Non so' quanti di voi siano stati travolti da questa vulnerability oggi....

Io so' solo che stasera ho bisogno di una gran scopata dato che mi ha completamente distrutto....


Per chi non sapesse... La piu' grande vulnerability dopo l'SQL Injection...

Heartbleed.com

Per i meno avvezzi, una falla che e' in giro da 2 anni!!! Dove i dati che dovevano essere cryptati non lo erano (in parte) con in piu' il fatto che non lascia traccia alcuna...

Giusto per farvi capire, cambiate tutto quello che ha a che fare con internet... Certificati, password etc etc

Perche' c'e' il rischio che siano compromessi.

le password ok, le puoi cambiare, ma il numero di una carta di credito no, ammenochè non la fai annullare. Io ho solo una prepagata che tengo con 2 spicci quando non mi serve. Ma cosa si dovrebbe fare? farla bloccare?

per ora c'è poco da fare, finchè i server non aggiornano SSL non serve a niente cambiare la password.

Ma la cosa più importante è, come faccio a sapere se un server sta usando una versione bacata di openssl? dove si vede il numero di versione?

ah perchè ci sono anche le versioni sicure e quelle fallate? namo bbeene...

Vorrei poter pensare che noi comuni piccoli mortali invisibili saremmo risparmiati ma chi mi da la certezza che non mi ritrovo mail violate home banking aperto in quattro e via dicendo? Insomma, bella merda.

da quello che ho capito ce ne sono solo di non sicure per ora, amazon e altri hanno comunicato il fix del problema ma boh

quindi si suka e si spera che i siti dove si hanno inserito i dati non vengano toccati?

le versioni molto vecchie sono sicure, quelle after 2012 bacate.
a far la roba in c si ottengono ste robe. Ho trovato una spiegazione ma non la ho ancora letta, dopo ci guardo e se volete cerco di spiegarvelo: http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

giusto per farvi capire meglio.... ogni big e' stata colpita da questo bug. L'impatto di questo e' devastante in quanto non lascia traccia quindi non si puo' sapere se sei stato colpito o meno negli ultimi 2 anni....

diciamo che tutti, noi compresi abbiamo fixato la cosa in 1 giorno ma vai a sapere quanta gente ha subito danni.... si parla di 2/3 dei webserver mica di cazzatine....

Ok, è un classico buff overflow.
I bug di tipo buff overflow si verificano quando si ha a che fare con linguaggi di programmazione che hanno controllo diretto alla memoria (quale il c) - in c in pratica è possibile dire "leggimi cosa c'è in questo indirizzo di memoria preciso", mentre in altri linguaggi (java, c#) questo non è possibile e la memoria viene gestita dal compilatore/virtual machine (cioè dici al programma "leggimi il valore della variabile PIPPO, mentre in c puoi dire "leggimi il valore che c'è salvato in #24427DAD in memoria).

OpenSSL è scritto in c e in una procedura viene passato un puntatore ad una struttura dati, cioè un riferimento all'indirizzo di memoria dove è contenuta questa struttura dati. Nel programma poi viene detto "leggimi i primi 2 byte di questa struttura, e usali per fare una roba".

Il programma cosa fa, prende l'indirizzo di memoria dove inizia il primo byte della struttura, e ti ritorna i primi 2 byte a partire da quell'indirizzo, il tutto accedendo direttamente alla memoria.

L'attacco consiste nel passare a questa funzione una struttura dati fasulla di dimensione inferiore a quella che in teoria dovrebbe avere. Se chiamiamo questa funzione con una roba di dimensione 1 byte, nel punto in cui ritorna i primi 2 byte della struttura verranno ritornati il primo e unico byte del nostro input malevolo, più un byte adiacente (adiacente in memoria) che può essere qualcosa di sensibile al quale non avremmo dovuto avere accesso. In pratica noi gli passiamo una roba di dimensione 1, lui va all'indirizzo di memoria dove questo è salvato e poi si sposta di uno in avanti, dando per scontato che spostandosi di uno in avanti sia ancora all'interno della struttura dati - non essendo così esponiamo parti di memoria che potenzialmente devono restare protette.


