Det nye sikkerhetshullet - OpenSSL

[Tonny Kluften]

OpenSSL har hatt en svakhet. Hva er egentlig konsekvensen av det? Tviler på at alle som har brukt passord på de serverne har mistet passordet sitt.

 

[TorsteinO]

problemet er vel at man rett og slett ikke kan vite om noen har fått ut passordet ditt eller ikke.

Konsekvensen er at man må skifte passord på omtrent alt, og at dette for en gangs skyld faktisk er VIKTIG. Og at jeg sitter og banner som en nordlending på speed!!$##%&/(%!!!!!

 

[Tore Andre Rosander]

Men det hjelper jo ikke å bytte passord før alle nettstedene som er berørt har fikset feilen.

 

[RAH]

Det er som Torstein sier, for oss "forbrukere" er konsekvensen at vi må bytte passord på omtrent alt.

På nettsider med sikkerhetshullet så kan fremmede lytte til informasjon, brukernavn/passord, sensitiv informasjon og lignende. Det er enkelt å "fnyse" av slike sikkerhetshull da man synes det er et ork å endre passord på alt, men feil informasjon i hendene på feil folk kan gå riktig galt

Skrev kort om dette på EnkeltForklart.no nå:
Hva er Heartbleed feilen? og kanskje enda mer relevant for oss; Hvordan ser jeg om et nettsted er rammet av Heartbleed feilen?

Det er også slitsomt for oss som må oppdatere flere servere

 

[RAH]

Men det hjelper jo ikke å bytte passord før alle nettstedene som er berørt har fikset feilen.

Det hjelper å endre passord på de nettsidene som ikke er berørt/utbedret.

Det er i situasjoner som dette vi ser hvor viktig det er med forskjellige passord på alle nettsider

 

[Tonny Kluften]

enkeltforklart.no/1057/hvordan-ser-jeg-om-et-nettsted-er-rammet-av-heartbleed-feilen[/URL]

Den fungerte ikke på noe jeg testet.

 

[RAH]

Merk at en nettside må bruke SSL for at du skal kunne se etter svakheten.
F.eks. https://... i steden for http://...

Mange mindre sider bruker ikke SSL, og er da ikke usatt for dette sikkerhetshullet. Merk da at denne dataen er like utsatt fordi den ikke krypteres.

Du har forresten en liten skriveleif i topic og første post "OPENSLL" i steden for "OpenSSL".

 

[impel]

Merk da at denne dataen er like utsatt fordi den ikke krypteres.

Njaei. Det som overføres mellom klient og server kan snappes opp, hvis man bare bruker http. Det er riktig, men greia med Heartbleed er jo at man kan kikke rett inn i deler av minnet på serveren, noe som kan være veldig skummelt, om du er "heldig" og får sensitiv data i retur.

 

[RAH]

Det er klart impel, jeg er helt enig, og nevner dette i innlegget på EnkeltForklart.no.

Når det er sagt så vil ukryptert data alltid være ukryptert, og det var mellom klient og server jeg siktet på når jeg skrev det du siterer

 

[zapotek]

Nettavisene overgår hverandre i bruk av krigstyper idag: BYTT PASSORD NÅ!

Er det virkelig så prekært? Er jo et styr uten like å bytte overalt.

Hvis dette sikkerhetshullet har vært åpent i to år allerede, ville det ikke vært like så stor sjanse for å bli hacket for 456, 93 eller 67 dager siden som i dag?

 

[TorsteinO]

Hvis dette sikkerhetshullet har vært åpent i to år allerede, ville det ikke vært like så stor sjanse for å bli hacket for 456, 93 eller 67 dager siden som i dag?

nei, fordi det først for to dager siden ble offentliggjort, dvs at nå veit ALT av scriptkids om det, mens det tidligere var ganske få som visste om det

 

[Pong]

Tidligere var det alle etterretningstjenestene som visste om det.
Når du bruker en "logg på facebook" pålogging er det en del som går serverne imellom.

På tide å ta det med passord litt mer seriøst; alt for mange har jeg samme passord; som visstnok er mellom 14 og 26 tegn, alt etter, men jeg bruker stort sett variasjoner på noen få kombinasjoner (hørtes ikke det "kryptisk" ut?).

 

[adeneo]

Nettavisene overgår hverandre i bruk av krigstyper idag: BYTT PASSORD NÅ!

Er det virkelig så prekært? Er jo et styr uten like å bytte overalt.

