Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: Златко в Apr 09, 2014, 11:43



Титла: Heartbleed
Публикувано от: Златко в Apr 09, 2014, 11:43
Откриха опасен пробив в сигурността на Интернет трафика ($2)

Наистина ли това чудо е толкова опасно колкото го описват?  ::)


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 09, 2014, 14:50
Катастрофално зле е това чудо и сега ще се наринат бая пари за ревокиране на сертификати, пачване на софтуера и издаване на нови такива при това в доста голям мащаб.


Титла: Re: Heartbleed
Публикувано от: romeo_ninov в Apr 09, 2014, 15:30
Катастрофално зле е това чудо и сега ще се наринат бая пари за ревокиране на сертификати, пачване на софтуера и издаване на нови такива при това в доста голям мащаб.
Ами разходите от време на всеки разумен потребител за да си смени паролите....


Титла: Re: Heartbleed
Публикувано от: Naka в Apr 09, 2014, 16:38
Днес прочетох новината..Потърсих в ЦЕНТОС и се оказа че вече има ъпдейт на openssl и го ъпдейтнах. За някакви 2-3 дена май са го пуснали.

https://www.centos.org/forums/viewtopic.php?f=9&t=45814
Цитат
So the official update is now out. Details below copied from the CentOS-Announce mailing list.

If you run `rpm -q openssl` and it reports version 1.0.1e and less than 1.0.1e-16.el6_5.4.0.1 then you are currently vulnerable to this problem. If it reports 1.0.1e-16.el6_5.4.0.1.centos then you have the temporary version issued before Redhat issued their official fix. If you have 1.0.1e-16.el6_5.7 or higher then you have the official fixed version. If you are not running the fixed version then you should update as soon as possible by running `yum update`. If no newer version is offered then you might try running `yum clean metadata` then retry. If nothing shows up still then you may need to wait for your current mirror to catch up and replicate the update.

сега имам openssl-1.0.1e-16.el6_5.7.i686.rpm
а в центос5 сериите проблема го нямало щото била стара версията- OpenSSL 0.9.8


Титла: Re: Heartbleed
Публикувано от: jet в Apr 09, 2014, 20:19
пуснали со полезна добавка за Chrome - Chromebleed, която ти казва когато посетиш уязвим сайт.


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 09, 2014, 21:24
Между другото, ъпдейтването на OpenSSL не е решение на проблема в случай че някой си е поиграл във времето преди ъпдейта. В тези до 64kb leak-ната памет спокойно може да се намира частния ключ на сървъра. Оттам (в случаят с https) ако не си конфигурирал сървъра да ползва някакъв ephemeral key exchange, всякакви предишни изслухтяни трафици и бъдещи след това могат да се декриптират тривиално (това е вградена в wireshark функционалност). Много сървъри не го правят, дори google се хвалиха че най-накрая вече го правят неотдавна, след като излязоха онези дивотии със Сноудън.

Най-добре е частният ключ да се генерира наново, оттам CSR-а и подписания от CA-то сертификат. Ако просто генерираш нов CSR със същия частен ключ и го пратиш за подписване, няма да оправиш проблема.

Та оттам, сега ще им стане забавно на authority-тата, ще имат доста работа. На админите също няма да им е много забавно :)  Бая apache инсталации с mod_ssl и бая openvpn такива има най-малкото :)


Титла: Re: Heartbleed
Публикувано от: programings в Apr 09, 2014, 21:28
(http://imgs.xkcd.com/comics/heartbleed.png)


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 09, 2014, 22:29
Ехех някои хора взеха сериозно да се ебават :)

(https://pbs.twimg.com/media/Bkx8cuwCAAAHoob.png)


П.П оооо това не било изолирано явление, доста хора се ебават по въпроса, не знам откъде е тръгнала тая мода, пропуснал съм :)

(https://pbs.twimg.com/media/BkwVMIoCAAA814Y.png)

(https://pbs.twimg.com/media/BkxcfByCEAAH3Oj.png)


Титла: Re: Heartbleed
Публикувано от: kifavi8024 в Apr 09, 2014, 23:22
Ей ти веднага смени подписа  [_]3
Аз вчера пратих репорт на един торент тракер и днеска гледам - "It works!" и нито следа от тракера, ама поне сървъра им вече не е пробит - ROFL ...


