Intervju: ESET om säkerhetshålet Heartbleed

Permalänk
Melding Plague

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Någon som vet om man kan anta att även SSH är sårbart pga av openssl?

Permalänk
Medlem

Jag hostar alltså Apache med SSL påslaget på en server här hemma. Så idag fick farsan ett samtal av våran ISP (Anvia) om att det på våran anslutning finns en server med OpenSSL sårbarheter.

Och jag som för några dagar sedan tänkte skippa att uppgradera eftersom en sårbarhet på min lilla webbsida knappast skulle orsaka någon besvär (ingen av mina besökare använder ändå https). Men nu kände jag mig tvingad att patcha servern så att inte ISP:n behöver vara nervös.

Permalänk
Skrivet av petabyte:

Någon som vet om man kan anta att även SSH är sårbart pga av openssl?

Citat:

It's worth pointing out that OpenSSH is not affected by the OpenSSL bug. While OpenSSH does use openssl for some key-generation functions, it does not use the TLS protocol (and in particular the TLS heartbeat extension that heartbleed attacks). So there is no need to worry about SSH being compromised, though it is still a good idea to update openssl to 1.0.1g or 1.0.2-beta2 (but you don't have to worry about replacing SSH keypairs).

(OrangeDog): @drjimbob unless your SSH keys are in the memory of a process that's using OpenSSL's TLS. Unlikely but possible.

http://security.stackexchange.com/questions/55076/what-should...

Permalänk
Medlem

Och nästa vecka så är det samma sak åter igen när någon NSA-bakdörr blir känd av allmänheten osv.

Visa signatur

Riggen:ASRock X570M Pro4 - AMD Ryzen 7 3700X - Corsair 32GB DDR4 3200MHz - Corsair MP510 960Gb NVME - EVGA 1080ti SC2 - 3x Samsung 840 500GB - EVGA SuperNOVA G1+ 650W - Fractal Design Meshify C Mini Dark TG
NAS: FreeNAS @ HP Proliant MicroServer Gen 8 - Xeon E3-1230 V2 - 16Gb Kingston ECC RAM - Intel 530 120Gb - IBM m1015/LSI 9220-8i - 4x WD Red 3Tb

Permalänk
Medlem

Site: www.sweclockers.com
Server software: Apache
Was vulnerable: Likely (known use OpenSSL)
SSL Certificate: Possibly Unsafe (created 2 years ago at Aug 22 01:19:40 2012 GMT)
Assessment: Wait for the site to update before changing your password

Visa signatur

E-penis:
i9 9900k @ 5hz | Aorus Master Z390 | 2x16GB Corsair 3200 LPX | ASUS ROG STRIX GeForce RTX 3080 10GB | Phateks Evolv X | EVGA SuperNOVA G2 750W | Corsair H115i PRO | 6TB HDD | Asus MG279Q 27" | Asus Claymore Core | Logitech G403/G35 | Windows 10 Pro x64

Permalänk
Medlem
Skrivet av Er1kssoN:

Site: www.sweclockers.com
Server software: Apache
Was vulnerable: Likely (known use OpenSSL)
SSL Certificate: Possibly Unsafe (created 2 years ago at Aug 22 01:19:40 2012 GMT)
Assessment: Wait for the site to update before changing your password

root@ws:/home/toor/bin# ./heartattack.py sweclockers.com
IP: 81.201.220.164
payload[1]: Connecting
Connecting...
Sending Client Hello...
Waiting for Server Hello...
payload[1]: heartbeat request...
payload[1]: getting payload
Server returned error, not likely vulnerable
Empty payload, not vulnerable

Edit: http://www.sweclockers.com/forum/72-feedback/1291332-heartble...

Permalänk
Medlem

Tänk om detta inte skulle varit open source.... Jävlar då skulle vi nog haft problem.

Visa signatur

Aspirerande Nätverk- och Sysadmin
Ryzen 5 1600|Hd 7950|16 GB RAM|
"Går det att installera Linux på den här brödrosten?"