Hvis dette sikkerhetshullet har vært åpent i to år allerede, ville det ikke vært like så stor sjanse for å bli hacket for 456, 93 eller 67 dager siden som i dag?

Her snakker vi om en feil i noen få versjoner av OpenSSL i noe obskur C kode som gjør det mulig å sende visse pakker til serveren og så få tilbake deler av dataene i minnet.
Man skal altså først vite hvordan man gjør dette, og hadde det vært enkelt ville det vært oppdaget for to år siden, og er man heldig får man altså tilgang til krypteringsnøkler slik at man kan dekryptere data sendt over HTTPS, og da må man altså også klare å sitte i midten og hente ut slike data mellom klient og server først.
Det hele er langt mer innviklet enn mediene får det til å virke som, scriptkiddies har ikke en sjans i verden til å utnytte dette.

OpenSSL er åpen kildekode, og av de fire som administrerer commits, og "merger" kode osv. så er det to uavhengige sikkerhetseksperter, en sikkerhetsekspert fra Google, og en fra Red Hat, og de har altså ikke oppdaget dette, sannsynligheten er fantastisk liten for at noen har utnyttet dette i to år.

Google sier nå at man ikke trenger bytte passord, Facebook sier at dette er en god tid å bytte til et unikt passord kun for facebook, men oppfordrer egentlig ingen til å straks bytte passord.

Alle de store sidene som har benyttet OpenSSL har nå noen av verdens fremste eksperter i jobb på dette, og de har ikke funnet noen som helst indikasjon på at dette har vært utnyttet, eller at det er så veldig kritisk å bytte passord, mens enkelte uavhengige sikkerhetseksperter og mediene roper om kapp, og påstår nærmest at det er verdens undergang.

Nå er det heller ingen tvil om at dette er alvorlig.
Det er snakk om SSL, det som skulle være det absolutt trygge alternative for å sende data over nettet, som det ikke skulle være mulig å få tilgang til, og det viser seg nå å ikke være sikkert i det hele tatt, og det er alvorlig, men denne panikken enkelte (<- les journalistene) har, er overdrevet.

Som en kuriositet bruker Microsoft sin egen software for SSL, og ikke OpenSSL, slik at de er ikke påvirket av dette i det hele tatt.

 

[Rismoen]

Her snakker vi om en feil i noen få versjoner av OpenSSL i noe obskur C kode som gjør det mulig å sende visse pakker til serveren og så få tilbake deler av dataene i minnet.
Man skal altså først vite hvordan man gjør dette, og hadde det vært enkelt ville det vært oppdaget for to år siden, og er man heldig får man altså tilgang til krypteringsnøkler slik at man kan dekryptere data sendt over HTTPS, og da må man altså også klare å sitte i midten og hente ut slike data mellom klient og server først.
Det hele er langt mer innviklet enn mediene får det til å virke som, scriptkiddies har ikke en sjans i verden til å utnytte dette.

OpenSSL er åpen kildekode, og av de fire som administrerer commits, og "merger" kode osv. så er det to uavhengige sikkerhetseksperter, en sikkerhetsekspert fra Google, og en fra Red Hat, og de har altså ikke oppdaget dette, sannsynligheten er fantastisk liten for at noen har utnyttet dette i to år.

Google sier nå at man ikke trenger bytte passord, Facebook sier at dette er en god tid å bytte til et unikt passord kun for facebook, men oppfordrer egentlig ingen til å straks bytte passord.

Alle de store sidene som har benyttet OpenSSL har nå noen av verdens fremste eksperter i jobb på dette, og de har ikke funnet noen som helst indikasjon på at dette har vært utnyttet, eller at det er så veldig kritisk å bytte passord, mens enkelte uavhengige sikkerhetseksperter og mediene roper om kapp, og påstår nærmest at det er verdens undergang.

Nå er det heller ingen tvil om at dette er alvorlig.
Det er snakk om SSL, det som skulle være det absolutt trygge alternative for å sende data over nettet, som det ikke skulle være mulig å få tilgang til, og det viser seg nå å ikke være sikkert i det hele tatt, og det er alvorlig, men denne panikken enkelte (<- les journalistene) har, er overdrevet.

Som en kuriositet bruker Microsoft sin egen software for SSL, og ikke OpenSSL, slik at de er ikke påvirket av dette i det hele tatt.

Amen.

Bra skrevet!

 

[Pong]

https://www.schneier.com/