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 09, 2014, 23:24
Е не вчера го смених :) backinblack си тръгна и няма кого да дразня със стария :)


Титла: Re: Heartbleed
Публикувано от: programings в Apr 09, 2014, 23:34
В момента в който прочетох за този бъг, моментално ми изникна асоциация с онази уязвимост в ядрото на Линукс, където на едно място в if вместо да се сравни променлива, тя се декларира, и ставаш root. Някак си толкова време е била известна (и не е толкова сложна за намиране, така като гледам), съмнително да не е била експлоатирана от разни трибуквени агенции (и не само) предвид наличните ресурси да си наемат мозъци да ровят денонощно сорс кода на всякакви софтуери, които като цяло по някакъв начин им пречат да слухтят, и изведнъж бум - новооткрита.

Странна работа, общо взето.


Титла: Re: Heartbleed
Публикувано от: kifavi8024 в Apr 09, 2014, 23:37
Добре де, на мен ми е интересно - кое е по-вероятно:
1. Това е неволна грешка.
2. Това е много добре прикрита намеса на NSA под формата на неволна грешка.

Ето едно видео, което показва как работи експлойта: OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics ($2)


Титла: Re: Heartbleed
Публикувано от: programings в Apr 09, 2014, 23:42
Може и да съм си по натура конспиратор, ама след повторен прочит на този ($2) пост, все повече започвам да си мисля, че е второто.


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 09, 2014, 23:50
Мисля си че е по-скоро първото. Гледах точно кода, който е отговорен за това наистина е голяма мърлявщина но съм по-склонен да вярвам че е случайно, отколкото нарочно. Така или иначе не е привнесено по-късно, съществува си откакто се подържа въпросното разширение на протокола. И наистина е доста безотговорно, но си мисля, че ако трябваше да е конспирация, щеше да е по-законспирирана.

По-скоро доказва че милионите всевиждащи очи при опънсорса не са чак толкова всевиждащи :)


Титла: Re: Heartbleed
Публикувано от: kifavi8024 в Apr 09, 2014, 23:58
А добре де - мога ли да питам аз: Защо не се правят поне повече тестове + ревюта на подобен тип библиотеки и код свързан със сигурността?
Сега ще стане наистина грозно - има дори банки, които са засегнати от този проблем...
Трябва да прегледам нашенските банки, да видим какво им е дереджето.


Титла: Re: Heartbleed
Публикувано от: programings в Apr 10, 2014, 00:01
Има и логичен трети вариант, обаче - случайна грешка, известна и използвана от NSA като способ за слухтене много преди от Google и тая другата компания да я открият. Може просто са си мълчали. Няма как да знаем, де... догадки.


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 10, 2014, 00:06
Защото "тестове" е много общо понятие. Какви тестове? Могат да се напишат unit тестове за тази функция примерно. И какво от това? Той проблемът е малко по-навързан и е свързан и с протокола. Ти ако не знаеш какво точно искаш да провериш, надали ще изплува като проблем. Но ОК де - нали е отворен код и има милиони всевиждащи очи, които би следвало моментално да забележат проблема. Има секюрити одити, има хора, които си нямат друга работа и ровят за проблеми, вече без значение с каква мотивация, което е малко притеснително. Но крайният резултат е че са необходими 2 години въпросното изпражнение да удари вентилатора :)


Титла: Re: Heartbleed
Публикувано от: Златко в Apr 10, 2014, 00:19
По-скоро доказва че милионите всевиждащи очи при опънсорса не са чак толкова всевиждащи :)

Или че не са толкова милиони.  [_]3

А колко ли „вратички“ има в Прозорци?!  :o Трябва да питаме Сноуден.  ^-^


Титла: Re: Heartbleed
Публикувано от: kifavi8024 в Apr 10, 2014, 00:27
Не казвам че тестовете трябва да са само автоматизирани, но все пак. Там трябва да се наблегне най-много.
Не знам, лично на мен ми е много странно, че подобно нещо е оставено в такъв вид и даже е пуснато за ползване.

