Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

"Heartbleed" exploit/bug CVE-2014-0160

[es] :: Advocacy :: "Heartbleed" exploit/bug CVE-2014-0160

Strane: 1 2

[ Pregleda: 10184 | Odgovora: 37 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 19:47 - pre 121 meseci


Do sadsa nezapamcen sigurnosni propuist u kripto biblioteci koju koriste milioni:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Za one sa jeftinijim ulaznicama:

http://heartbleed.com/



P.S. ako ovo nije za Advocacy, molim da neko od kolega prebaci na odgovarajuci forum!
 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:07 - pre 121 meseci
Eto, ni nedelju dana nakon otkrića najvećeg baga u istoriji računarstva, forum koji ponosno nosi ime elitesecurity setio se da pokrene temu o njemu. :/
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.web.vodafone.de.



+7169 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:10 - pre 121 meseci
Da je bug gadan, jeste.

Sa jedne strane, bug postoji zbog ocigledne nekorektne implementacije standarda koja je sadrzala ogromnu rupcagu. Na zalost, los kod je moguc svuda - kao sto se vidi, i u paketima vezanim za sigurnost. I ljudi sa decenijama iskustva imaju momente kada koncentracija popusti.

Sa druge strane, meni se licno ne svidja feature-creep Internet protokola. Pogotovu ne kriticnih protokola kao sto je TLS.

Ceo ovaj bug postoji zbog "heartbeat" feature-a. Iskreno, pitam se da li je zaista bilo potrebno imati ovaj feature u TLS protokolu, tj. da to nije moglo biti reseno na nekom drugom nivou.

Sto se vise povecava kompleksnost protokola to, takodje, povecava sansu da imlementacija tog protokola ima rupe.

Ja bih vise voleo da osnovni protokoli sadrze minimalnu kolicinu feature-a neophodnu za osnovno funkcionisanje i da se sve ostalo gradi na nivoima iznad. Mozda gresim posto nisam preterano upucen u TLS, ali feature kao sto je "heartbeat" mi opako lici na feature creep tj. na budzenje stvari samo zato da bi neko imao posao.

Citat:
jablan
Eto, ni nedelju dana nakon otkrića najvećeg baga u istoriji računarstva, forum koji ponosno nosi ime elitesecurity setio se da pokrene temu o njemu. :/


Tja, ovo je mozda najveci bag sto se medijske pompe tice.

Malo je teze utvrditi da je u pitanju najveci bag u istoriji covecanstva. Mislim da bi tu konkurencija bila gadna :-)
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.3gnet.mts.telekom.rs.



+2789 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:15 - pre 121 meseci
Svako malo se pojavi po neki "nezapamćeni bag u istoriji računarstva". Gadan jeste, ali šta ćeš. Život je takav.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

dusans
Stojanov Dušan
Pančevo

Član broj: 9551
Poruke: 1343
*.dynamic.sbb.rs.



+311 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:18 - pre 121 meseci
Sad je stvarno "Open" hehe ;)
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.web.vodafone.de.



+7169 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:23 - pre 121 meseci
Btw, Akamai se upravo posipa pepelom posto je njihov inhouse "fix" pokazan kao... pa ne bas fix :)

http://www.theregister.co.uk/2014/04/15/hearbleed_triage_snafus/

Akamai je u pocetku zamenio kod za alociranje memorije sa nekim svojim "sigurnim" kodom. Posle objave tog koda ljudi su nasli flaw-ove.

http://lekkertech.net/akamai.txt

Akamai je krenuo u proces zamene SSL sertifikata za svoje klijente.

Pouka: ko nije crypto ekspert ne bi trebalo da pipa kriticni kod vezan za crypto sigurnost. Cak i kada neko misli da je "resio" problem to moze biti netacno, kao sto se vidi na Akamai primeru. Iznenadjujuce je da firma tipa Akamai-a pravi takve greske.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

the_tosic

Član broj: 37314
Poruke: 381
82.208.239.*



+128 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 20:46 - pre 121 meseci
The heartbleed bug explained by a web comic
http://www.digitaltrends.com/c...explained-by-a-web-comic-xkcd/
 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 22:19 - pre 121 meseci
Citat:
Ivan Dimkovic:Tja, ovo je mozda najveci bag sto se medijske pompe tice.

Malo je teze utvrditi da je u pitanju najveci bag u istoriji covecanstva. Mislim da bi tu konkurencija bila gadna :-)

Pa ne znam koji je to ozbiljniji bezbednosni propust bio eto od osnivanja ES-a naovamo...

S jedne strane priča o jakim fakultetima i programima, sort algoritmi, ku*ci-palci, s druge strane ovako ozbiljna, i sa stručne strane atraktivna stvar prolazi gotovo nezapaženo. Meni je to baš simptomatično za Srbiju. :(
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.3gnet.mts.telekom.rs.



+2789 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 23:06 - pre 121 meseci
Meni je šampionski bag onaj iz ekdela 2007, koji nije znao da pomnoži dva broja. Pritom je množenje operacija ugrađena u sve programske jezike osim u breinfak. Biće da su eksel pisali u njemu.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.web.vodafone.de.



