Jump to content

Heartbleed


Henkibojj
 Share

Recommended Posts

Märkligt att Heartbleed inte nämnts över huvud taget på detta forum.

Såvitt jag fattat är Heartbleed ett exploit i SSL-kryptering av så gott som samtliga hemsidor. Jag hörde att många bytte sina lösenord för att skydda sig, men det är ju egentligen inte någon lösenordsläcka som skett utan snarare en svag brandvägg hos servrarna. Alltså hjälper det inte att byta lösenord förrän hemsidorna har bytt/förstärkt sin SSL-kryptering.

Stämmer detta? Har man gjort rätt i att vänta någon vecka på att byta lösenord, och ska man göra det igen? Hur vet man när man ska byta lösenord, om nu det jag tror stämmer?

Länk till kommentar
Dela på andra sidor

Märkligt att Heartbleed inte nämnts över huvud taget på detta forum.

Såvitt jag fattat är Heartbleed ett exploit i SSL-kryptering av så gott som samtliga hemsidor. Jag hörde att många bytte sina lösenord för att skydda sig, men det är ju egentligen inte någon lösenordsläcka som skett utan snarare en svag brandvägg hos servrarna. Alltså hjälper det inte att byta lösenord förrän hemsidorna har bytt/förstärkt sin SSL-kryptering.

Stämmer detta? Har man gjort rätt i att vänta någon vecka på att byta lösenord, och ska man göra det igen? Hur vet man när man ska byta lösenord, om nu det jag tror stämmer?

Det stämmer till viss del, så som jag har uppfattat det handlar det om en ganska allvarlig programmeringsmiss vad gäller minneshanteringen av SSL-protokollet. Fick det förklarat för mig av en snubbe som sa att det kan beskrivas såhär (ordentligt förenklat förstås):

Jag: Hej server! Är du där?

Servern: japp

Jag: Svara strängen "hej" med tre tecken.

Server: hej

Jag: Svara strängen "hund" med fyra tecken.

Server: hund

Jag: Svara strängen "pizza" med 512 tecken.

Server: pizzaSIOFijdsjigoUSER=Agent23584322589jsajnfdsjnjkPASSWORD=32tejsjWR(ejwsjasfjd)=(Sjsfdafg8h7????dsuiahsauhimiffosmörSIFJdsasHertzMotorDUSAUDUAI24334239439249rsfjjsajd

Det som kom efter pizza var cacheat minne vilket kunde innehålla precis vad som helst, det vill säga sådan data som servern nyss gått igenom som till exempel anslutningsdata och liknande. Någon som har bättre koll kan dementera eller bekräfta om jag uppfattat det rätt.

Alla som nyttjar tjänsten har troligtvis täppt till denna säkerhetslucka nu så det är fritt fram att ändra lösenord om man vill det. Jag har inte gjort det än men lär göra det när jag får tid över... själv märkte jag av Heartbleed via uppdateringsfrekvensen till min egen server, måste varit ganska panikartat hos OpenSSL när det uppdagades för jag fick ett antal nya paket inom loppet av några timmar.

Vad jag tycker är intressant är att börsen inte påverkades nämnvärt av felet, nu är visserligen inte OpenSSL börsnoterat men jag tänker på alla de företag som använt tjänsten. Snacka om att hela världen lagt sina ägg i samma korg... hur många är de på som håller i depositoryn egentligen? Typ fyra snubbar eller något? Galet. Aja, förhoppningsvis är diverse IT-tekniker, och framförallt de, lite noggrannare i framtiden... felet var ju direkt kopplat till ett programemringsmisstag.

https://www.openssl.org/news/secadv_20140407.txt

  • Gilla 1
Länk till kommentar
Dela på andra sidor

Har förstått det på samma sätt som Jazz, och denna xkcd förklarar så fint!

heartbleed_explanation_1258170_0.png

Heartbleed är att man kan få ett gäng extra information från en servers minne ifall man har tur. Det farliga är inte nödvändigtvis inloggningsinformation som sprids, det är ens SSL-certifikat som kan läcka ut. Med hjälp utav det kan en anfallare dekryptera allt som går mellan dig och servern.

Så även om du uppdaterar lösenordet kan en MITM direkt få tillgång till det nya ifall servern inte har uppdaterat sitt certifikat. Kan vara värt att kolla sidan du vill byta lösenord på här.

Skaparna utav OpenSSL har fått tuff kritik för Heartbeep, såklart. Och programmerarna bakom OpenBSD (stoltserar med "Only two remote holes in the default install, in a heck of a long time!") och OpenSSH har skapat en fork, LibreSSL. Få se om det blir något!

Stora, väldigt kritiska implementeringar (banker mm.) tror har varit ganska säkra från Heartbleed eftersom de oftast använder stängda lösningar istället för OpenSSL.

Redigerad av Adrian G
  • Gilla 1
Länk till kommentar
Dela på andra sidor

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Skriv inlägg...

×   Innehåll kopierat inklusive formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har expanderats till ett media-block.   Visa länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...