Heartbleed

[Jiinn]

difficilmente vedrai banche dire che sono state vulnerabili per gli ultimi 2 anni....

edit: http://www.wired.it/attualita/tech/2...la-heartbleed/

spiegato piu' chiaro per l'utente medio.... a parte qualche cosa non corretta in quando le aziende citate come non colpite in realta' non hanno dichiarato ancora nulla a riguardo se non che hanno gia' provveduto ad upgradare i sistemi a 1.0.1g...


quindi se da una parte si dice che non siano state vulnerabili e dall'altra che hanno gia' upgradato i sistemi.... mah

[Hador]

Stanno cominciando a circolare le teorie co,plottistiche (che avrebbero anche senso) le quali dicono che il baco sia stato messo apposta dalla NSA per spiare mezzo mondo...

http://punto-informatico.it/4027991/...ai-ripari.aspx

http://www.wired.it/attualita/2014/0...urezza-online/

La rottura di palle ora è cambiare le password ovunque e in molti casi bisogna anche aspettare a cambiarle.

Qualcuno ha notizie se anche il Verified by Visa è stato colpito dal bug ?

ma avete letto quel che ho scritto?

btw, xkcd:
" I looked at some of the data dumps from vulnerable sites, and it was ... bad. I saw emails, passwords, password hints. SSL keys and session cookies. Important servers brimming with visitor IPs. Attack ships on fire off the shoulder of Orion, c-beams glittering in the dark near the Tannhäuser Gate. I should probably patch OpenSSL."

[innaig86]

Una piccola lista di siti: http://www.downloadblog.it/post/1066...ntent=Netvibes

[Ercos]

Questi i siti per controllare se i siti sono sicuri o meno

http://filippo.io/Heartbleed/
https://www.ssllabs.com/ssltest/


edit: ma cazzo come devo cambiare la password a google, fanculo a loro, mo ch emi invento....

[Mellen]

per fortuna tutti i siti di acquisti online sono associati ad una carta che ha sempre meno di 100€ dentro...

il sito fineco è sicuro che forse è il più importante.

rottura per google e dropbox.

[Mosaik]

Non ho capito materialmente l'attacco come avviene.

Da remoto possono leggere random dei pezzi di memoria dove potrebbe esseri in quel momento la carta di credito che sto usando per pagare?

[Incoma]

L'unica roba insicura in quella lista che uso è facebook.

Il resto tutto ok, compreso il sito della banca.

[Ercos]

cambiate le password ai miei due account google, ora mi sembra che siano più deboli rispetto a prima, nonostante siano 17 caratteri

[Mellen]

Non ho capito materialmente l'attacco come avviene.

Da remoto possono leggere random dei pezzi di memoria dove potrebbe esseri in quel momento la carta di credito che sto usando per pagare?

Ok, è un classico buff overflow.
I bug di tipo buff overflow si verificano quando si ha a che fare con linguaggi di programmazione che hanno controllo diretto alla memoria (quale il c) - in c in pratica è possibile dire "leggimi cosa c'è in questo indirizzo di memoria preciso", mentre in altri linguaggi (java, c#) questo non è possibile e la memoria viene gestita dal compilatore/virtual machine (cioè dici al programma "leggimi il valore della variabile PIPPO, mentre in c puoi dire "leggimi il valore che c'è salvato in #24427DAD in memoria).

OpenSSL è scritto in c e in una procedura viene passato un puntatore ad una struttura dati, cioè un riferimento all'indirizzo di memoria dove è contenuta questa struttura dati. Nel programma poi viene detto "leggimi i primi 2 byte di questa struttura, e usali per fare una roba".

Il programma cosa fa, prende l'indirizzo di memoria dove inizia il primo byte della struttura, e ti ritorna i primi 2 byte a partire da quell'indirizzo, il tutto accedendo direttamente alla memoria.

