Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2010

OpenSSL Heartbleed bug

Såg lite nyheter om en svaghet som gör att man kan stjäla SSL/TSL krypterad information och tänkte att det kanske var något vi kunde diskutera här i forumet då jag själv (och säkert många andra) inte är så insatt i vad det innebär. Information finns här http://heartbleed.com/ men det sade mig inte så mycket.

RIP Stationära datorn 2012-2018

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2004
Trädvy Permalänk
Medlem
Registrerad
Nov 2008
Skrivet av cjal:

Såg lite nyheter om en svaghet som gör att man kan stjäla SSL/TSL krypterad information och tänkte att det kanske var något vi kunde diskutera här i forumet då jag själv (och säkert många andra) inte är så insatt i vad det innebär. Information finns här http://heartbleed.com/ men det sade mig inte så mycket.

Man kan väl säga att i enkelhet så drabbar den här buggen alla versioner av OpenSSL från v1.0.1 till v1.0.1f samt OpenSSL 1.0.2 beta. OpenSSL är ett bibliotek som t.ex. används i många Linux/Unix/Apache-webbservrar som erbjuder krypterade https-anslutningar till sina användare för att skydda deras användaruppgifter mot avlyssning vid inloggning. Sårbara versioner av OpenSSL har också funnits med i många Linux/Unix-distributioner som t.ex. Ubuntu, Linux Mint, OpenSUSE mfl. Dock ska tilläggas att flera (t.ex. Canonical/Ubuntu) redan har skjutit ut uppdateringar idag.

Hur går det till?

Svagheten går i princip ut på att en inkräktare kan skicka en speciellt utformad anslutningsbegäran via SSL ( https: ) till en säker inloggningssida på nätet som t.ex. inloggningssidan för din webbmail, givetvis under förutsättning att den inloggningssidan körs på en server med en sårbar version av OpenSSL. Det här är alltså helt utanför användarens kontroll då sårbarheten ligger på serversidan och inte hos klienten.

Denna begäran från angriparen innehåller bara ett par bytes med information men OpenSSL kan luras att svara tillbaka med ett helt paket på 64 KB. Problemet är att de sårbara versionerna av OpenSSL inte på ett korrekt sätt nollställer (skriver nollor i hela utrymmet i) sin buffert efter tidigare anslutningar och skickar därför tillbaks både angriparens anslutningsbegäran på några få bytes (i början på buffertutrymmet) och dessutom även resten av det gamla kvarvarande, icke nollställda minnesinnehållet i bufferten.

I det icke nollställda minnesinnehållet i bufferten som läcks ut ligger det oftast kvar inloggningsuppgifter, privata krypteringsnycklar, sessionskakor mm från tidigare inloggningar och det är dessa som en angripare kan få tag på. En dedikerad angripare kan t.ex. köra ett löpande script mot inloggningssidan, fånga in svarspaketen på sina felaktiga anslutningar och på det viset i realtid fånga upp alla lyckade användarinloggningar ur den läckta delen av OpenSSL:s buffert vartefter att intet ont anande användare loggar in. Det krävs alltså inte något MITM-(=man-in-the-middle)scenario för att lägga vantarna på andra användares inloggningsuppgifter i realtid.

Varför är den allvarlig?

Det som är extra allvarligt med denna bugg är att den funnits i OpenSSL ända sedan version 1.0.1 från december 2011 vilket innebär att alla som sedan dess kört sårbara versioner av OpenSSL på sina webbservrar därmed har riskerat att helt obemärkt läcka känslig information till obehöriga utomstående på ovanstående vis.

För att göra det ännu värre så syns SSL-angreppen och informationsläckaget inte i några sysloggar vilket i princip innebär att man inte på något vis kan veta om någon cyberbrottsling har lagt vantarna på ens inloggningsuppgifter eller t.o.m. de privata krypteringsnycklarna för webbservern själv under den här perioden. Det är dessutom ganska trivialt att utnyttja sårbarheten vilket har visat sig genom att folk under dagen t.ex. lyckats få tag i hundratals inloggningsuppgifter till Yahoo:s e-post genom Heartbleed-buggen.

