a saját rendszerüket már 2 éve nem/alig frissítették.) Az a baj, hogy felhasználói szemmel nem tudod megállapítani, hogy a te szolgáltatód ilyen-e vagy sem.
Összefoglalva: hacsak nem kapsz arról tájékoztatást, hogy NEM vagy érintett, az a biztos, ha feltételezed, hogy érintett vagy.
Kristóf
Reply all
Reply to author
Forward
0 new messages