Gå til innhold

Ikke bytt passord ennå

Nilsen

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Occi

Occi

Skrevet
Skrevet (endret)

Er så inderlig glad for at jeg benytter en password manager med genererte passord for hver enkelt side. Det er noen jeg har passord jeg husker på, men da er det to-faktor autentisering som gjelder.

 

Det er forøvrig litt nyttig informasjon om Heartbleed på bloggen til Lastpass. Hvordan de er påvirket, om sidene du har lagret der ble/er påvirket etc.

 

http://blog.lastpass.com/

Endret av Occi
  • Liker 1
Lenke til kommentar
Siggen321

Siggen321

Skrevet
Skrevet (endret)

Bruker du en tjeneste som har to steg i verifiseringen, slik nettbanken din har med både passord og kodebrikke, og som Google og Facebook tilbyr med både passord og SMS-kode.

Tror dere mistet siste setningsledd her ...

 

Betyr det at bruk av to-stegs-verifikasjon gjør at du ikke rammes? Hvordan skal det fungere?

Endret av Siggen321
Lenke til kommentar
Jens P. Enger

Jens P. Enger

Skrevet
Skrevet

"Det er ekstremt komplisert å utnytte denne sikkerhetsfeilen, og for at en hacker skal kunne ha gjort det må han eller henne ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har."

 

Dette er helt totalt feil. Sikkerhetsfeilen er meget enkel å utnytte, og krever ingen rettigheter eller spesiell kjennskap om tjenesten som blir angrepet.

 

Heartbleed har også blåttlagt private SSL nøkkler, noen som er enklest å utnytte med MITM angrep. (Dette er derimot vanskeligere å utføre). Dvs, alle tjenester som har hatt hullet, må også bytte SSL sertifikater.

  • Liker 3
Lenke til kommentar
Aeyoun

Aeyoun

Skrevet
Skrevet

To-stegs autentisering betyr IKKE at passordet ikke kan være på avveie. Det betyr heller ikke at passordet ikke bør byttes.

 

Én av autentiseringsfaktorene er borte, men kotoen er fremdeles beskyttet av det andre. Bytter du passord er du igjen beskyttet med to lag.

  • Liker 2
Lenke til kommentar
Gjest Slettet+981238947

Gjest Slettet+981238947

Skrevet
Skrevet

Er så inderlig glad for at jeg benytter en password manager med genererte passord for hver enkelt side. Det er noen jeg har passord jeg husker på, men da er det to-faktor autentisering som gjelder.

 

Det er forøvrig litt nyttig informasjon om Heartbleed på bloggen til Lastpass. Hvordan de er påvirket, om sidene du har lagret der ble/er påvirket etc.

 

http://blog.lastpass.com/

 

http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

"Det er ekstremt komplisert å utnytte denne sikkerhetsfeilen, og for at en hacker skal kunne ha gjort det må han eller henne ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har."

 

Dette er helt totalt feil. Sikkerhetsfeilen er meget enkel å utnytte, og krever ingen rettigheter eller spesiell kjennskap om tjenesten som blir angrepet.

"Meget enkel å utnytte" er vel et definisjons spørsmål siden du ender opp en minnedump på (opptil) 64k. Innholdet er avhengig av hva maskinen har liggende i ram på de aktuelle adressene. Dette er ikke helt enkelt å lese, det finnes ingen skilt som sier "passord følger her". Endret av Slettet-Pqy3rC
Lenke til kommentar
enixitan

enixitan

Skrevet
Skrevet (endret)

Jeg hørte rykter om at enkelte ganger ligger denne innloggingen med OpenSSL i firmware (rutere osv), og da må man oppdatere firmware. Dette kan ta lang tid...