Skulle väl vilja säga att den här sårbarheten i OpenSSL är riktigt, riktigt, riktigt, RIKTIGT illa! Det uppskattas att ca 2/3 av internet kan bestå av sårbara webbservrar som kan läcka inloggningar och hemliga kryptonycklar på det här viset och det finns inga som helst tecken på att någon inte redan har samlat på sig hemliga krypteringscertifikat, inloggningsuppgifter mm från populära webbtjänster. Det här kommer att få enorma konsekvenser för många berörda företag och institutioner som alltså måste återkalla och byta sina krypteringscertifikat eftersom det inte finns något sätt att vara säker på att de inte redan läckt ut i orätta händer.

~$ Plattformsagnostiker

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2010
Skrivet av fb0r:

Man kan väl säga att i enkelhet så drabbar den här buggen alla versioner av OpenSSL från v1.0.1 till v1.0.1f samt OpenSSL 1.0.2 beta. OpenSSL är ett bibliotek som t.ex. används i många Linux/Unix/Apache-webbservrar som erbjuder krypterade https-anslutningar till sina användare för att skydda deras användaruppgifter mot avlyssning vid inloggning. Sårbara versioner av OpenSSL har också funnits med i många Linux/Unix-distributioner som t.ex. Ubuntu, Linux Mint, OpenSUSE mfl. Dock ska tilläggas att flera (t.ex. Canonical/Ubuntu) redan har skjutit ut uppdateringar idag.

Hur går det till?

Svagheten går i princip ut på att en inkräktare kan skicka en speciellt utformad anslutningsbegäran via SSL ( https: ) till en säker inloggningssida på nätet som t.ex. inloggningssidan för din webbmail, givetvis under förutsättning att den inloggningssidan körs på en server med en sårbar version av OpenSSL. Det här är alltså helt utanför användarens kontroll då sårbarheten ligger på serversidan och inte hos klienten.

Denna begäran från angriparen innehåller bara ett par bytes med information men som standard svarar OpenSSL tillbaka med ett helt paket på 64 KB. Problemet är att de sårbara versionerna av OpenSSL inte på ett korrekt sätt nollställer (skriver nollor i hela utrymmet i) sin buffert efter tidigare anslutningar och skickar därför tillbaks både angriparens anslutningsbegäran på några få bytes (i början på buffertutrymmet) och dessutom även resten av det gamla kvarvarande, icke nollställda minnesinnehållet i bufferten.

I det icke nollställda minnesinnehållet i bufferten som läcks ut ligger det oftast kvar inloggningsuppgifter, privata krypteringsnycklar, sessionskakor mm från tidigare inloggningar och det är dessa som en angripare kan få tag på. En dedikerad angripare kan t.ex. köra ett löpande script mot inloggningssidan, fånga in svarspaketen på sina felaktiga anslutningar och på det viset i realtid fånga upp alla lyckade användarinloggningar ur den läckta delen av OpenSSL:s buffert vartefter att intet ont anande användare loggar in. Det krävs alltså inte något MITM-(=man-in-the-middle)scenario för att lägga vantarna på andra användares inloggningsuppgifter i realtid.

Varför är den allvarlig?

Det som är extra allvarligt med denna bugg är att den funnits i OpenSSL ända sedan version 1.0.1 från december 2011 vilket innebär att alla som sedan dess kört sårbara versioner av OpenSSL på sina webbservrar därmed har riskerat att helt obemärkt läcka känslig information till obehöriga utomstående på ovanstående vis.

För att göra det ännu värre så syns SSL-angreppen och informationsläckaget inte i några sysloggar vilket i princip innebär att man inte på något vis kan veta om någon cyberbrottsling har lagt vantarna på ens inloggningsuppgifter eller t.o.m. de privata krypteringsnycklarna för webbservern själv under den här perioden. Det är dessutom ganska trivialt att utnyttja sårbarheten vilket har visat sig genom att folk under dagen t.ex. lyckats få tag i hundratals inloggningsuppgifter till Yahoo:s e-post genom Heartbleed-buggen.