Il punto è che comunque diverse implementazioni del compilatore c implementano diversi modelli di gestione della memoria, non è detto che i valori di memoria che uno è riuscito ad esporre contengano qualcosa di utile (le chiavi per decriptare, in questo caso), anche se è possibile.
Resta un tipo di vulnerabilità molto difficile da individuare (devi conoscere benissimo il programma) e da sfruttare. Benchè tutti siano vulnerabili non è neanche vero che ora premendo un bottone sia possibile bucare qualsiasi cosa. Starei tranquillo con l'allarmismo.


- ah se avete capito quel che ho scritto avete anche capito qual'è il fix, che consiste in 2 righe di codice. Un bell'if che controlla che la dimensione della struttura dati sia adeguata prima di accedere ai suoi primi 2 byte.

ah perchè ci sono anche le versioni sicure e quelle fallate? namo bbeene...

Vorrei poter pensare che noi comuni piccoli mortali invisibili saremmo risparmiati ma chi mi da la certezza che non mi ritrovo mail violate home banking aperto in quattro e via dicendo? Insomma, bella merda.
Le versioni bacate sono dalla 1.0.1 in poi, fino alla 1.0.0 non lo erano, quindi dipende se il provider aggiorna spesso o meno, noi per esempio non abbiamo avuto problemi che giriamo con 1.0.0.

Sulla sicurezza di non ritrovarti niente di violato, in passato non puoi sapere cosa sia successo, ora basta che cambi le pass e sei a posto.


le password ok, le puoi cambiare, ma il numero di una carta di credito no, ammenochè non la fai annullare. Io ho solo una prepagata che tengo con 2 spicci quando non mi serve. Ma cosa si dovrebbe fare? farla bloccare?
Blocchi la carta e la richiedi nuova. Senza stare a cagarti il cazzo a spiegare niente, basta che dichiari che s'e' smagnetizzata e te ne fai mandare un'altra.

hador non e' allarmismo e sicuramente non era facile da trovare come exploit... ma...

tu ti prenderesti il rischio essendo banca o altro di dire "no non c'e' stato alcun problema per noi" ?

edit: considerando il fatto che non e' tracciabile ed e' in giro da 2 anni

Esistono ancora compilatori che non fanno controlli così basilari?

Esistono ancora compilatori che non fanno controlli così basilari?
Io non bazzico in C da un po', ma da quando il compilatore ti fa un controllo del genere in un linguaggio in cui ciò che stai facendo è lecito?

Altre info in italiano: http://www.alground.com/site/heartbleed-falla-openssl-soluzione/38042

Esistono ancora compilatori che non fanno controlli così basilari?bhe stiamo parlando di c, la gente usa il c per fare ste cose. Il compilatore il controllo lo fa e ti da un warning (in verbose), ma te lo da per un miliardo di situazioni simili usate e abusate dai programmatori che, conseguentemente, ignorano i warning.

In linguaggi più moderni questi problemi non esistono più, a scapito delle performance.

Stanno cominciando a circolare le teorie co,plottistiche (che avrebbero anche senso) le quali dicono che il baco sia stato messo apposta dalla NSA per spiare mezzo mondo...

http://punto-informatico.it/4027991/PI/News/heartbleed-web-corre-ai-ripari.aspx

http://www.wired.it/attualita/2014/04/09/heartbleed-lnsa-e-la-fiducia-nella-sicurezza-online/

La rottura di palle ora è cambiare le password ovunque e in molti casi bisogna anche aspettare a cambiarle.