Очаквам в близкото бъдеще да има още подобни "находки" :)


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 10, 2014, 00:31
Там нещата предполагам са по-зле, защото и мотивацията е доста по-комерсиална. Обаче всички rant-ове можете да ги обърнете към хората, които решиха че това трябвало да става индустрия и тези хора не са Microsoft определено. Цялата тази security работа се изроди зловещо зле, сега имаш един милион причини да допринасяш по неправилния начин в полза на неправилните хора, допълнително някак етичните норми са комично изродени. И допълнително понеже е златна мина, и както с всяка златна мина, на клона наскачат ужасно много малоумни маймуни, това само по себе си може да ти държи влага да не се занимаваш с такива глупости дори да ти е интересно. Според мен крайният ефект от цялата работа е че идиотите сами ще си отрежат клона и в един момент няма да има много иновации по въпроса, ще има "тирания" под някаква форма, защото стимулите които движат нещата са предимно финансови и никой няма да спечели от това в крайна сметка, само ще се раздухва патардия и параноя.



Титла: Re: Heartbleed
Публикувано от: leonkwolf в Apr 10, 2014, 08:13
Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.


Титла: Re: Heartbleed
Публикувано от: romeo_ninov в Apr 10, 2014, 08:23
Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.
Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.


Титла: Re: Heartbleed
Публикувано от: d0ni в Apr 10, 2014, 11:09
Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.

Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.


Титла: Re: Heartbleed
Публикувано от: romeo_ninov в Apr 10, 2014, 11:14
Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.
Продължавайте да вярвате на това :)
Преди май година беше открит бъг в Х, който съществуваше от (мисля) 10 и повече години...
А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?


Титла: Re: Heartbleed
Публикувано от: pennywise в Apr 10, 2014, 11:34
Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.


Титла: Re: Heartbleed
Публикувано от: romeo_ninov в Apr 10, 2014, 11:49
Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.
Този бъг на Х за който споменах си беше точно проблем със сигурността. Е, не от мащаба на този с openssl, но все пак.
А за това че има повече софтуер с отворен код - зависи от дефиницията за софтуер :) Защото и един триредов awk скрипт може да се нарече програма и съответно да има проблем със сигурността


Титла: Re: Heartbleed
Публикувано от: jet в Apr 10, 2014, 13:23
[А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?
то пък едно реноме...
http://mashable.com/2014/04/06/boy-breaks-microsoft-security/ ($2)
добре, че не им се вижда сорса, та разчитат на security by obscurity


Титла: Re: Heartbleed
Публикувано от: kifavi8024 в Apr 10, 2014, 13:28
Само дето в тоя последния спор дето го почнахте - сравнявате праскови и портокали...
На едното може да му видите кода, а на другото не можете и трябва да имате много сериозно познания, за да направите "ревю" на кода, което поне малко да се доближи до това на отворен код.

Научете се най-сетне, че не може да се правят само елеметарни сравнения.
Това че софта е платен, няма никакво значение - грешки се допускат навсякъде, а и ограничените сроковете спомагат за това.


Титла: Re: Heartbleed
Публикувано от: 4096bits в Apr 10, 2014, 13:33
Няма софтуер без бъгове, просто защото се пише от хора, а ние не сме безгрешни. Повечето  ;D Има обаче един простичък факт и историята го е доказала. Да вземем за пример най-разпространената операционна система. Всеки сървис пак след официалното излизане на някоя нова версия оправя десетки бъгове и недомислици на системата. Десетки. Имало е бъгове, за които са знаели, но не са отстранявали по 15 години и повече. Различния приложен софт е същата работа. И колкото е по-сложна и голяма една програма, толкова повече бъгчета има. Логично е, разбира се, но няма как човек да не се замисли. Усилието за разработването на програми и системи понякога може да е наистина колосално, но тези за отстраняването на нередности и грешки са оставени за времето след излизане на "продукта". Достатъчно е, да работи стабилно. Щом работи, почти няма значение как.
Гейта беше написал статийка за руутнато андроидче и не я давам за първи път за пример. За това колко неща съхранява андроид на недостъпно по нормален начин място, за контакти, gps, sms-и и какво ли още не. Ако един бъг е проблем със сигурността, за който се вдига ужасно много шум и е разбираемо, какво са приложенията, които съзнателно са проектирани да експлойтват глупостта, наивността и неиформираността на потребителите? Все по-често срещам хора ползващи и инсталирали Viber на телефоните си. Какво повече да се говори. И не е само това. Почти всяко едно мобилно приложение е направено за да смуче информация. Никой не тръби за това и изглежда се приема от твърде много хора и то безгрижно. Проблем със сигурността! Какво е това?


