UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!

[NevBit]

NevBit.com odporna http://filippo.io/Heartbleed/#nevbit.com

[kactech]

Śmieszna sytuacja, goście tężą głowy nad implementacjami odpornymi na ataki tajmingowe(cholera wie jak to po polsku) a tu przez dwa lata drobne rozszerzenie typu ping-pong oddaje klucze z pocałowaniem ręki. Może to było tak: jest proste, wszyscy widzą co robi, nie ma bata żeby ktoś to spieprzył.
---

Hey companies that use OpenSSL: how many $$ have you spent recovering from Heartbleed? Why not fund OpenSSL so it doesn't happen again?

M. Green - dev. Zerocoin, zwraca uwagę na małą ilość deweloperów, "OpenSSL w dzisiejszych czasach to dwóch gości i kundel".

[virus]

oprocz tego ze daje to klucze to za bardzo niewiele zdziala...
polecam wszystkim co uzywaja OpenVPN do resetu VPN-ow po upgrade
serwery pocztowe takze

[M4v3R]

Żeby uświadomić mniej technicznej części publiczności powagę sytuacji:

Kod: Zaznacz cały

$~  python ssltest.py btcidea.eu
...
Received heartbeat response:
...
logowanie=true&tab%5Busername%5D=miminsmart
1%40gmail.com&tab%5Bpassword%5D=*******&..

Oczywiście zamiast gwiazdek było hasło gotowe do odczytania i wykorzystania.

[ShadowOfHarbringer]

oprocz tego ze daje to klucze to za bardzo niewiele zdziala...
polecam wszystkim co uzywaja OpenVPN do resetu VPN-ow po upgrade
serwery pocztowe takze

OpenSSL/OpenVPN już przekompilowałem na wszystkich serwerach. Ufffff....

Dodam jeszcze, że nody TORa także są zagrożone... (też już swoje przekompilowałem).

[Bitmar]

@M4v3R ma rację, to nie chodzi tylko klucze. Luka umożliwia dostęp do pamięci serwera i odczytanie z niego różnych danych, z hasłami włącznie. Sprawa jest bardzo poważna, to jest katastrofa Internetowa na wielką skalę, skutki poznamy niedługo.

[MrLei]

@kactech
Takie dziury są zawsze na początku sprzedawane za bardzo duże kwoty w tor...

[fun]

Mała uwaga.
Niestety wśród różnych dystrybucji pomstuje różne wersjonowanie paczek, więc nie można polegać na ogólnym stwierdzeniu, że wersja z 'g' jest ok.
Warto przed upgradem paczki z repo i po porównać sobie "openssl version -a" i poszukać "built on".
Wersje odporne powinny być zbudowane >= 7.04.2014.

[platorin]

Panowie (i Panie), bądźcie łaskawi powiedzieć, jak sytuacja odnosi się do klienta Bitcoin przy założeniu, że wallet był online raz w tygodniu na pobór blockchaina i przy tym zaszyfrowany i zamknięty?

[hanti]

ryzyka w zwiazku z ta dziura brak

[fsm]

zagrożenia bezpośredniego dla zwykłych ludzi (którzy w 99.999% używają standardowych ustawień) - brak
zagrożenie dla giełd/kantorów/sklepów/kopalni (to jeśli chodzi o samą sieć bitcoin) - też nie jest takie wielkie
bo
- standardowo klient bitcoina nie używa SSL , nie odpowiada na zlecenia SSL więc raczej nie można
- standardowo klient nie przyjmuje poleceń RPC z zewnętrznych adresów ip (chyba że ktoś to celowo zrobi)
- nawet podsłuchanie fragmentu pamięci,daje max 64 kilo, a i to prawdopodobnie tylko do fragmentu pamięci aplikacji podsłuchiwanej, a nie całego systemu. jeśli nie tylko fragmentu pamięci w bibliotece libopenssl

to szczerze mówiąc więcej giełd i systemów zostało okadzonych przy okazji innych błędów, niż tego osławionego w OpenSSL

oczywiście warto tak czy inaczej zaktualizować wszystko co się da, ale sianie przesadnej paniki to chyba przesada.

[M4v3R]

@fsm: Czytałeś co napisałem wcześniej? Jeśli serwer był nie spatchowany można było wyciągnąć z niego niezaszyfrowane loginy i hasła użytkowników, a co za tym idzie - wyciągnąć ich fundusze. Tylko dodatkowe zabezpieczenia (limity wypłat, 2-factor) mogły ich uratować.

[fsm]

@fsm: Czytałeś co napisałem wcześniej? Jeśli serwer był nie spatchowany można było wyciągnąć z niego niezaszyfrowane loginy i hasła użytkowników, a co za tym idzie - wyciągnąć ich fundusze. Tylko dodatkowe zabezpieczenia (limity wypłat, 2-factor) mogły ich uratować.

Wszystkie sensowne giełdy / kantory/ kopalnie czy cokolwiek powinny posiadać dodatkowe zabezpieczenia,
jeśli nie posiadają to kasę można z nich wyciągnąć na kilka innych sposobów.
Te które znam w sumie mają.

może warto tutaj przy okazji zrobić taki audyt, która teoretycznie giełda tak na prawdę pozwalała na wypłatę kasy za pomocą tego błedu - np bitcurex chyba jest odporny, nawet poznanie hasła usera niewiele daje

Może inaczej która giełda teoretycznie po poznaniu loginu i hasła (za pomocą ssl, włamu na maila, trojana /keylogera) do konta umożliwi na wypłacenie z niej kasy na nowy adres ?
chyba żadna ? adres trzeba zmienić ?a tego raczej się nie zrobi bez dostępu co najmniej do skrzynki pocztowej

Nie mówię, że to nie jest grożne, ale aby ktoś mógł ukraść kasę, to musi się złożyć kilka innych rzeczy i giełda musi byś ogólnie słabo zabezpieczona.

[platorin]

Panowie, serdeczne dzięki za informacje.

Wszystkiego dobrego i powodzenia!

Plato

[alex69]

ale histeria ...
padają sugestie by czymprędzej powymieniać klucze do handlu api

[Hamsta]

Sprawa staje się ciekawsza gdy okazuje się, że amerykańskie NSA łapie hasła przez tą dziurę od lat
http://technologie.gazeta.pl/internet/1 ... SlotII3img

[ShadowOfHarbringer]

Sprawa staje się ciekawsza gdy okazuje się, że amerykańskie NSA łapie hasła przez tą dziurę od lat
http://technologie.gazeta.pl/internet/1 ... SlotII3img

Informacje pochodzą z "anonimowych źródeł". Nie ma pewności, że NSA naprawdę wiedziała o tej luce od lat...

[GetBitCoin_pl]

Snowden juz dawno mówił, że NSA ma 10 luk na SSL, także oni załatali jedno a NSA korzysta z drugiej.

[ShadowOfHarbringer]

Snowden juz dawno mówił, że NSA ma 10 luk na SSL, także oni załatali jedno a NSA korzysta z drugiej.

Cóż... Miejmy nadzieję, że devy OpenBSD zrobią z tym porządek...

EDIT:
Ale ta może była najbardziej krytyczna, bo nie zostawiała żadnych śladów i nawet SELinux/Grsec na nią nie pomagał. Mam nadzieję, że inne luki są mniej poważne.

[kolkin]

ODŚWIEŻAM bo jest wykryta nowa podatność w OpenSSL, robić UPDATE!
źródło: CERT
oraz

http://www.openssl.org/news/secadv_20140605.txt