Heartbleed

[Jiinn]

Non so' quanti di voi siano stati travolti da questa vulnerability oggi....

Io so' solo che stasera ho bisogno di una gran scopata dato che mi ha completamente distrutto....


Per chi non sapesse... La piu' grande vulnerability dopo l'SQL Injection...

Heartbleed.com

Per i meno avvezzi, una falla che e' in giro da 2 anni!!! Dove i dati che dovevano essere cryptati non lo erano (in parte) con in piu' il fatto che non lascia traccia alcuna...

Giusto per farvi capire, cambiate tutto quello che ha a che fare con internet... Certificati, password etc etc

Perche' c'e' il rischio che siano compromessi.

[Necker]

le password ok, le puoi cambiare, ma il numero di una carta di credito no, ammenochè non la fai annullare. Io ho solo una prepagata che tengo con 2 spicci quando non mi serve. Ma cosa si dovrebbe fare? farla bloccare?

[Ercos]

per ora c'è poco da fare, finchè i server non aggiornano SSL non serve a niente cambiare la password.

Ma la cosa più importante è, come faccio a sapere se un server sta usando una versione bacata di openssl? dove si vede il numero di versione?

[Necker]

ah perchè ci sono anche le versioni sicure e quelle fallate? namo bbeene...

Vorrei poter pensare che noi comuni piccoli mortali invisibili saremmo risparmiati ma chi mi da la certezza che non mi ritrovo mail violate home banking aperto in quattro e via dicendo? Insomma, bella merda.

[Warbarbie]

da quello che ho capito ce ne sono solo di non sicure per ora, amazon e altri hanno comunicato il fix del problema ma boh

[Mellen]

quindi si suka e si spera che i siti dove si hanno inserito i dati non vengano toccati?

[Hador]

le versioni molto vecchie sono sicure, quelle after 2012 bacate.
a far la roba in c si ottengono ste robe. Ho trovato una spiegazione ma non la ho ancora letta, dopo ci guardo e se volete cerco di spiegarvelo: http://blog.existentialize.com/diagn...bleed-bug.html

[Jiinn]

giusto per farvi capire meglio.... ogni big e' stata colpita da questo bug. L'impatto di questo e' devastante in quanto non lascia traccia quindi non si puo' sapere se sei stato colpito o meno negli ultimi 2 anni....

diciamo che tutti, noi compresi abbiamo fixato la cosa in 1 giorno ma vai a sapere quanta gente ha subito danni.... si parla di 2/3 dei webserver mica di cazzatine....

[Hador]

Ok, è un classico buff overflow.
I bug di tipo buff overflow si verificano quando si ha a che fare con linguaggi di programmazione che hanno controllo diretto alla memoria (quale il c) - in c in pratica è possibile dire "leggimi cosa c'è in questo indirizzo di memoria preciso", mentre in altri linguaggi (java, c#) questo non è possibile e la memoria viene gestita dal compilatore/virtual machine (cioè dici al programma "leggimi il valore della variabile PIPPO, mentre in c puoi dire "leggimi il valore che c'è salvato in #24427DAD in memoria).

OpenSSL è scritto in c e in una procedura viene passato un puntatore ad una struttura dati, cioè un riferimento all'indirizzo di memoria dove è contenuta questa struttura dati. Nel programma poi viene detto "leggimi i primi 2 byte di questa struttura, e usali per fare una roba".

Il programma cosa fa, prende l'indirizzo di memoria dove inizia il primo byte della struttura, e ti ritorna i primi 2 byte a partire da quell'indirizzo, il tutto accedendo direttamente alla memoria.

