Ez most fontos
tudnivalónak tűnik. Ellenőriztem, hiteles az informátor is, az információ
is.
Béla
----- Original Message -----
From: "Bajnok Kristóf"
Sent: Thursday, April 10, 2014 9:55 AM
Subject: [b-lista] Jelszavak
Sziasztok!
Nem szokásom szakmai
dolgokkal traktálni titeket, de az elmúlt napokban kiderült egy olyan hiba az
"Internetben", amihez hasonló még sohasem történt. És ez nem csak néhány
tízezer vagy millió felhasználót érint, hanem _mindenkit_, aki használja az
Internetet.
A lényeg röviden: kiderült egy olyan hiba egy nagyon széles
körben elterjedt szoftverben (OpenSSL), amelyet kihasználva nagyon sok titkos
adat ellopható, olyanok is, amikről sohasem gondoltuk volna. Ezek közé
tartozhatnak - többek között - a felhasználók jelszavai is, illetve olyan adatok
(konkrétan az SSL titkos kulcsok), amelyeket felhasználva könnyen el lehet lopni
más felhasználók jelszavait.
A probléma az, hogy:
1) A szolgáltató sem
tudja megállapítani, hogy történt-e nála adatlopás vagy sem. A felhasználó még
kevésbé.
2) Ugyan a szerverek egy részét nem érintette a hiba, egy
felhasználó nem tudja megállapítani, hogy ő érintett-e vagy sem.
3) A hiba
bejelentése után órákkal már én is hozzáfértem olyan programhoz, amivel adatokat
lehet lopni. (Noha ezt feltehetően nem rossz szándékkal fejlesztették ki.)
Magyarul: nagyon sokan tudnak vele visszaélni, és *egészen biztos*, hogy ezt
sokan meg is tették. Nem csak az NSA, nem csak a titkosszolgálatok, hanem
rossz szándékú "hackerek" tízezrei.
Ezért azt javaslom, hogy *minden
olyan jelszavatokat cseréljétek le, amivel nem szeretnétek, hogy mások
visszaéljenek*. Természetesen az internetbankos jelszavaitokkal kezdjétek.
Freemail/gmail jelszavakat is, mert ezeknek az ellopására egy csomóan ráálltak.
Paypal-os, vaterás, stb jelszavakat azért, mert nagy gond, ha ellopják
őket.
Ezt a hibát nagyon komolyan kell
venni.
Kristóf
Ui1. Ezt a felhívást _dátummal együtt_ (2014.04.10)
tovább szabad küldeni ismerősöknek is.
Ui2: néhány figyelmeztető cikk a
témában:
Egy kiegészítő levélváltás:
> Egy kérdés viszont: a jelszóváltoztatással nincs megoldva a dolog,
hiszen a hacker-rés megszüntetése lenne a megoldás, nem?
Ez a
szolgáltatók felelőssége. Azt gondolom, a rések nagy része ma már be van tömve
(addig felesleges is lett volna jelszót változtatni). A hibaelhárítás ezen része
nagyon egyszerű, rutinszerű.
> "Az Internetnek" viszont nincs azonnali
gazdája, hanem vírusirtó cégek vagy mások kidolgoznak majd (néhány nap
alatt?) valamennyire védő "ajtónálló" szoftvert vagy ilyesmi.
A hiba
jellege miatt erre nincs lehetőség. Valóban, nem hangsúlyoztam korábban:
semmiféle vírusirtó nem véd a jelszavak ellopásától, mert nem tőled lopják el,
hanem a szolgáltatótól. És persze most már a legtöbb helyen befoltozták a hibát,
de ez nem segít azon, hogy addigra rengeteg adatot elloptak.
>
Magyarul: van-e ötleted (Neked vagy másoknak) arra, hogy a
jelszóváltoztatáson túl mit kellene/lehetne tenni egy magánember
részéről?
Pontosan azért egyedi a hiba, mert nincs más lehetőségük a
szolgáltatóknak, mint hogy megkérjék a felhasználóikat, hogy változtassanak
jelszót.
Vannak olyan szolgáltatások / szerverek, amelyeket nem érint a
hiba. (A sors fintora, hogy elsősorban a "rendetlen, lusta" szolgáltatók jártak
most jól, akik a saját rendszerüket már 2 éve nem/alig frissítették.) Az a baj,
hogy felhasználói szemmel nem tudod megállapítani, hogy a te szolgáltatód
ilyen-e vagy sem.
Összefoglalva: hacsak nem kapsz arról tájékoztatást,
hogy NEM vagy érintett, az a biztos, ha feltételezed, hogy érintett
vagy.
Kristóf