L'attacco consiste nel passare a questa funzione una struttura dati fasulla di dimensione inferiore a quella che in teoria dovrebbe avere. Se chiamiamo questa funzione con una roba di dimensione 1 byte, nel punto in cui ritorna i primi 2 byte della struttura verranno ritornati il primo e unico byte del nostro input malevolo, più un byte adiacente (adiacente in memoria) che può essere qualcosa di sensibile al quale non avremmo dovuto avere accesso. In pratica noi gli passiamo una roba di dimensione 1, lui va all'indirizzo di memoria dove questo è salvato e poi si sposta di uno in avanti, dando per scontato che spostandosi di uno in avanti sia ancora all'interno della struttura dati - non essendo così esponiamo parti di memoria che potenzialmente devono restare protette.


Il punto è che comunque diverse implementazioni del compilatore c implementano diversi modelli di gestione della memoria, non è detto che i valori di memoria che uno è riuscito ad esporre contengano qualcosa di utile (le chiavi per decriptare, in questo caso), anche se è possibile.
Resta un tipo di vulnerabilità molto difficile da individuare (devi conoscere benissimo il programma) e da sfruttare. Benchè tutti siano vulnerabili non è neanche vero che ora premendo un bottone sia possibile bucare qualsiasi cosa. Starei tranquillo con l'allarmismo.


- ah se avete capito quel che ho scritto avete anche capito qual'è il fix, che consiste in 2 righe di codice. Un bell'if che controlla che la dimensione della struttura dati sia adeguata prima di accedere ai suoi primi 2 byte.

[Mosaik]

Ho capito che è un buff overflow ma come fai a farlo generare ?
Bisogna in qualche modo dire al server di processare un qualcosa che lo scateni quello vorrei capire

[Verci]

parliamo di cose concrete: come faccio ad ottenere password gmail e facebook di altri sapendo il loro indirizzo mail?

se questo non è possibile 'sto baco è useless per l'utente medio cazzone e voyeur...

[Tunnel]

Ho capito che è un buff overflow ma come fai a farlo generare ?
Bisogna in qualche modo dire al server di processare un qualcosa che lo scateni quello vorrei capire

Senti l'ex di Zaider. Lo lo usava spesso

[Xangar]

Il problema non è tanto con i big (che hanno già fixato) ma con gli shop online più piccoli che magari non aggiornano tutti i giorni i loro sistemi di sicurezza. Ad esempio oggi ho dovuto litigare con un fornitore (un booking engine) che non sapeva nulla di questo bug e ci ha impiegato tutta la giornata per patchare, e solo dopo averlo pressato. Quanti saranno i server autogestiti con protocolli openSSL buggati che resteranno online a lungo ? Purtroppo tantissimi...

Su chrome stanno mettendo a disposizione una estensione che effettuerà in automatico un check del sito, avvisandoti se è vulnerabile o no... ed a questo punto credo sia quasi obbligatoria la sua installazione

p.s.
è italiano il developer che ha messo online per primo il test sulla vulnerabilità dei siti web e sta avendo una esposizione mediatica enorme... ed ha solo 19 anni

edit:
e infatti ho provato un paio di shop online pubblicizzati in Italia e sono vulnerabili... vedi Zalando che ancora non ha fixato

[Jiinn]

ma il rischio piu' grosso al di la' del fatto che esista da 2 anni e' infatti ora....

dato che tutti lo sanno, fare exploit ora su piattaforme vulnerabili non e' follia.... e non e' manco un discorso di password ma piu' di certificati come menzionava hador

[Xangar]

ma il rischio piu' grosso al di la' del fatto che esista da 2 anni e' infatti ora....

dato che tutti lo sanno, fare exploit ora su piattaforme vulnerabili non e' follia.... e non e' manco un discorso di password ma piu' di certificati come menzionava hador

Infatti quelli di google sono stati furbi... hanno scoperto la falla, hanno sistemato prima tutti i loro datacenter, poi hanno avvisato due/tre amici e solo dopo hanno reso noto al mondo il problema...

Per l'appunto il grosso problema è ora. Migliaia di hacker di mezzo mondo staranno cercando siti di e-commerce che ancora non hanno fixato il problema e staranno facendo raccolta di dati