Skulle väl vilja säga att den här sårbarheten i OpenSSL är riktigt, riktigt, riktigt, RIKTIGT illa! Det uppskattas att ca 2/3 av internet kan bestå av sårbara webbservrar som kan läcka inloggningar och hemliga kryptonycklar på det här viset och det finns inga som helst tecken på att någon inte redan har samlat på sig hemliga krypteringscertifikat, inloggningsuppgifter mm från populära webbtjänster. Det här kommer att få enorma konsekvenser för många berörda företag och institutioner som alltså måste återkalla och byta sina krypteringscertifikat eftersom det inte finns något sätt att vara säker på att de inte redan läckt ut i orätta händer.

Dold text

Okej då förstår jag mycket bättre vad det handlar om. Jättebra skrivet inlägg, tack så mycket.

RIP Stationära datorn 2012-2018

Trädvy Permalänk
Medlem
Plats
Fjugesta
Registrerad
Aug 2005

Den stora frågan är väl mer OM detta är en bugg heller en "NSA feature"?
Jag tror betydligt mer på "NSA bakdörr" än att det skulle vara en bugg som samanfaller med hur tex NSA (bland andra) troligen skulle ha infört en "bakdörr" för att kunna avlyssna OpenSSL utan att behöva knäcka kryptyeringen.

Plus att en del av Snowdens avslöjanden beskrev ju hur NSA mutat/köpt/hotat/kringgått/skickat in egna anställda/osv till olika företag (google/microsoft/apple/osv/osv) för att införa bakdörrar.

Den ABSOLUT viktigaste delen i en dator är NÄTDELEN varför spara 200-300:- och ta en chans på att dina nya dator delar för x antal tusen ska hålla?????????
Den hemliga polisens anfader, Armand Jean du Plessis de Richelieu a.k.a. Cardinal-Duc de Richelieu, sa en gång så här om sitt arbete... "Ge mig sex rader skrivna av den hederligaste man som finns och jag ska hitta en förevändning i dem att hänga honom."

Trädvy Permalänk
Medlem
Registrerad
Okt 2001

Jag loggade in till min DD-WRT-installerade Linksysrouter för att kolla vilken version av OpenSSL som ingår i OpenVPN-installationen:

root@DD-WRT:~# openvpn --version OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 5 2013 Originally developed by James Yonan Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>

Enligt en utvecklare på OpenVPN kommer en ny version (2.3.3) släppas den 10 april som innehåller en patchad version av OpenSSL. Tills vidare innan denna uppdatering är släppt får man allt se till att stänga av sin VPN-server i DD-WRT.

https://forums.openvpn.net/topic15526.html

Citat:

The OpenVPN dev team is aware of CVE-2014-0160/Heartbleed and is actively working on a fix. First off, we have released a new Windows build, available immediately, which uses OpenSSL 1.0.1g, which is safe. Additionally, on Thursday, April 10, we will be releasing OpenVPN 2.3.3, with a number of fixes/enhancements.

EDIT:
Lite off-topic kanske, men användare av LastPass har inte påverkats av denna bugg:
http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug....

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Mar 2002

Jag tror det bästa är om man avvaktar lite och väntar på att utvecklarna har fått kontroll på situationen.

Dock påminner detta mig om när OpenSSH orsakade en skaplig härva i början av 2000-talet, vill minnas att jag fick min OpenBSD-maskin övertagen.

Marantz NR1605, Rotel RB1090, Ino Audio piPs
Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Okt 2003

Jag ser ner på folk som särskriver!