Permalänk
Relik 📜

*tråd rensad*

ESET är baserade i Slovakien, vilket inte är en del av Ryssland. Eventuella diskussionen rörande bojkott och annat har inget med Heartbleed att göra utan passar bättre i övriga ämnen.

Visa signatur

För övrigt anser jag att Karthago bör förstöras.
▪ Nöje #1 -> i5-11400F - B560M-ITX/ac - RTX 3070 - 16 GB DDR4
▪ Nöje #2 -> R5 5600 - Prime B450-Plus - RX 6750 XT - 16 GB DDR4
▪ Mobilt -> HP Pavilion Aero - R5 5625U - 16 GB DDR4
▪ Konsol -> Steam Deck, Xbox Series S

Permalänk

Fantastiskt när en anställd på ett företag som jobbar med IT-säkerhet hänvisar till XKCD för att förklara något

Skickades från m.sweclockers.com

Visa signatur

i7 2600K | 4x4 GB Corsair XMS3 Vengeance@1866 MHz | Corsair AX1200i | Corsair Carbide Air 540 | 2xAsus GTX 780 DCII | OCZ Vector 512GB | Asus VG278H | Kylning: EK 240 XT-RAD | EK 360 XT-RAD | 2x VPP645 | EK Supremacy | EK-FC780 GTX DCII | 6xAkasa Viper

Permalänk
Medlem

Utmärkt artikeln. Det bästa man kan göra med sådana här saker är att försöka komma fram till vad det betyder i praktiken för målgrupp x, y eller z.

Permalänk
Medlem

Buffer underflow attack!

Skrivet av skogsvilden:

Och nästa vecka så är det samma sak åter igen när någon NSA-bakdörr blir känd av allmänheten osv.

Vill bara korrigera så att inte läsarna får en falsk bild. Det är nämligen värre än så.
NSA och andra myndigheter har tillgång till betrodda certifikat och kan avkryptera SSL/TLS trafiken. Det är bland annat så de avlyssnar utländska företag. Finns ingen som helst anledning för dem att ha en "bakdörr" i SSL/TLS implementeringen av OpenSSL.

Visa signatur

citera!

Permalänk
Medlem

Kan det här möjligen vara orsaken till varför jag fick en monsteruppdatering som pushades ut till min Linux dist?

Permalänk
Medlem
Skrivet av Total_Cu:

Kan det här möjligen vara orsaken till varför jag fick en monsteruppdatering som pushades ut till min Linux dist?

Nej, sannolikt inte. Uppgraderingen av just openssl är tämligen liten.

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Medlem
Skrivet av Dimman:

Nej, sannolikt inte. Uppgraderingen av just openssl är tämligen liten.

Undrade eftersom det mesta hade med SSL och förinstallerad serverprogramvara att göra. Persondatorer ska inte vara berörda men beror på vad de definierar som persondatorer.
Edit: http://www.eweek.com/security/heartbeat-ssl-flaw-puts-linux-d...

Permalänk
Hedersmedlem

Tackar för att det kommer en artikel som inte kör på det sensationalistiska "PANIK PANIK, ALLT ÄR KÖRT, HACKARE KOMMER TA ÖVER DITT FACEBOOK-KONTO!" som synts i mycket media senaste dagarna. Det är inte som att en slumpmässig minnesläsning per automatik ger lättydda känsliga uppgifter som "vem som helst" kan läsa utan riktat extraarbete likväl.

Det är en allvarlig bugg, men Y2K-panik stjälper mer än den hjälper.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Permalänk
Medlem

Senaste versionen utav Apache http://httpd.apache.org/download.cgi Har ju inte uppdaterats ännu.. När jag försökte kopiera över alla lib filer för SSL, och gjorde checken igen, så säger den fortfarande att jag har sårbarheten?..

