Shaman Δημοσιεύτηκε Απρίλιος 9, 2014 #1 Κοινοποίηση Δημοσιεύτηκε Απρίλιος 9, 2014 Ή κάποιος από τους developers του OpenSSL τα σκ@τωσε big time ή κάποιος έχει βάλει το χεράκι του. Ενδεικτικά:https://www.schneier.com:443/blog/archives/2014/04/heartbleed.htmlBBC News - Heartbleed Bug: Public urged to reset all passwordsDear readers, please change your Ars account passwords ASAP | Ars TechnicaBottom line: Καλό θα ήταν να αλλάξετε τα passwords - για αρχή αυτά που σας ενδιαφέρουν πραγματικά. Προϋπόθεση, βέβαια, τα vulnerable sites να έχουν ξυπνήσει και να έχουν βγάλει νέα certificates - δείτε να έχουν start date 8 Απριλίου ή νεώτερη.Test tools:https://lastpass.com/heartbleed/http://filippo.io/Heartbleed/ Link to comment Share on other sites More sharing options...
Wizard! Απρίλιος 9, 2014 #2 Κοινοποίηση Απρίλιος 9, 2014 Δηλαδή τώρα πρέπει να μπούμε σε όλα τα sites που έχουμε passwords και να τα αλλάξουμε;Το Paypal επηρεάζεται;(απαντάω μόνος μου)Detected server software of Apache-Coyote/1.1That server is known to use OpenSSL and could have been vulnerable.The SSL certificate for paypal.com valid 1 year ago at Jan 10 00:00:00 2013 GMT.This is before the heartbleed bug was published, it may need to be regenerated Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 9, 2014 Author #3 Κοινοποίηση Απρίλιος 9, 2014 Δηλαδή τώρα πρέπει να μπούμε σε όλα τα sites που έχουμε passwords και να τα αλλάξουμε;Μόνο σε αυτά που παίζουν με OpenSSL - κι αφού κάνουν revoke τα παλιά πιστοποιητικά και βγάλουν νέα.Paypal ίσως είναι vulnerable, αλλά, όπως είδες, δεν έχουν αλλάξει key pair ακόμα.Οι ελληνικές τράπεζες που χρησιμοποιώ (Alpha, Πειραιώς) παίζουν με Microsoft IIS απ'όσο είδα, που δεν επηρεάζεται από το συγκεκριμένο vulnerability.Προσωπικά δεν αγχώνομαι τόσο για τα χρήματα διότι λαμβάνω email + sms για οποιαδήποτε τραπεζική συναλλαγή, αλλά υπάρχουν πάντα οι ιστοσελίδες δουλειάς, κοινωνικής δικτύωσης κλπ, όπου πιθανό breach μπορεί να στοιχίσει με άλλους τρόπους (πολύ περισσότερο αν κάποιος χρησιμοποιεί τα ίδια passwords κι αλλού). Link to comment Share on other sites More sharing options...
EraserheadX Απρίλιος 9, 2014 #4 Κοινοποίηση Απρίλιος 9, 2014 Μόνο σε αυτά που παίζουν με OpenSSL - κι αφού κάνουν revoke τα παλιά πιστοποιητικά και βγάλουν νέα.Υπάρχει πουθενά λίστα με sites που έχουν βγάλει νέα πιστοποιητικά; Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 9, 2014 Author #5 Κοινοποίηση Απρίλιος 9, 2014 Υπάρχει πουθενά λίστα με sites που έχουν βγάλει νέα πιστοποιητικά;Δεν έχει πάρει κάτι το μάτι μου.Το καλύτερο που μπορείς να κάνεις προς το παρόν είναι να τα κοιτάς ένα-ένα "manually" ή με tool σαν του Lastpass. Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 9, 2014 Author #6 Κοινοποίηση Απρίλιος 9, 2014 Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping | Ars TechnicaCritical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style | Ars Technicahttps://xkcd.com/1353/Μου ήρθαν και κάποια emails από site και εφαρμογές που έχουν περάσει το patch (Wunderlist, IFTTT etc.). Σε πετάνε έξω και σου ζητάνε τα ξανα-κάνεις login & να αλλάξεις το password σου. Ευκαιρία να δούμε ποιές από τις υπηρεσίες που χρησιμοποιούμε θα δείξουν στοιχειωδώς υπεύθυνη αντιμετώπιση. Link to comment Share on other sites More sharing options...