Qualcuno ha notizie se anche il Verified by Visa è stato colpito dal bug ?

difficilmente vedrai banche dire che sono state vulnerabili per gli ultimi 2 anni....

edit: http://www.wired.it/attualita/tech/2014/04/09/come-funziona-falla-heartbleed/

spiegato piu' chiaro per l'utente medio.... a parte qualche cosa non corretta in quando le aziende citate come non colpite in realta' non hanno dichiarato ancora nulla a riguardo se non che hanno gia' provveduto ad upgradare i sistemi a 1.0.1g...


quindi se da una parte si dice che non siano state vulnerabili e dall'altra che hanno gia' upgradato i sistemi.... mah

Stanno cominciando a circolare le teorie co,plottistiche (che avrebbero anche senso) le quali dicono che il baco sia stato messo apposta dalla NSA per spiare mezzo mondo...

http://punto-informatico.it/4027991/PI/News/heartbleed-web-corre-ai-ripari.aspx

http://www.wired.it/attualita/2014/04/09/heartbleed-lnsa-e-la-fiducia-nella-sicurezza-online/

La rottura di palle ora è cambiare le password ovunque e in molti casi bisogna anche aspettare a cambiarle.

Qualcuno ha notizie se anche il Verified by Visa è stato colpito dal bug ?ma avete letto quel che ho scritto? :|

btw, xkcd:
" I looked at some of the data dumps from vulnerable sites, and it was ... bad. I saw emails, passwords, password hints. SSL keys and session cookies. Important servers brimming with visitor IPs. Attack ships on fire off the shoulder of Orion, c-beams glittering in the dark near the Tannhäuser Gate. I should probably patch OpenSSL."

:sneer:

Una piccola lista di siti: http://www.downloadblog.it/post/106635/heartbleed-quali-password-devi-cambiare-per-proteggerti-dal-bug-di-openssl?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+downloadblog%2Fit+%28Download blog%29&utm_content=Netvibes

Questi i siti per controllare se i siti sono sicuri o meno

http://filippo.io/Heartbleed/
https://www.ssllabs.com/ssltest/


edit: ma cazzo come devo cambiare la password a google, fanculo a loro, mo ch emi invento....

per fortuna tutti i siti di acquisti online sono associati ad una carta che ha sempre meno di 100€ dentro...

il sito fineco è sicuro che forse è il più importante.

rottura per google e dropbox.

Non ho capito materialmente l'attacco come avviene.

Da remoto possono leggere random dei pezzi di memoria dove potrebbe esseri in quel momento la carta di credito che sto usando per pagare?

L'unica roba insicura in quella lista che uso è facebook.

Il resto tutto ok, compreso il sito della banca.

cambiate le password ai miei due account google, ora mi sembra che siano più deboli rispetto a prima, nonostante siano 17 caratteri :afraid:

Non ho capito materialmente l'attacco come avviene.

Da remoto possono leggere random dei pezzi di memoria dove potrebbe esseri in quel momento la carta di credito che sto usando per pagare?



Ok, è un classico buff overflow.
I bug di tipo buff overflow si verificano quando si ha a che fare con linguaggi di programmazione che hanno controllo diretto alla memoria (quale il c) - in c in pratica è possibile dire "leggimi cosa c'è in questo indirizzo di memoria preciso", mentre in altri linguaggi (java, c#) questo non è possibile e la memoria viene gestita dal compilatore/virtual machine (cioè dici al programma "leggimi il valore della variabile PIPPO, mentre in c puoi dire "leggimi il valore che c'è salvato in #24427DAD in memoria).

OpenSSL è scritto in c e in una procedura viene passato un puntatore ad una struttura dati, cioè un riferimento all'indirizzo di memoria dove è contenuta questa struttura dati. Nel programma poi viene detto "leggimi i primi 2 byte di questa struttura, e usali per fare una roba".

Il programma cosa fa, prende l'indirizzo di memoria dove inizia il primo byte della struttura, e ti ritorna i primi 2 byte a partire da quell'indirizzo, il tutto accedendo direttamente alla memoria.

L'attacco consiste nel passare a questa funzione una struttura dati fasulla di dimensione inferiore a quella che in teoria dovrebbe avere. Se chiamiamo questa funzione con una roba di dimensione 1 byte, nel punto in cui ritorna i primi 2 byte della struttura verranno ritornati il primo e unico byte del nostro input malevolo, più un byte adiacente (adiacente in memoria) che può essere qualcosa di sensibile al quale non avremmo dovuto avere accesso. In pratica noi gli passiamo una roba di dimensione 1, lui va all'indirizzo di memoria dove questo è salvato e poi si sposta di uno in avanti, dando per scontato che spostandosi di uno in avanti sia ancora all'interno della struttura dati - non essendo così esponiamo parti di memoria che potenzialmente devono restare protette.