L'attacco consiste nel passare a questa funzione una struttura dati fasulla di dimensione inferiore a quella che in teoria dovrebbe avere. Se chiamiamo questa funzione con una roba di dimensione 1 byte, nel punto in cui ritorna i primi 2 byte della struttura verranno ritornati il primo e unico byte del nostro input malevolo, più un byte adiacente (adiacente in memoria) che può essere qualcosa di sensibile al quale non avremmo dovuto avere accesso. In pratica noi gli passiamo una roba di dimensione 1, lui va all'indirizzo di memoria dove questo è salvato e poi si sposta di uno in avanti, dando per scontato che spostandosi di uno in avanti sia ancora all'interno della struttura dati - non essendo così esponiamo parti di memoria che potenzialmente devono restare protette.


Il punto è che comunque diverse implementazioni del compilatore c implementano diversi modelli di gestione della memoria, non è detto che i valori di memoria che uno è riuscito ad esporre contengano qualcosa di utile (le chiavi per decriptare, in questo caso), anche se è possibile.
Resta un tipo di vulnerabilità molto difficile da individuare (devi conoscere benissimo il programma) e da sfruttare. Benchè tutti siano vulnerabili non è neanche vero che ora premendo un bottone sia possibile bucare qualsiasi cosa. Starei tranquillo con l'allarmismo.


- ah se avete capito quel che ho scritto avete anche capito qual'è il fix, che consiste in 2 righe di codice. Un bell'if che controlla che la dimensione della struttura dati sia adeguata prima di accedere ai suoi primi 2 byte.

[powerdegre]

ah perchè ci sono anche le versioni sicure e quelle fallate? namo bbeene...

Vorrei poter pensare che noi comuni piccoli mortali invisibili saremmo risparmiati ma chi mi da la certezza che non mi ritrovo mail violate home banking aperto in quattro e via dicendo? Insomma, bella merda.

Le versioni bacate sono dalla 1.0.1 in poi, fino alla 1.0.0 non lo erano, quindi dipende se il provider aggiorna spesso o meno, noi per esempio non abbiamo avuto problemi che giriamo con 1.0.0.

Sulla sicurezza di non ritrovarti niente di violato, in passato non puoi sapere cosa sia successo, ora basta che cambi le pass e sei a posto.

le password ok, le puoi cambiare, ma il numero di una carta di credito no, ammenochè non la fai annullare. Io ho solo una prepagata che tengo con 2 spicci quando non mi serve. Ma cosa si dovrebbe fare? farla bloccare?

Blocchi la carta e la richiedi nuova. Senza stare a cagarti il cazzo a spiegare niente, basta che dichiari che s'e' smagnetizzata e te ne fai mandare un'altra.

[Jiinn]

hador non e' allarmismo e sicuramente non era facile da trovare come exploit... ma...

tu ti prenderesti il rischio essendo banca o altro di dire "no non c'e' stato alcun problema per noi" ?

edit: considerando il fatto che non e' tracciabile ed e' in giro da 2 anni

[innaig86]

Esistono ancora compilatori che non fanno controlli così basilari?

[Tanek]

Esistono ancora compilatori che non fanno controlli così basilari?

Io non bazzico in C da un po', ma da quando il compilatore ti fa un controllo del genere in un linguaggio in cui ciò che stai facendo è lecito?

Altre info in italiano: http://www.alground.com/site/heartbl...oluzione/38042

[Hador]

Esistono ancora compilatori che non fanno controlli così basilari?

bhe stiamo parlando di c, la gente usa il c per fare ste cose. Il compilatore il controllo lo fa e ti da un warning (in verbose), ma te lo da per un miliardo di situazioni simili usate e abusate dai programmatori che, conseguentemente, ignorano i warning.

In linguaggi più moderni questi problemi non esistono più, a scapito delle performance.

[Xangar]

Stanno cominciando a circolare le teorie co,plottistiche (che avrebbero anche senso) le quali dicono che il baco sia stato messo apposta dalla NSA per spiare mezzo mondo...

http://punto-informatico.it/4027991/...ai-ripari.aspx

http://www.wired.it/attualita/2014/0...urezza-online/

La rottura di palle ora è cambiare le password ovunque e in molti casi bisogna anche aspettare a cambiarle.

Qualcuno ha notizie se anche il Verified by Visa è stato colpito dal bug ?