Edit: hittade denna istället.. http://www.apachelounge.com/download/

Permalänk
Medlem
Permalänk
Medlem

Jag tycker det är intressant att man från ESET:s sida åtminstone har velat ställa upp i en intervju. Bara att förstå sig på ESET:s skydd är en ren gåta, bra och enkelt är det.

Sedan säger jag följande. Har man inte velat skriva om det här i media förrän nu så tycker jag man kan sitta lugnt med tanke på att imorgon kan det komma en ny sårbar attack som aldrig berättas och som företagen vet om. Allt går att hacka frågan är bara när.

Permalänk
Medlem
Skrivet av Yooriitzz:

Tänk om detta inte skulle varit open source.... Jävlar då skulle vi nog haft problem.

Hur tänker du nu? Vänligen utveckla, för jag förstår faktisk inte vad opern source har med det hela att göra. Snarare skulle det kunna tala för att öppenhet inte är en garanti för felfri kod och således en myt.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av jetten:

Jag hostar alltså Apache med SSL påslaget på en server här hemma. Så idag fick farsan ett samtal av våran ISP (Anvia) om att det på våran anslutning finns en server med OpenSSL sårbarheter.

Och jag som för några dagar sedan tänkte skippa att uppgradera eftersom en sårbarhet på min lilla webbsida knappast skulle orsaka någon besvär (ingen av mina besökare använder ändå https). Men nu kände jag mig tvingad att patcha servern så att inte ISP:n behöver vara nervös.

Sjukt bra av din ISP att varna dig. Det är inte för din ISPs skull du uppdaterar, det är för din egen och alla som använder din server.

Skrivet av fredrikstorm:

Fantastiskt när en anställd på ett företag som jobbar med IT-säkerhet hänvisar till XKCD för att förklara något

Vet inte om du var ironisk men jag tycker det var bra gjort. XKCD förklade det riktigt bra.

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem
Skrivet av Dr.Mabuse:

Hur tänker du nu? Vänligen utveckla, för jag förstår faktisk inte vad opern source har med det hela att göra. Snarare skulle det kunna tala för att öppenhet inte är en garanti för felfri kod och således en myt.

Om det inte varit OS kanske det aldrig skulle ha upptäckts.

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Avstängd
Skrivet av jetten:

Jag hostar alltså Apache med SSL påslaget på en server här hemma. Så idag fick farsan ett samtal av våran ISP (Anvia) om att det på våran anslutning finns en server med OpenSSL sårbarheter.

Och jag som för några dagar sedan tänkte skippa att uppgradera eftersom en sårbarhet på min lilla webbsida knappast skulle orsaka någon besvär (ingen av mina besökare använder ändå https). Men nu kände jag mig tvingad att patcha servern så att inte ISP:n behöver vara nervös.

Varför skulle din ISP vara nervös?

Om din server läcker data så är det väl ditt problem, inte deras.

Konstigt att dom ringde till dig.

Permalänk
Medlem
Skrivet av Sony?:

Om det inte varit OS kanske det aldrig skulle ha upptäckts.

Upptäckten har ju inget med open source i sig att göra. Så att du upprepar samma ogenomtänkta kommentar som Yooriitzz förklarar inte tankevurpan på något vis.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av Dr.Mabuse:

Upptäckten har ju inget med open source i sig att göra. Så att du upprepar samma ogenomtänkta kommentar som Yooriitzz förklarar inte tankevurpan på något vis.

Jo det har den.

Citat:

Who found the Heartbleed Bug?

This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.

- https://heartbleed.com/

Om det inte hade varit OS så är risken att buggen aldrig hade blivit upptäckt. När ett program är OS så kan vem som helst granska det, vilket skedde i det här fallet.

Sen angående det andra du skrev:

Citat:

Snarare skulle det kunna tala för att öppenhet inte är en garanti för felfri kod och således en myt.

OS är inte en garanti för felfri kod, men vem har påstått det?
OS gör att buggar och säkerhetshål kan upptäckas snabbare. OS gör att man har möjlighet att skriva bättre kod. Men det är ingen garanti för att någon gör det. Men sannolikheten är större att någon gör det.

