緊急投稿2 heat bleed について
お久しぶりです。
数少ない、リーダーさんもお忘れなんじゃないかと思いますがお久しぶり、セキュママです。
HeatBleedの衝撃とともに、ムスコのつかまり立ちと高速ハイハイに脅威を感じる今日この頃です。
さて、HeatBleedがホットですね。
皆さん、パスワード変更しちゃいました?
焦って変えない方がいいですよ。
このHeatBleed、パッチが当たって、さらに、サーバ側で暗号キーを作り直して、再起動して、って処理が終わらないとダメなんです。
サイトには数多くの被害を受けているサイト情報やあやしいであろうサイトが記載されてますが、それらのサイトで、被害状況の把握、使ってるモジュールのバージョン情報と使ったパッチ及びその対応が発表されてからでないと、パスワードの変更状況から盗み見されちゃって、変更の意味がないわけですよ。
アメリカの有名どころのサイトは情報出てますが、日本のサイト情報のまとめはほとんどないですよね。
どうなってるんでしょうね。個人的には楽天がヤバイ気がしてます。
あとは、オープンソースバリバリ使ってそうなゲームサイトとか。
しかも、今回、バグが見つかったオープンソースは、結構商用でも使われてて。
銀行も危ないかもですね。
日本は被害状況を隠す傾向にあるから、来週あたり大変なことになる予感です。
日本のニュースも小保方さんとかやってる場合じゃないんですよ。
さらに今回、スニーフィングでカード情報とか個人情報が危ないとか言われてますが、私はサーバーで保護されてる方のものの方への影響もバカにならないんでは?と思ったりしてます。
SNSなんかたいがい一つのパスワードを使いまわしてるから、サイトのひとつが被害にあってたら連動して全部もれちゃって全財産なくしたりする人もいるかもね。
っていうか、こんなに大事になってからその穴を狙うのは、コソ泥っていうか、小物だから被害額が大きくても社会混乱はない、と思う。
でも、金銭的被害で済むなら不幸中の幸いだ。
何億台もある重要システムのサーバで管理もれはあるだろうな。
某国のハッカーや、極悪テロリストが悪用しませんように…
というわけでまとめ。
今回の個人的被害を最小限にするには。
1 少し待つ。そして、サイト側の対応が終わったら、めんどくさくてもパスワードをいっこいっこ変える。そして頭で覚える。紙で書くなら金庫管理。
クレジットカードの明細や銀行の明細は細かくチェックする。
2 この機会にアナログな生活に戻る。現金以外なるべく使わない。
余分なサイトの個人情報は全部削除する。(気休めだけど)
っーことです。
ネットショッピングだけでなくって、お店で使うクレジットカードの決済情報もインターネット流れてますからね!注意ですよー!場所によってはipsecじゃないものもあるし。
因みに、銀行のATMは独自ネットだから、その銀行自体がすでに乗っ取られて無い限りは大丈夫。