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Okt 2008
Skrivet av fb0r:

Problemet är att de sårbara versionerna av OpenSSL inte på ett korrekt sätt nollställer (skriver nollor i hela utrymmet i) sin buffert efter tidigare anslutningar och skickar därför tillbaks både angriparens anslutningsbegäran på några få bytes (i början på buffertutrymmet) och dessutom även resten av det gamla kvarvarande, icke nollställda minnesinnehållet i bufferten.

Men herrejävlar, vad är det för klantarslen som skrivit den koden? Extremt pinsamt, och som sagt ruskigt illa!

1800X, 2080 Ti, 4K

Trädvy Permalänk
Medlem
Plats
192.168.1.267
Registrerad
Apr 2003
Skrivet av backfeed:

Men herrejävlar, vad är det för klantarslen som skrivit den koden? Extremt pinsamt, och som sagt ruskigt illa!

https://www.peereboom.us/assl/assl/html/openssl.html

CCNP

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Mar 2008
Skrivet av grizzly666:

Den stora frågan är väl mer OM detta är en bugg heller en "NSA feature"?

Bruce Schneier gör samma observation https://www.schneier.com/blog/archives/2014/04/heartbleed.htm...

Det gamla påståendet "Never attribute to malice that which is adequately explained by stupidity" tycks inte gälla längre, om det någonsin har gällt.

Man måste vara modig för att arbete på säkerhetskritiska projekt nu för tiden. Gör man misstag kan man utsättas för lynchmobb.

Trädvy Permalänk
Medlem
Plats
/dev/null
Registrerad
Nov 2004
Skrivet av Emaku:

Bruce Schneier gör samma observation https://www.schneier.com/blog/archives/2014/04/heartbleed.htm...

Det gamla påståendet "Never attribute to malice that which is adequately explained by stupidity" tycks inte gälla längre, om det någonsin har gällt.

Man måste vara modig för att arbete på säkerhetskritiska projekt nu för tiden. Gör man misstag kan man utsättas för lynchmobb.

"My guess is accident, but I have no proof."

Är bara att maila Dr. Stephen Henson och Robin Seggelmann som stod för TLS/DTLS heartbeats commiten och fråga ifall dem extraknäcker hos NSA.

Trädvy Permalänk
Medlem
Plats
Solna
Registrerad
Mar 2005

Två metoder för att verifiera att man om man är drabbad eller inte:
http://filippo.io/Heartbleed/ (webbaserat)
http://fpaste.org/92559/96967863/raw/ (python-script)

Jag kör SSL på nginx under Debian 7 och det räckte med att köra en apt-get update && apt-get upgrade && /etc/init.d/nginx restart för att nginx skulle leka med den nya versionen av lib:et. Körde en update och upgrade precis nyss igen och nu verkar man även slängt in ett script som automagiskt startar om tjänster som kan vara drabbade.

Trädvy Permalänk
Medlem
Registrerad
Apr 2012

Nyhetsrapporteringen i vanliga medier kring Heartbleedbuggen är katastrofal.
Bland annat så skriver TT idag att buggen endast är server-side, vilket rakt ut är en lögn, tex är Android 4.1.1 beträffat.
Vidare så rekommenderas användare endast ändra lösenord på en begränsad lista med sidor som bland annat IDG publicerat.

Media gör det alltså ännu mera sannolikt att heartbleed-problemet kommer förfölja oss länge.

Trädvy Permalänk
Medlem
Registrerad
Okt 2001

Jag är förvånad att denna tråd har färre än 1000 sidvisningar och att Sweclockers fortfarande inte rapporterat om detta på sin förstasida! Redan samma dags som buggen offentliggjordes skickade jag in ett tips till redaktionen om vad som hänt, men fortfarande ingenting på framsidan.

Trädvy Permalänk
Hedersmedlem
Plats
QuakeNet
Registrerad
Jul 2001

För er som kör Pfsense har de uppdaterat till 2.1.2 där de löser OpenSSL-buggarna. Lite mer info här.

Skrivet av fb0r:

Man kan väl säga att i enkelhet så drabbar den här buggen alla versioner av OpenSSL från v1.0.1 till v1.0.1f samt OpenSSL 1.0.2 beta.

