Vaihda salasana heti: Nämä suomalaiset palvelut kärsivät Heartbleedistä

Jeppe-Joonatan (vahvistamaton)18. April, 2014 10:341/15

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

takkihukassa18. April, 2014 10:542/15

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

Kyllä salasana kannattaa vaihtaa heti ja varautua vaihtamaan se uudelleen, jos palvelun nimi tulee vaihtamisen jälkeen listoille. Palvelun käyttäjä ja salasanatiedot saattavat olla jo rikollisilla "varastossa".

Salasanat eivät ole sukupuuttoon kuolemassa joten niitä riittää.

Michelola18. April, 2014 11:053/15

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

syrtek6618. April, 2014 11:294/15

Lainaus, alkuperäisen viestin kirjoitti Michelola:

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?

teppoI18. April, 2014 11:325/15

Lainaus, alkuperäisen viestin kirjoitti Jeppe-Joonatan:

Ei salasanoja saa vaihtaa ennen kuin palvelimet on korjattu. Parasta on olla käyttämättä palvelua kunnes se on päivitetty ja vasta sen jälkeen vaihtaa salasana.

Kyberturvallisuuskeskus ilmoittaa niiden palvelujen nimet, jotka ovat kertoneet korjanneensa haavoittuvuuden.

armagedoun (vahvistamaton)18. April, 2014 11:516/15

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Automic18. April, 2014 12:077/15

En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä

Eugent18. April, 2014 12:098/15

Lainaus, alkuperäisen viestin kirjoitti syrtek66:

Lainaus, alkuperäisen viestin kirjoitti Michelola:

ärsyttävä joku suomalainen pikkufirma yrittää hyötyä ja tuotteistaa jotain ohjelmistobugia -____- niillä ei ollut käytännössä mitään tekemistä asian kanssa ja silti ne leijuu

Ketä tarkoitat ? Eikö ole hyvä että kaikki tietävät mista bugista on kyse muuten kuin jollakin typerällä CVE tunnisteella?

Uskoisin että Michelola tarkoittaa tässä tapauksessa Codenomiconia.

Insomniu18. April, 2014 12:099/15

Oletetaan, että muutoin salaus on tehty asiallisesti palveluiden puolesta.

Riittää, että käyttäjä muuttaa/lisää yhden merkin salasanaan.
KissaKoira2014 => Kissakoira2014

Salasana on kuin uusi, tässä tapauksessa.

Sefriol18. April, 2014 12:5810/15

Kannattaa myös salasanaa tekiessä muistaa, että ei kannata tehdä itselle kauhean vaikeasti muistettavaa salasanaa. Yleensä nämä on tietokoneen paljon helpomi arvata. Myös sanakirjaa käyttäviä dekryptereitä on turha pelätä, jos salasana on tarpeeksi pitkä. Toisaalta, jossain palveluissa on salasanan pituus rajoitettu, joten se hieman rajoittaa asiaa.
Esimerkki: 10 sanan lauseet, jossa lauseen ensimmäisen ja viimeisen sana alkavat isolla kirjaimella.
EikiinnostatamapaskasittenYhtaanEiedesHuomenna
Numeroita halutessaan. Suurempi todennäköisyys on, että salasanasi paljastuu huolimattomuuteesi kuin se että botti sen selvittäisi. Ääkköset olisivat muuten hyviä, mutta jossain palveluissa niitä ei tueta. Itselleni on käynyt muutamaan kertaan, että salasana hyväksytään aluksi, mutta uudelleenkirjoittaessa valittaa, että ei ole oikea.

Ketola18. April, 2014 14:3811/15

Lainaus, alkuperäisen viestin kirjoitti Automic:

En nää mitään järkeä vaihtaa salasanoja. Nyt kyllä ihan normaalien kuluttajien pelkoa nostetaan sillä että jos nyt vasta pari vk sitten löydetty tämä niin kauhee että "VAIHDA SALASANAT HETI" rumba alko. Tuskin sitä ny kukaan on kerenny paljon käyttämään ennen kuin google sen spottas. Eli ite en vaiha yhtään passua ennen ku huomaan että jotain outoo tapahtuu mun tileillä

Tässä tapauksessa kyseessä on sikäli erilainen tapaus kuin aikaisemmat tietovuodot, että salasanoja ja muuta tietoa on voinut vuotaa ilman, että mitään jälkiä on jäänyt. Lisäksi vuodot kohdistuvat palveluihin, joita oletusarvoisesti (https-yhteys) on voinut pitää turvallisena.

Ongelma on tullut esiin muutama viikko sitten, mutta itse bugi on ollut OpenSSL-kirjastossa jo kahden vuoden ajan. Kuka tahansa on voinut tänä aikana vian bongata lähdekoodista ja käyttää sitä hyväksi ilman, että kukaan on huomannut mitään.

Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.

Lainaus, alkuperäisen viestin kirjoitti armagedoun:

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Ei nyt ihan näinkään. Satunnaisella pommittamisella ei saa kuin yksittäisiä, merkityksettömiä pätkiä, mutta pitkällä aikavälillä voi vuodon kautta kerätä mm. salausavaimia ja salasanoja melko hyvällä todennäköisyydellä. Tästä on raportoinut mm. Cloudflare, jonka testipalvelimen avaimet kaivettiin esiin alle vuorokaudessa.

Agent_00718. April, 2014 15:5012/15

Lainaus:

Tärkeintä on vaihtaa salasana sähköpostipalveluista, joiden kautta voisi päästä käsiksi myös muihin tileihin. Tällaisia ovat esim. Yahoo ja Google.

Oikeiden sähköpostipalveluiden kanssa kannattaa käyttää Two-step verification -järjestelmää, jolloin yhden salasanan vuotaminen ei aiheuta ongelmia
http://en.wikipedia.org/wiki/Two-step_v...ication_service

G0lden_Kebab18. April, 2014 16:4713/15

Aikas moni julkishallinnon organasaatio tuota VETUMAakin käyttää...

mm. Väestöreskiterikeskus, valtionkonttori, kela, verohallinto...

TuPP318. April, 2014 21:4314/15

Lainaus, alkuperäisen viestin kirjoitti armagedoun:

Eihän tuolla haavoittuvuudella saa muutoin kuin pirun hyvällä tuurilla jotain irti. Melkoista gibberishiä korkeintaan pamahtaa ruudulle...

Eihän noita hullukaan manuaalisesti haravoi, mutta ei mene montaa tuntia kun alan mies kirjoittelee ohjelman joka pyörittää tätä rumbaa automaagisesti ja kerää pelkästään olennaisia tietoja sopivan algoritmin avulla.

syrtek6622. April, 2014 20:1915/15

openssl on forkatttu openbsd:n toimesta ja näyttävät tekevät valtavaa reworkkia esim muistinvarauksen liityen.