Visa signatur

Programmerare -> PHP | HTML | CSS | JS | Java.

Permalänk
Medlem
Skrivet av Sony?:

Jo det har den.

Nej, det har det inte.

Vet inte varför du fetmarkerar det, för själva diskussionen, oväsentliga när det i samma stycke faktisk står hur upptäckten kom till:
"Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools[...]".
Upptäckten kom alltså inte av att någon granskade själva koden, utan under utveckling av ett säkerhetsverktyg som har som uppgift att just testa brister i protokoll - oavsett ursprung. Alltså spelar det ingen roll om det är öppen eller proprietär kod.

Skrivet av Sony?:

OS är inte en garanti för felfri kod, men vem har påstått det?
OS gör att buggar och säkerhetshål kan upptäckas snabbare. OS gör att man har möjlighet att skriva bättre kod. Men det är ingen garanti för att någon gör det. Men sannolikheten är större att någon gör det.

Googla så får du se. Min poäng är precis som skriver: "det är ingen garanti för att någon gör det". Vad gäller sannolikheten är det rena spekulationer från din sida. Mitt samlade intryck genom åren, förvisso lika ovetenskapligt, är att personer som upptäcker brister i kod har det mer eller mindre som levebröd och att det sker genom olika stresstester, vilket får mig att tvivla på "sannolikheten" att någon granskar själva koden. Så länge den mänskliga faktorn är inblandad spelar det ingen roll under vilket flagg den går. Vi är utelämnade åt slumpen, det är min övertygelse.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av Sony?:

När ett program är OS så kan vem som helst granska det

Yup, vilket gör arbetet extremt enkelt för attackerare om utdelarna/communityn inte är "on the ball".

Finns tyvärr inte mycket tecken på att detta är fallet.

Permalänk
Medlem

Själv fick jag mitt facebook och hotmail konto hackat nästan precis jag fick höra om hearthbleed...

Permalänk
Medlem
Skrivet av Total_Cu:

Undrade eftersom det mesta hade med SSL och förinstallerad serverprogramvara att göra. Persondatorer ska inte vara berörda men beror på vad de definierar som persondatorer.
Edit: http://www.eweek.com/security/heartbeat-ssl-flaw-puts-linux-d...

Det berörda paketet är _ett_ upstream-paket, nämligen openssl. "Persondatorer" kan mycket väl vara berörda beroende på vad för mjukvara man kör och indirekt berörda genom att de skickar data till en server som har buggen. När din data passerar servern och servern läcker data, ja du hajar problematiken.

De flesta linuxdistributioner har inte heller sina egna patch-rutiner (tack och lov), och i det här fallet så har upstream redan patchat de berörda versionerna och släppt nya versioner, så det borde bara vara för nästan samtliga distributioner att bara bygga om paketet och sen skeppa.

Har du fått en massa andra paketuppgraderingar samtidigt så beror det på något annat, eller att man passade på att slänga med dom uppgraderingarna samtidigt som man uppgraderade openssl.

Hoppas det klargör någorlunda

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Medlem
Skrivet av eXale:

Yup, vilket gör arbetet extremt enkelt för attackerare om utdelarna/communityn inte är "on the ball".

Finns tyvärr inte mycket tecken på att detta är fallet.

Gör man tvärtom så kallas det security by obscurity. Det inger en dock en falsk trygghet som säkerligen kan vara skön om man inte vet bättre.

Det finns en anledning att samtliga crypto-algoritmer som används av banker/militär etc är öppna för alla att se. När implementationen är känd och man inte lyckas knäcka den, då är den hållbar (man kan ju bara dra en gissning över hur många människor som har försökt hitta luckor i algoritmerna..).

Buggar och problem försvinner inte bara för att man kör closed source, tvärtom, man tappar alla som kodgranskar men blir inte av med de som letar kryphål.

Visa signatur

Citera mig för svar.
Arch Linux