Tack för bra info!

Edit: Testade min egna Apache-webserver på http://filippo.io/Heartbleed/ och den säger att min server är sårbar? Jag har inte ens vidarebefodrat port 443?

SWECLOCKERS.COM :: If Quake was done today :: Serverrum
WS: Asus P9X79 :: Core i7 3820 :: 32 GB RAM :: Samsung 830 256 GB :: 2x Intel 910 400 GB PCIE :: PNY Geforce GTX 970 XLR8 :: Gigabyte Odin GT 800W :: 2x Samsung Syncmaster S27A950D
NAS: SuperMicro X10-SLM-F :: Core i3 4130T :: 24 GB Kingston ECC :: Ri-Vier RVS2-06A 12Bay 2U :: IBM M1015 (IT) :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+ ::

Trädvy Permalänk
Avstängd
Plats
Flen
Registrerad
Jul 2001
Skrivet av Baba Tong:

Nyhetsrapporteringen i vanliga medier kring Heartbleedbuggen är katastrofal.
Bland annat så skriver TT idag att buggen endast är server-side, vilket rakt ut är en lögn, tex är Android 4.1.1 beträffat.
Vidare så rekommenderas användare endast ändra lösenord på en begränsad lista med sidor som bland annat IDG publicerat.

Media gör det alltså ännu mera sannolikt att heartbleed-problemet kommer förfölja oss länge.

När det gäller Android är bara 4.1.1 sårbart, beror på hur OpenSSL använts också. AOSP har bara använt heartbeat i 4.1.1 i.a.f.

Trädvy Permalänk
Medlem
Plats
Skogen i norra Uppland!
Registrerad
Okt 2002

Skulle vara bra att veta vilka siter/sidor som är drabbade!

Steam, jepp.
EA's Origin, antar det men är det fixat nu?
Telias Webmail, ?
Hotmails webmail, ?

För att nämna några.

Fractal Design Dynamic X2 GP-14 140mm Vit | Noctua NH-D14 | Corsair Vengeance LPX 16GB (2 x 8GB) DDR4 3200MHz CL16 | EVGA Supernova G3 750W Modulärt | ASUS DRW-24D5MT DVD±RW 24x SATA Internal Black Bulk | Fractal Design Define R5 Black Pearl | MSI GeForce GTX 1080 Ti Sea Hawk X HDMI 3xDP 11GB | Samsung 850 EVO Series Basic SATA III 2,5" SSD - 1000GB | Samsung 960 EVO M.2 SSD - 500GB | ASUS PRIME Z370-P | Intel Core i7 8700K | ASUS PB278Q | Windows 10 Home Svensk.

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av Baba Tong:

Nyhetsrapporteringen i vanliga medier kring Heartbleedbuggen är katastrofal.
Bland annat så skriver TT idag att buggen endast är server-side, vilket rakt ut är en lögn, tex är Android 4.1.1 beträffat.
Vidare så rekommenderas användare endast ändra lösenord på en begränsad lista med sidor som bland annat IDG publicerat.

Media gör det alltså ännu mera sannolikt att heartbleed-problemet kommer förfölja oss länge.

På vilket sätt menar du att denna bugg drabbar klienter som råkar ha libbarna?

Trädvy Permalänk
Avstängd
Registrerad
Okt 2011
Skrivet av Beginner:

Skulle vara bra att veta vilka siter/sidor som är drabbade!

Steam, jepp.
EA's Origin, antar det men är det fixat nu?
Telias Webmail, ?
Hotmails webmail, ?

För att nämna några.

Ta ingen risk och tro det värsta om alla sidor. Byt alla nuvarande passord till något annat.

Trädvy Permalänk
Hedersmedlem
Plats
QuakeNet
Registrerad
Jul 2001
Skrivet av Beginner:

Skulle vara bra att veta vilka siter/sidor som är drabbade!