Il punto è che comunque diverse implementazioni del compilatore c implementano diversi modelli di gestione della memoria, non è detto che i valori di memoria che uno è riuscito ad esporre contengano qualcosa di utile (le chiavi per decriptare, in questo caso), anche se è possibile.
Resta un tipo di vulnerabilità molto difficile da individuare (devi conoscere benissimo il programma) e da sfruttare. Benchè tutti siano vulnerabili non è neanche vero che ora premendo un bottone sia possibile bucare qualsiasi cosa. Starei tranquillo con l'allarmismo.


- ah se avete capito quel che ho scritto avete anche capito qual'è il fix, che consiste in 2 righe di codice. Un bell'if che controlla che la dimensione della struttura dati sia adeguata prima di accedere ai suoi primi 2 byte.

;)

Ho capito che è un buff overflow ma come fai a farlo generare ?
Bisogna in qualche modo dire al server di processare un qualcosa che lo scateni quello vorrei capire :D

parliamo di cose concrete: come faccio ad ottenere password gmail e facebook di altri sapendo il loro indirizzo mail?

se questo non è possibile 'sto baco è useless per l'utente medio cazzone e voyeur...

Ho capito che è un buff overflow ma come fai a farlo generare ?
Bisogna in qualche modo dire al server di processare un qualcosa che lo scateni quello vorrei capire :D
Senti l'ex di Zaider. Lo lo usava spesso

Il problema non è tanto con i big (che hanno già fixato) ma con gli shop online più piccoli che magari non aggiornano tutti i giorni i loro sistemi di sicurezza. Ad esempio oggi ho dovuto litigare con un fornitore (un booking engine) che non sapeva nulla di questo bug e ci ha impiegato tutta la giornata per patchare, e solo dopo averlo pressato. Quanti saranno i server autogestiti con protocolli openSSL buggati che resteranno online a lungo ? Purtroppo tantissimi...

Su chrome stanno mettendo a disposizione una estensione che effettuerà in automatico un check del sito, avvisandoti se è vulnerabile o no... ed a questo punto credo sia quasi obbligatoria la sua installazione

p.s.
è italiano il developer che ha messo online per primo il test sulla vulnerabilità dei siti web e sta avendo una esposizione mediatica enorme... ed ha solo 19 anni

edit:
e infatti ho provato un paio di shop online pubblicizzati in Italia e sono vulnerabili... vedi Zalando che ancora non ha fixato

ma il rischio piu' grosso al di la' del fatto che esista da 2 anni e' infatti ora....

dato che tutti lo sanno, fare exploit ora su piattaforme vulnerabili non e' follia.... e non e' manco un discorso di password ma piu' di certificati come menzionava hador

ma il rischio piu' grosso al di la' del fatto che esista da 2 anni e' infatti ora....

dato che tutti lo sanno, fare exploit ora su piattaforme vulnerabili non e' follia.... e non e' manco un discorso di password ma piu' di certificati come menzionava hador

Infatti quelli di google sono stati furbi... hanno scoperto la falla, hanno sistemato prima tutti i loro datacenter, poi hanno avvisato due/tre amici e solo dopo hanno reso noto al mondo il problema...

Per l'appunto il grosso problema è ora. Migliaia di hacker di mezzo mondo staranno cercando siti di e-commerce che ancora non hanno fixato il problema e staranno facendo raccolta di dati

fuck anche la password di steam devo cambiare :gha:

Il problema non è tanto con i big (che hanno già fixato) ma con gli shop online più piccoli che magari non aggiornano tutti i giorni i loro sistemi di sicurezza. Ad esempio oggi ho dovuto litigare con un fornitore (un booking engine) che non sapeva nulla di questo bug e ci ha impiegato tutta la giornata per patchare, e solo dopo averlo pressato. Quanti saranno i server autogestiti con protocolli openSSL buggati che resteranno online a lungo ? Purtroppo tantissimi...