Титла: Re: Heartbleed
Публикувано от: geroy в Apr 10, 2014, 16:20
Поредното доказателство за това, че не трябва да се ползва най-мега-хипер новата версия на всеки софтуер, ако това не е напълно належащо - нужда от някаква нова функционалност.
Много харесвах Debian както беше преди - с outdated софтуер. Жалко че и те се подлъгаха по "модерното" :)


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 11, 2014, 00:51
Конспирациите са новата религия :)

Сега гледам, че EFF иначе като заинтересована страна, предполага разни такива неща:

https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013

Обаче дори те не си позволяват да хвърлят разни твърдения ей така, все пак не са някакъв руски сайт за езотерика :)


Титла: Re: Heartbleed
Публикувано от: go_fire в Apr 11, 2014, 19:07
Нямало ППО без буби ;) Явно не сте чели:

http://landoflisp.com/

По между другото, откраднах я, много е полезна, ако си го знаел преди десет години, но не си се занимавал, а освен това имаш свободно време и си почитател на жълтите вестници, не за друго, а защото си падаш по дълги, безсмислени текстове, почти без информация. Във всички други случай, това не става. Но пък картинките са култови. А ако четеш само откроеният текст и темата те интересува, то си струва.


Титла: Re: Heartbleed
Публикувано от: gat3way в Apr 11, 2014, 23:45
Paul Vixie нещо се е бъгнал и той по въпроса (не съм и особено съгласен с него, света се променя в крайна сметка):

Цитат
when the internet moved out of academia and into the larger population,
we got tabloids and ambulance chasers in the deal. ick.

...

speaking of ambulance chasers, in the above-referenced article, THIS
little gem:

"On a scale of one to 10, it is an 11," renowned security expert Bruce
Schneier said of the bug.

really bruce? on a scale of doesn't-matter-at-all to
worst-thing-you-could-have-previously-imagined, a read only exploit is
even worse than that? no remote file modification, no root shell, no
non-root shell, no data-modification, no arbitrary file system reads...
just a read only heap exploit, and it's worse than anything you could
have previously fucking imagined?

gentlemen and ladies, we have met the enemy, and they are our egos.

...

thanks for whatever respect may be due, but bruce is still wrong. the
cost to fix this is:

1. replace all private keys
2. replace all passwords
3. upgrade all SSL software

that rates 9 out of 10, where 10 is the worst thing i could have
imagined pre-heartbleed, which is remote file modification and/or remote
code execution, because the costs in that case would be:

1. inclusive of [1..3] above
2. replace all operating systems
3. audit or replace all user data

...

bruce was spouting nonsense. heartbleed's costs will not be higher than
previously imaginable.




Титла: Re: Heartbleed
Публикувано от: stealth01 в Apr 12, 2014, 09:25
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html

Цитат
The U.S. National Security Agency knew for at least two years about a flaw in the way that many websites send sensitive information, now dubbed the Heartbleed bug, and regularly used it to gather critical intelligence, two people familiar with the matter said.

ще е интересно Сноудън да изскочи с новина по въпроса ::)


Титла: Re: Heartbleed
Публикувано от: programings в Apr 14, 2014, 23:20
Вече и пейсмейкъри ($2) се появиха, за Reverse Heartbleed, сървър - клиент.  ;D

За мен това си е по-опасно от класическия вариант, тъй като старите версии на браузърите гърмят на мига...


Титла: Re: Heartbleed
Публикувано от: zxz в May 03, 2014, 14:38
http://www.dnevnik.bg/tehnologii/2014/05/02/2292609_kompjuturen_specialist_otkri_probiv_v_dvete/?ref=rss