UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!

[qertoip]

sa hardware-owe, sa komercyjne

W tych jest jeszcze więcej dziur, tylko trudniejszych do wykrycia

[virus]

w hardware-owych raczej nie ma, ale one tanie nie sa ;>

[ShadowOfHarbringer]

oczywiscie ze sa...
sa hardware-owe, sa komercyjne

Ta, z dziurami sponsorowanymi przez NSA [tudzież wstaw dowolną agencję wywiadowczą kraju w którym powstaje dany produkt]

z darmowych znam tylko OpenSSL

Jest jeszcze CyaSSL - przeznaczona głównie dla systemów embedded, ale jest dostępne w repo normalnych dystrybucji i można go używać.
http://www.yassl.com/yaSSL/Home.html

[ShadowOfHarbringer]

w hardware-owych raczej nie ma, ale one tanie nie sa ;>

Kto ci da taką gwarancję, że dziur nie ma ? Wiesz jak łatwo wprowadzić dziurę do takiego urządzenia ? Kodu źródłowego nie przejrzysz, więc masz tutaj jeszcze większe pole do manewru...

[Bitmar]

Sprawa jest naprawdę poważna. Luka jest od 2 lat ale wiedzieli o niej pewnie nieliczni. Dziś dowiedzą się o tym wszyscy więc należy spodziewać się masowych ataków na serwisy wykorzystujące openSSL (nie wszystkie).
Nie logujcie w tej chwili do żadnego serwisu podatnego na atak !!!! podatność sprawdzicie tu: http://filippo.io/Heartbleed/. Wszystkie hasła które teraz wpisujecie mogą być podsłuchane !!! Z logowaniem poczekajcie aż serwisy wymienią certyfikaty !!!!
Jeżeli już się zalogowaliście, to należy przyjąć, że wasze hasła są spalone, podejmijcie więc odpowiednie kroki jeśli używacie tego hasła gdzieś indziej. A najlepiej już po wszystkim pozmieniać wszystkie hasła

Do Polskich giełd i serwisów. Wyłączcie się do czasu zmiany certyfikatu !!! Działając dalej narażacie siebie i użytkowników!!!

P.S
Forum jest bezpieczne.

Bitcurex też dziś w nocy zaktualizował to co trzeba. Strona http://filippo.io/Heartbleed/#pln.bitcurex.com:443 podaje wynik losowo jak chce.
Bitcurex zapewnia, że nie są podatni.

[virus]

moze warto przejsc na to

Kod: Zaznacz cały

 # eix cyassl
* net-libs/cyassl
     Available versions:  2.4.6 2.5.0 2.7.0 ~2.8.0 {+aes aes-ccm aes-gcm aes-ni +arc4 +asn atomicuser big blake2 camellia +coding crl crl-monitor cyassl-hardening debug +des3 +dh dsa -dtls ecc +errorstrings examples extra fortress +hc128 +httpd +huge ipv6 leanpsk maxfragment mcapi md2 md4 +md5 +memory nullcipher ocsp pkcallbacks +psk pwdbased rabbit +ripemd +rsa savecert savesession sep +sessioncerts +sha sha512 small sni (+)sniffer static-libs test +testcert threads tlsx truncatedhmac +zlib}
     Homepage:            http://www.yassl.com/yaSSL/Home.html
     Description:         Lightweight SSL/TLS library targeted at embedded and RTOS environments

[big_digger]

"We are investigating this issue and have temporarily disabled login for existing users, the registration of new accounts and virtual currency withdrawals. These measures are "just in case" temporary measures while we wait for our DDoS mitigation service provider to fix this issue. Our backend was already patched.
Best regards,
Bitstamp Support"

[Bitmar]

Aktualizuje listę Polskich giełd:

Podatne:

btcidea.eu

Odporne:
bitalo.com
bitbay.pl
bitcurex.pl
bitmarket.pl
bitmarket24.pl
ebitex.pl
autovaluta.com
bitorado
nevbit.com

[M4v3R]

@Bitmar: Na Bitalo już zaktualizowaliśmy OpenSSL. W naszym wypadku kluczy Bitcoin i tak nie dałoby się ukraść, ale mimo to lepiej dmuchać na zimne.

PS. Jesteśmy w trakcie wycofywania certyfikatów i wydawania nowych. Pałeczka niestety po stronie CA.

[ShadowOfHarbringer]

A czy bitcurex.com wycofał już stare certyfikaty i dał nowe ?

Jeśli nie, to właściwie dalej jest podatny...

Post z zdublowanego wątku:

"Nie wiem, czy do wszystkich właścicieli serwisów Bitcoinowych to dotarło, więc piszę jeszcze raz:

JEŻELI TWÓJ SERWIS BYŁ PODATNY, to NIE WYSTARCZY tylko zaktualizować oprogramowania i zrestartować serwisów.

Ponieważ nie ma możliwości sprawdzenia, czy serwer został skompromitowany, trzeba założyć że został i kompletnie wymienić WSZYSTKIE KLUCZE SSL !

Giełdy, które są aktualnie podatne powinny zostać CAŁKOWICIE ZAMKNIĘTE do czasu wygenerowania nowych certyfikatów. Każda minuta ich bycia dostępnym, to możliwość włamu.

Więcej informacji tutaj:
uwaga-dziura-w-openssl-sprawdz-swoja-gielde-t14448.html
http://filippo.io/Heartbleed/
http://heartbleed.com/"

[alex69]

ShadowOfHarbringer@ zamiast latać i histerycznie machać rekami
powiedz co kowalski możne zrobić by mieć bezpieczne połączenie
czy również musi wymienić klucze ssl?

bo mam nadzieje ze już poinformowałeś adminów zagrożonych serwisów o ww błędzie z 2011 roku

[MarcusDe]

A to forum? Już naprawione

[scs]

A jak ma się to do certyfikatów których używają banki ?

[M4v3R]

Muszą je wymienić na nowe, inaczej każdy się może pod nich podszyć. mBank na przykład nadal używa starego certyfikatu. Nie wiem jak inne banki.

[scs]

czyli jeśli np w heartbleed mbank.pl wyszło "Uh-oh, something went wrong. " znaczy że mbank musi wymienić certyfikat?

[M4v3R]

Nie, to oznacza że mBank naprawił już to po swojej stronie. Certyfikat możesz sprawdzić (w zależności od przeglądarki) klikając w kłódkę/zielony pasek w pasku adresu i sprawdzając daty które są tam przypisane.

[qertoip]

Banki w znakomitej większości nie używają OpenSSL tylko sprzętowych (ew. komercyjnych) implementacji.

Dlatego generalnie nie były podatne na ten atak i nie muszą wymieniać certyfikatów.

Niebezpiecznik pisze o jednym podatnym banku w Polsce (nie wiadomo który), mi na czerwono wcześniej wyskakiwał Meritum ale już nie wiem czy to wina tego narzędzia czy samego Meritum. Teraz jest zielony.

[Bitmar]

A to forum? Już naprawione

Forum nigdy nie było zepsute więc nie było co naprawiać

[M4v3R]

Właśnie wymieniliśmy certyfikat SSL na Bitalo. Niestety nie jest już EV, na ponowne wydanie tego będziemy musieli poczekać aż nasze CA ponownie nas zweryfikuje.

[Bitmar]

Czyli z Polskich giełd została tylko btcidea.eu... i dalej działa jakby nic się nie stało