Steam, jepp.
EA's Origin, antar det men är det fixat nu?
Telias Webmail, ?
Hotmails webmail, ?

För att nämna några.

Finns en rätt bra lista här.

Edit: En till lista här.

SWECLOCKERS.COM :: If Quake was done today :: Serverrum
WS: Asus P9X79 :: Core i7 3820 :: 32 GB RAM :: Samsung 830 256 GB :: 2x Intel 910 400 GB PCIE :: PNY Geforce GTX 970 XLR8 :: Gigabyte Odin GT 800W :: 2x Samsung Syncmaster S27A950D
NAS: SuperMicro X10-SLM-F :: Core i3 4130T :: 24 GB Kingston ECC :: Ri-Vier RVS2-06A 12Bay 2U :: IBM M1015 (IT) :: Mellanox Connect2X SFP+ :: Intel XL710-QDA1 QSFP+ ::

Trädvy Permalänk
Medlem
Plats
Skogen i norra Uppland!
Registrerad
Okt 2002
Skrivet av Mars SSX:

Ta ingen risk och tro det värsta om alla sidor. Byt alla nuvarande passord till något annat.

Jag vet, du har rätt. Men, orka ungefär. Fortsätter nedanför nästa quote......

Skrivet av Kr^PacMan:

Finns en rätt bra lista här.

Edit: En till lista här.

Tack. Första länken hittade jag själv men hittade just inte svenska siter direkt, Telia, Webhallen mm. Andra länken ser jag ingen lista alls i. Säkert mig det är fel på......

Om man nu ska byta lösen överallt, är allt uppdaterat och klart överallt? Tycker siter i sig är dåliga på att tala om detta.

Fractal Design Dynamic X2 GP-14 140mm Vit | Noctua NH-D14 | Corsair Vengeance LPX 16GB (2 x 8GB) DDR4 3200MHz CL16 | EVGA Supernova G3 750W Modulärt | ASUS DRW-24D5MT DVD±RW 24x SATA Internal Black Bulk | Fractal Design Define R5 Black Pearl | MSI GeForce GTX 1080 Ti Sea Hawk X HDMI 3xDP 11GB | Samsung 850 EVO Series Basic SATA III 2,5" SSD - 1000GB | Samsung 960 EVO M.2 SSD - 500GB | ASUS PRIME Z370-P | Intel Core i7 8700K | ASUS PB278Q | Windows 10 Home Svensk.

Trädvy Permalänk
Medlem
Plats
/dev/null
Registrerad
Nov 2004
Skrivet av Beginner:

Jag vet, du har rätt. Men, orka ungefär. Fortsätter nedanför nästa quote......

Tack. Första länken hittade jag själv men hittade just inte svenska siter direkt, Telia, Webhallen mm. Andra länken ser jag ingen lista alls i. Säkert mig det är fel på......

Om man nu ska byta lösen överallt, är allt uppdaterat och klart överallt? Tycker siter i sig är dåliga på att tala om detta.

Senaste listan jag hittat: https://zmap.io/heartbleed/

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2012

Äntligen! Har alltid undrat varför jag av nostalgiska själ har kvar min hotmail sedan 1996 istället för att köra med gmail. Men nu har jag äntligen sett en fördel. (tror dock fortfarande nackdelarna väger upp)

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av Mars SSX:

Ta ingen risk och tro det värsta om alla sidor. Byt alla nuvarande passord till något annat.

Skrivet av Beginner:

Jag vet, du har rätt. Men, orka ungefär. Fortsätter nedanför nästa quote......

Byt inte lösenord på sidor som fortfarande påverkas av buggen dock, annars är du fortfarande utsatt med ditt nya lösenord också.

Genom att titta på när sidans certifikat är utfärdat så kan du avgöra om de åtgärdat felet, alla utfärdade certifikat innan 8 (7?) april är påverkade av buggen.