UltraB Απρίλιος 9, 2014 #7 Κοινοποίηση Απρίλιος 9, 2014 Στο Chrome, αν κάποιο site χρησιμοποιεί https, και πατήσεις πάνω στο λουκετάκι, βγάζει διάφορες πληροφορίες. Σε μερικά site που είδα, έχουν το παρακάτω (TLS), είναι διαφορετικό από το OpenSSL; Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 9, 2014 Author #8 Κοινοποίηση Απρίλιος 9, 2014 SSL/TLS είναι το ίδιο πρωτόκολλο ουσιαστικά (για την ακρίβεια το TLS είναι η εξέλιξη του SSL).Το OpenSSL είναι ένα library που υλοποιεί το SSL/TLS, i.e. το χρησιμοποιείς για να πάρεις έτοιμα τα κρυπτογραφικά εργαλεία που χρειάζονται για να υποστηρίζει το πρωτόκολλο αυτό η ιστοσελίδα σου (και για ευκολία αλλά και γιατί είναι πολύ κακή ιδέα να προσπαθήσεις να τα φτιάξεις μόνος σου).Yπάρχουν κι άλλα libraries (της MS, της Apple, το GnuTLS etc.), αλλά το OpenSSL είναι το πιο διαδεδομένο σε διαδικτυακές εφαρμογές που δεν βασίζονται σε proprietary πλατφόρμες (όπως τον IIS) και άρα τα site που είναι vulnerable είναι πάρα πολλά. Μία λίστα βρήκα εδώ:https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txtHow to Protect Yourself From the Heartbleed BugCanada Freezes Online Tax Filing Due to Heartbleed BugOpenSSL - Wikipedia, the free encyclopedia Link to comment Share on other sites More sharing options...
UltraB Απρίλιος 9, 2014 #9 Κοινοποίηση Απρίλιος 9, 2014 Το λέω γιατί σε αυτά που τσέκαρα μου έβγαζε σχεδόν σε όλα το TLS 1.2. Paypal, Facebook, Outlook και διάφορα άλλα. Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 9, 2014 Author #10 Κοινοποίηση Απρίλιος 9, 2014 Το λέω γιατί σε αυτά που τσέκαρα μου έβγαζε σχεδόν σε όλα το TLS 1.2. Paypal, Facebook, Outlook και διάφορα άλλα.Από μόνο του δε λέει κάτι - θα πρέπει να τσεκάρεις αν χρησιμοποιούν το OpenSSL για την υλοποίηση του TLS.Ο ευκολότερος τρόπος είναι με τα link που έδωσα στο πρώτο post (δες αυτό του Lastpass π.χ.). Link to comment Share on other sites More sharing options...
UltraB Απρίλιος 10, 2014 #11 Κοινοποίηση Απρίλιος 10, 2014 Το κατάλαβα απλά ψάχνω να βρω ένα πιο εύκολο τρόπο από το να περνάω τόσες σελίδες από το Lastpass. Link to comment Share on other sites More sharing options...
DJD Απρίλιος 10, 2014 #12 Κοινοποίηση Απρίλιος 10, 2014 The Heartbleed Hit List: The Passwords You Need to Change Right Now Link to comment Share on other sites More sharing options...
EraserheadX Απρίλιος 10, 2014 #13 Κοινοποίηση Απρίλιος 10, 2014 Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013? Link to comment Share on other sites More sharing options...
