ВАЖНО: Прочитайте и смените пароли. Везде.

Самая мощная уязвимость за несколько лет в самом распространенном криптографическом пакете

На прошлой неделе случилось одно из самых крупных событий в сфере IT безопасности, да и в сфере IT в целом. Была обнаружена уязвимость в самом распространенном криптографическом пакете - openssl. Дыра серьезная и позволяет злоумышленнику невозбранно читать до 64К из оперативной памяти уязвимого сервера. Это круто.


Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

на самом деле, не то что бы злоумышленник запускал у себя PoC и получал в xls со всеми логинами и паролями мира. Например умыкнуть хотя бы 1 связку логина и пароля со специального “конкурсного” сервера заняло у сообщества пару часов.

Через 5-7 часов после публикации уязвимости - 08.04.2014 где-то в 12 ночи по Москве самые расторопные уязвимости закрыли (наш хостинг я закрыл через 5 часов). Многие не закрыли до сих пор, в том числе некоторые платежные шлюзы.

Что делать? Вообще паниковать, беспокоиться за фонд свободного программного обеспечения (им был нанеcен колоссальный урон репутации), менять пароли, чаще дышать свежим воздухом и меньше бывать в интернете. Мониторьте активность по вашему банковскому счету. Постарайтесь сейчас сменить пароли. Постарайтесь не забыть сменить их через месяц. Вообще пару-тройку раз в год менять пароли - это верный путь. Очень внимательно следите за своей почтой - не умыкнут ли ее. Mail.ru, gmail, yandex отчитались что у них все в безопасности.

Остальное будет просто перепост, так что я просто прикреплю ссылочки - почитайте сами.
начало 
последствия
немного паранойи 

как это работает

список сайтов, на которых точно нужно менять пароль

Андрей М.