Dold text

EDIT: Flera personer har påpekat att man inte kan säga direkt att en server har varit påverkad bara genom att kolla på certifikatet, så jag döljer det från mitt inlägg för att inte sprida felaktigheter.

Trädvy Permalänk
Medlem
Registrerad
Apr 2012
Skrivet av aluser:

På vilket sätt menar du att denna bugg drabbar klienter som råkar ha libbarna?

Säg att du har klientprogramvara på din dator som är kompilerad med OpenSSL och utan din vetskap öppnar en port någonstans.
Sätt dig på ett fik nånstans med öppet Wifi. Nu är minnet för programmet i fråga öppet för attack.

I det flesta fall lär det inte spela någon roll, då programmets minnesinnehåll antagligen lär vara ointressant. Men i falled Android 4.1.1 är det alltså chrome som är svagheten. Kommer man åt webbläsarens innehåll i minnet så kan det innebära lösenord, cookies osv som man kan komma åt. Ett annat exempel är OpenVPN där det går att få tag på användaruppgifter från klientprogramvaran vilket kan ge tillgång till stängda nätverk.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2011
Skrivet av The_beast*:

Genom att titta på när sidans certifikat är utfärdat så kan du avgöra om de åtgärdat felet, alla utfärdade certifikat innan 8 (7?) april är påverkade av buggen.

Inte nödvändigtvis, är ju upp till envar hurvida de anser sig ha blivit av med sina privata nycklar och hurvidia det är en big deal eller inte. Felet ligger inte i certifikatet.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2004

Tycker det är svårt att hitta information om vad man ska göra som vanlig användare.

De flesta nyhetssajter säger att det inte är någon idé att byta lösenord nu eftersom de sidor man uppdaterar hos måste själva uppdaterat dina servrar. Detta har även nämnts i tråden.

Mao är det bara att vänta och se? Men är inte sannolikheten att bli drabbad nu större än någonsin?

[Intel 6700K @ 4500MHz]--[MSI Core Frozr L]--[MSI Z170 Gaming M5]--[Corsair 16GB 2666MHz DDR4]--[MSI 1080Ti Gaming X @ 2038/12006MHz]--[EVGA Supernova G2 850W]--[Fractal Design Define S]--[Windows 10 x64]--[Acer X34A @ 95Hz]--[Corsair Strafe RGB MX Silent]--[Mionix Naos 7000]--[HyperX Cloud II]

Trädvy Permalänk
Medlem
Registrerad
Okt 2001
Skrivet av ethernal:

Inte nödvändigtvis, är ju upp till envar hurvida de anser sig ha blivit av med sina privata nycklar och hurvidia det är en big deal eller inte. Felet ligger inte i certifikatet.

Det har du rätt i. Jag har dock sett rekommendationerna om att man som admin ska uppdatera sina certifikat efter att man patchat sina system. Best prectice verkar alltså vara att uppdatera sina certifikat efter patchning.

Skrivet av Mocka:

Tycker det är svårt att hitta information om vad man ska göra som vanlig användare.

De flesta nyhetssajter säger att det inte är någon idé att byta lösenord nu eftersom de sidor man uppdaterar hos måste själva uppdaterat dina servrar. Detta har även nämnts i tråden.

Mao är det bara att vänta och se? Men är inte sannolikheten att bli drabbad nu större än någonsin?

Bäst vore ju att hålla sig borta från Internet den närmsta tiden eller att inte besöka sidor som varit utsatta. Så länge du inte är i kontakt med en påverkad server kommer (förhoppningsvis) inte dina uppgifter ligga tillgängliga i serverns minne. Surfa alltså i inkognito-läge och se till att inte logga in på några sidor.

Skrivet av Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige:

Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter[...]

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

I praktiken tror jag det bästa man kan göra är att inte logga in på någon site som inte är uppdaterad tills man är säker på att de patchat.

Om någon ens vetat om buggen innan den blev offentlig kan ju ingen veta, men det lär ju sniffas efter uppgifter på alla stora siter som inte är uppdaterade just nu.