+7169 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 23:13 - pre 121 meseci
@jablan,

O kakvoj konkretnoj ozbiljnosti se prica?

Meni padaju na pamet 3 stvari:

1. Ozbiljnost merena brojem potencijalnih zrtava
2. Ozbiljnost merena privilegijama koje napadac moze dobiti
3. Ozbiljnost merena stetom

Ako pricamo o #1, bilo je do sada vec brdo exploit-a koji su kacili ogromnu kolicinu servera

Ako pricamo o #2, napadac ne dobija automatski privilegije / podatke, to nije garantovano i zavisi od "srece" napadaca da nabode korisne stvari u OpenSSL heap-u. Postoje exploiti koji garantovano kupe sve sto treba.

Ako pricamo o #3, jos je rano za komparaciju posto podaci jos nisu dostupni.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016015.04.2014. u 23:43 - pre 121 meseci
Citat:
ne znam koji je to ozbiljniji bezbednosni propust bio eto od osnivanja ES-a naovamo


Najozbiljniji je u smislu da omogucava ranjivost toliko bitnog protokola kakav je TLS.

Bas zbog ovakvih stvari security eksperti naglasaju bitnost postojanja vise slojeva zastite, u slucaju da jedan nivo zakaze.

 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 09:28 - pre 121 meseci
Citat:
Ivan Dimkovic:O kakvoj konkretnoj ozbiljnosti se prica?

Ja sam daleko od elitnog security eksperta, ali se ne sećam da je bilo ranjivosti koja je kačila veću količinu servera, odnosno, posredno, broj korisnika (bukvalno SVI MI ovde smo moguće žrtve jer koristimo https non-stop). A posebno imajući u vidu da HB postoji već dve godine, i ne zahteva neku egzotičnu kombinaciju softvera, već se nalazio u svakom openssl libu. Što se privilegija tiče, dokazano je nakon manje od 12 sati CloudFlare izazova da napadač lako može pokupiti privatni ključ https servera. A da ne govorimo o "tričarijama" koje se nalaze po klijentskim HTTP requestovima poput ličnih podataka, šifara, brojeva kreditnih kartica itd... :)
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 09:55 - pre 121 meseci
Citat:
jablan:
Eto, ni nedelju dana nakon otkrića najvećeg baga u istoriji računarstva, forum koji ponosno nosi ime elitesecurity setio se da pokrene temu o njemu. :/

Elite...what?
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.3gnet.mts.telekom.rs.



+2789 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 10:26 - pre 121 meseci
Sad openssl ispade kriv što je popularan.

[Ovu poruku je menjao Nedeljko dana 16.04.2014. u 11:38 GMT+1]
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.hsi.kabelbw.de.



+7169 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 11:10 - pre 121 meseci
Citat:
jablan:
Citat:
Ivan Dimkovic:O kakvoj konkretnoj ozbiljnosti se prica?

Ja sam daleko od elitnog security eksperta, ali se ne sećam da je bilo ranjivosti koja je kačila veću količinu servera, odnosno, posredno, broj korisnika (bukvalno SVI MI ovde smo moguće žrtve jer koristimo https non-stop). A posebno imajući u vidu da HB postoji već dve godine, i ne zahteva neku egzotičnu kombinaciju softvera, već se nalazio u svakom openssl libu. Što se privilegija tiče, dokazano je nakon manje od 12 sati CloudFlare izazova da napadač lako može pokupiti privatni ključ https servera. A da ne govorimo o "tričarijama" koje se nalaze po klijentskim HTTP requestovima poput ličnih podataka, šifara, brojeva kreditnih kartica itd... :)


Ni ja nisam security expert, samo laicki gledam stvar, tako da mozda gresim.

Ali samo vidim nekoliko stvari zbog kojih sumnjam da se za sada moze tvrditi da je ovo najozbiljniji bag u istoriji covecanstva:

1. Ovaj bag kaci samo mali broj revizija OpenSSL biblioteke. Na primer, gomila embedded hardvera po ruterima i sl. koristi matore verzije i ne update-uju se cesto. Ta osobina (dug period izmedju update-a) sama po sebi nije dobra stvar, ali je u ovom slucaju ispala korisna. Primera radi, moj internet router koristi verziju 0.98. Sumnjam da ljudi cesto update-uju svoje rutere.

2. Cak i ako server ima OpenSSL biblioteku koja je zakacena propustom to samo po sebi ne garantuje uspeh u fishing ekspediciji za podacima. Uspeh zavisi od toga kako se memorija koristi i, koliko mi je poznato, ljudima koji su napravili proof-of-concept je bilo potrebno dosta pokusaja da izvuku nesto korisno.

3. Mozda zvuci smesno, ali medijski hype vezan za ovaj propust ce mozda uciniti njegovu efikasnost manjom posto je mnogo veci broj ljudi obavesten. Mislim, kad u familiji imam slucaje ne-IT ljudi koji pitaju "sta da radimo, culi smo za neki veliki problem, da li smo sigurni?" mislim da to dosta govori o tome koliko je ovaj bug poznat. Ovaj bug je izazvao trku za patch-ovanjem softvera i kod ljudi/organizacija koji normalno ne bi bili tako brzi. IMHO, mozda ce na kraju broj ranjivih sistema biti manji nego u slucaju drugih bug-ova koji nisu dobili medijsku paznju.