Su chrome stanno mettendo a disposizione una estensione che effettuerà in automatico un check del sito, avvisandoti se è vulnerabile o no... ed a questo punto credo sia quasi obbligatoria la sua installazione

p.s.
è italiano il developer che ha messo online per primo il test sulla vulnerabilità dei siti web e sta avendo una esposizione mediatica enorme... ed ha solo 19 anni

edit:


e infatti ho provato un paio di shop online pubblicizzati in Italia e sono vulnerabili... vedi Zalando che ancora non ha fixato

https://chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic/details

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/


quanto piace mentire ad alcuni..... sono sicuro di almeno 2 di questi che dicono di no, sono grossi clienti nostri e hanno almeno 2 prodotti che hanno avuto problemi....

per chi ne capisce qualcosa: http://blog.regehr.org/archives/1125

ad ogni modo continuo a pensare che sia tutto un enorme allarmismo ingiustificato, e che le probabilità che qualcuno vi rubi le password sia minima - e che anche nel caso in cui effettivamente avvenga un furto di credenziali, la probabilità che succeda qualcosa di brutto è minima. Tutti i principali servizi ormai hanno sia log che monitorano gli accessi e ti avvisano se notano qualcosa di strano, sia sistemi di autenticazione aggiuntivi.

Può essere un problema più serio per una azienda che ad esempio ha dei dati sensibili ai quali è possibile accedere dall'esterno (ad esempio tramite una vpn) e che viene presa di mira sistematicamente (nel senso che per settimane viene attaccata con l'exploit finchè non beccano qualcosa di utile) - ma secondo me sono casi limitatissimi e si va sul penale.

si ok, tutti 'sti tecnicismi e blablibleri vari...


ora, al concreto, come faccio io, utonto medio, a beccare password di FB e gmail di qualcuno spendo il suo indirizzo mail?

se non si può... è fucking useless !

apri il terminale e digita sudo rm -rf /

Ahahah, occhio a dire ste cose che c'è gente che lo fa davvero. Tipo quelli che hanno creduto all'aggiornamento che rendeva impermeabili gli iPhone.

Inviato dal mio Nexus 4 utilizzando Tapatalk

xkcd si sta scatenando. Ecco la spiegazione di come funzia: http://xkcd.com/1354/
:nod:

apri il terminale e digita sudo rm -rf /

si, e ho scritto "nabbo" in fronte... :gha:

il tizio del sito che ha postato Ercos

http://www.corriere.it/tecnologia/app-software/14_aprile_11/heartbleed-filippo-valsorda-hacker-d357530a-c16c-11e3-9f36-c28ea30209b6.shtml

19 anni... 20000 accessi al minuto.

ahhh the Internet of "things" :sneer:

il tizio del sito che ha postato Ercos

http://www.corriere.it/tecnologia/app-software/14_aprile_11/heartbleed-filippo-valsorda-hacker-d357530a-c16c-11e3-9f36-c28ea30209b6.shtml

19 anni... 20000 accessi al minuto.

ahhh the Internet of "things" :sneer:

Però il tipo sembra in gamba, ho dato uno sguardo velocerrimo al suo blog e sembra capirne abbastanza.

daoc è safe e banca pure

ora solo steam...e li mi pare ho solo il numero della vecchia carta ergo sucano

l'unico sito dove ho collegato la carta di durata (anche se virtuale) è steam, che sembra sicuro.

Il resto non dovrebbe avere granchè di sensibile.... :look:

Però il tipo sembra in gamba, ho dato uno sguardo velocerrimo al suo blog e sembra capirne abbastanza.

E' pure un mio concittadino, quindi... Forza Filippo!!

l'unico sito dove ho collegato la carta di durata (anche se virtuale) è steam, che sembra sicuro.

Il resto non dovrebbe avere granchè di sensibile.... :look:

Io ho letto che era bucato pure steam, e infatti ho cambiato la pass anche li >.<

si ma steam ogni volta che provo ad accedere da un computer con mac address diverso dal mio mi chiede conferma via mail... quindi nn mi preoccupo più di tanto.