EraserheadX Απρίλιος 11, 2014 #14 Κοινοποίηση Απρίλιος 11, 2014 Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 11, 2014 Author #15 Κοινοποίηση Απρίλιος 11, 2014 The Programmer Behind Heartbleed Speaks Out: It Was an Accident In other news: Researchers find thousands of potential targets for Heartbleed OpenSSL bug | Ars Technica "As of 4:00 PM on April 9, 2014," the researchers reported in their results, "we found that 34 percent of the Alexa Top 1 Million websites support TLS. Of the websites that support HTTPS, 11 percent are vulnerable, 27 percent safely support the heartbeat extension, and 61 percent do not support the heartbeat extension (and are therefore safe). While we are still completing full scans of the Internet, initial results show that approximately 6% of all hosts that support HTTPS remain vulnerable. We will be updating these numbers as more scan results become available. We are not releasing full Internet-wide scans at this time." Μην ξεχνάμε το network hardware aspect: Networking Equipment Makers Scramble to Patch Heartbleed Edit: Οι χρήστες LastPass μπορούν να τρέξουν το Security Check: Security Check (click on your LastPass browser icon, select Tools menu, select Security Check) has been updated to alert you to accounts that may have been impacted by Heartbleed. The Security Check will identify the accounts in your vault that may be at risk and tell you the last time you updated that password, if the site has updated their certificates, and the action we recommend taking at this time. Ενδεικτικά results: Link to comment Share on other sites More sharing options...
2cpu Απρίλιος 13, 2014 #16 Κοινοποίηση Απρίλιος 13, 2014 "You may have heard of a recent security bug in the OpenSSL library (that has been called 'Heartbleed') used by two-thirds of the Internet including ourselves and other major sites like Amazon, Google, Yahoo, etc. FastMail was quick to update its servers to fix this bug and issue new SSL certificates as soon as we were made aware of it."Πριν απο λιγο στο fastmail πρωην operamail. Link to comment Share on other sites More sharing options...
SirDiman Απρίλιος 13, 2014 #17 Κοινοποίηση Απρίλιος 13, 2014 οι πιθανοτητες να βρει καποιος κωδικο ειναι πολυ μικρες , ψαχτε λιγο στο r/netsec να δειτε ή σε αλλες σελιδες-μπλογκ tldr: stay calm Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 13, 2014 Author #18 Κοινοποίηση Απρίλιος 13, 2014 οι πιθανοτητες να βρει καποιος κωδικο ειναι πολυ μικρεςhttp://blog.cloudflare.com/the-results-of-the-cloudflare-challengeEarlier today we announced the Heartbleed Challenge. We set up a nginx server with a vulnerable version of OpenSSL and challenged the community to steal its private key. The world was up to the task: two people independently retrieved private keys using the Heartbleed exploit.The first valid submission was received at 16:22:01PST by Software Engineer Fedor Indutny. He sent at least 2.5 million requests over the course of the day. The second was submitted at 17:12:19PST by Ilkka Mattila at NCSC-FI, who sent around a hundred thousand requests over the same period of time. UPDATE: Two more confirmed winners: Rubin Xu, PhD student in the Security group of Cambridge University submitted at 04:11:09PST on 04/12; and Ben Murphy, Security Researcher submitted at 7:28:50PST on 04/12.We confirmed that all individuals used only the Heartbleed exploit to obtain the private key. We rebooted the server at 3:08PST, which may have caused the key to be available in uninitiallized heap memory as theorized in our previous blog post. It is at the discretion of the researchers to share the specifics of the techniques used.This result reminds us not to underestimate the power of the crowd and emphasizes the danger posed by this vulnerability.Private crypto keys are accessible to Heartbleed hackers, new data shows | Ars Technica Link to comment Share on other sites More sharing options...
UltraB Απρίλιος 13, 2014 #19 Κοινοποίηση Απρίλιος 13, 2014 Τελικά τι κάνουμε ρε παιδιά; Αλλάζουμε τα password, περιμένουμε να βγάλουν νέα certificates; Γιατί δεν βγαίνουν να πουν είμαστε οκ, αλλάξτε passwords πχ; Link to comment Share on other sites More sharing options...
Shaman Απρίλιος 13, 2014 Author #20 Κοινοποίηση Απρίλιος 13, 2014 Ό,τι εχει γραφτεί απο την πρώτη μέρα. Κοιτάς ποια site ειναι vulnerable, περιμένεις να βάλουν patch και να βγάλουν νέα πιστοποιητικά και στη συνέχεια αλλάζεις password.Το awareness εχει επιτευχθει πλέον. Το bottleneck τωρα ειναι κυρίως τα CAs που έχουν πηξει στα requests για νέα πιστοποιητικά.Related news:NSA Said to Exploit Heartbleed Bug for Intelligence for YearsHeartboned: Why Google needs to reclaim Android updates Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.