Nemoj pogresno da me shvatis: #2 je vrlo ozbiljna stvar, cak i ako je uspeh daleko manjii od 100% - ali bi bilo netacno reci da ovaj propust automatski znaci pokradene sertifikate i sl...

--

Zbog ove 2 stvari gore, mislim da je u ovom momentu upitno nazivati ovaj bag najvecim u istoriji covecanstva.

Bar za sada. Mozda ce ispasti na kraju, ali u ovom momentu mislim jos da nemamo podatke koji bi to potvrdili.

Mislim da ce biti potrebno bar nekoliko meseci da se vidi koliko je uspesno iskoriscen sto je, IMHO, faktor koji diktira "ozbiljnost" nekog problema.

Uzgred, konkurencija je ipak gusta:

- Conficker
- Nimda
- MS Blaster
- Adobe PDF exploit-i
- Rupe u Oracle JVM-u

Uzgred, koga zanima istorijat propusta u softveru koji su napravili dovoljnu stetu za kvalifikaciju u "hall of fame"

http://www.zdnet.com/before-he...lnerabilities-ever-7000028347/
http://www.computerworld.com/s...ures_11_infamous_software_bugs
http://archive.wired.com/softw...ws/2005/11/69355?currentPage=2

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Burgos
Nemanja Borić
Amazon Web Services
Berlin

Član broj: 12484
Poruke: 1947
212.178.232.*

Sajt: stackoverflow.com/users/1..


+480 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 11:23 - pre 121 meseci
Haha, MS Blaster :)


The Remote Procedure Call (RPC) service terminated unexpectedly
 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 11:37 - pre 121 meseci
Ne bih ja baš poredio bug u openssl stacku sa Windows virusima (mada u krajnjoj liniji sve možeš da svedeš na neki materijalni trošak ako gajiš takve sklonosti). Ja isto ne mogu sa sigurnošću da tvrdim da je u pitanju najozbiljniji bug, samo da verujem u to dok neko ne navede neki ozbiljniji. U svakom slučaju, mislim da je dobro što smo ovde pokrenuli priču, makar i sa nedelju dana zakašnjenja.
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 19:32 - pre 121 meseci
Ono što meni lično najviše smeta je pljuvanje po MS-u i Apple-u iz sličnih razloga... A onda Kabooom... Ispade da ni open source nije imun na idiotske gaf-ove...


 
Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 21:09 - pre 121 meseci
Citat:
tarla: Ono što meni lično najviše smeta je pljuvanje po MS-u i Apple-u iz sličnih razloga... A onda Kabooom... Ispade da ni open source nije imun na idiotske gaf-ove...


Niko nije rekao da je FOSS imun na sigurnosne propuste. Doduse, ovo je bas rupa za koju je bilo ocekivano da primeti neko od mnogobrojnih clanova zajednice ili drugih security timova...
Da li je FOSS i dalje bolji model razvoja od Eplovog ili M$-ovog skorupaskog? Definitivno da jeste jer 'jedna lasta ne cini prolece'.

Primecujem da svi moguci i nemoguci vendori kako hardverskih i softverskih resenja salju mejlove korisnicima kako bi smirli situaciju - ili kazu da proveravaju sve svoje proizvode, ili kazu da koriste matore verzije koje ni nemaju heartbeat 'feature'. Dakle velika prasina se digla - sa razlogom.

Da li ste imali (ili jos uvek imate?!) servere i aplikacije koje su pogodjene ovim 0day exploit-om? Kod mene je bilo 1/6 + 8 virtuelnih ali koji na srecu ne izlaze van LAN-a.

Test ranjivosti mozete probati na: https://filippo.io/Heartbleed

Premda to nije dobar savet jer ko zna sta gosn Filippo Valsorda moze da loguje i zloupotrebi...


 
Odgovor na temu

jablan

Član broj: 8286
Poruke: 4541



+710 Profil

icon Re: "Heartbleed" exploit/bug CVE-2014-016016.04.2014. u 21:32 - pre 121 meseci
Citat:
Mister Big Time: Test ranjivosti mozete probati na: https://filippo.io/Heartbleed

Premda to nije dobar savet jer ko zna sta gosn Filippo Valsorda moze da loguje i zloupotrebi...

Bio je juče intervju (AMA) sa njim na Redditu, dečko ima 19 godina i sastavio je taj test u Golangu za par sati. :) (Hehe, mogu misliti na šta bi ličili naslovi po domaćim kuririma da je momak kojim slučajem Srbin...) Pitali ga između ostalog i jel loguje rezultate...

Inače, ne morate koristiti njegov sajt za proveru, ima i standalone skriptica koje to rade...
 
Odgovor na temu

[es] :: Advocacy :: "Heartbleed" exploit/bug CVE-2014-0160

Strane: 1 2

[ Pregleda: 10184 | Odgovora: 37 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.