Det stemmer at OpenSSL vert brukt i mellom anna ruter-firmware. Men kva er det ruteren din "veit" som gjer dette kritisk? Denne veikskapen går ut på at det er mogleg å lese minnet til serveren, og slik lese den private nøkkelen, og all anna informasjon som finst i minnet på ruteren (eller minnet til webserverprosessen, meir spesifikt). Det finst ikkje personleg informasjon på min ruter i alle fall, og det er heller ikkje mogleg å logge på den frå eksterne dingsar. HTTPS er som regel ikkje aktivert som standard for web-grensesnitt på forbrukarutstyr, så eg trur ikkje det er nødvendig å stresse med ruteren og andre dingsar. IPTV-dekoderen min har sikkert òg ein sårbar OpenSSL-versjon, men for det første er den ikkje tilgjengeleg frå internett, for det andre veit den heller ingenting om meg.

 

Dette er heilt klart ein stor sak, men den rammar tenester som veit noko om deg. Nettverksoppsettet i huset ditt er ikkje interessant.

Endret av enixitan
Lenke til kommentar
zlagther

zlagther

Skrevet
Skrevet

"Det er ekstremt komplisert å utnytte denne sikkerhetsfeilen, og for at en hacker skal kunne ha gjort det må han eller henne ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har."

 

Dette er helt totalt feil. Sikkerhetsfeilen er meget enkel å utnytte, og krever ingen rettigheter eller spesiell kjennskap om tjenesten som blir angrepet.

 

Heartbleed har også blåttlagt private SSL nøkkler, noen som er enklest å utnytte med MITM angrep. (Dette er derimot vanskeligere å utføre). Dvs, alle tjenester som har hatt hullet, må også bytte SSL sertifikater.

 

Var nå snakk om å sette opp en falsk side mellom deg og banken, ikke bruke sikkerhetsfeilen.

Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

Hr. Nilsen,

Når jeg ser slike artikler så blir jeg opprørt og jeg må bare riste på hodet. Kan dere ikke i det minste forsøke å skrive en ordentlig artikkel og gjøre litt research i stedet for å bli med i massehysteriet? Dere har tatt fokuset bort fra hva den egentlige sikkerhetsbristen faktisk er, og fokusert på passord og kredittinformasjon som er det absolutt minst relevante i denne sammenheng.

 

Bruddet omtales som nettets største sikkerhetsfeil noensinne, og kan ha rammet så mange som to tredjedeler av verdens nettjenester.

Det er riktig nok et kritisk sikkerhetsbrudd, men det er svært usannsynlig at det får katastrofale følger. Sannsynligheten er mikroskopisk for at noen får ut en hel privatnøkkel og deretter har fysisk tilgang til wiretapping for å utnytte dette.

Det kan på en måte sammenlignes med en trussel om atomkrig, som vi alle vet er katastrofalt men veldig usannsynlig.

 

Sikkerhetshullet som ble oppdaget gjør det mulig for hackere å fange opp informasjonen du sender fra deg: Passord, bruknavn, personopplysninger og kredittkortnummer.

Det er ikke riktig, sikkerhetshullet gir tilgang på opptil 64kB med "tilfeldig" minnedata til OpenSSL-prosessen på serveren. Her skal det ikke ligge annen sensitiv data enn selve privatnøkkelen uansett, og sannsynligheten for å treffe på den er ekstremt liten.

 

Annen data lagres i databaser og i minnet til nettjenestene. Denne informasjonen er ikke tilgjengelig via "heartbleed", det hindrer kjernen i operativsystemet.

 

For å få tilgang til annen informasjon må angriperen være koblet fysisk mellom brukeren og serveren, og være i stand til å avlytte eller manipulere trafikk. Det er først her nøkkelen kommer til nytte. Men nøkkelen kan derimot ikke brukes til å logge inn på serveren eller få tilgang til databaser. Derfor er passordlekkasjer ganske irrelevant. Denne typen tilgang har kun nettleverandører, transittselskaper og eventuelt myndigheter. Tredjeparts angripere har ikke tilgang til dette uten en uavhengig kompromittering av de tre fornevnte. Det er derfor ekstremt usannsynlig at noen har vært i stand til å utnytte dette.

 

 

Det blir også et moralspørmål når journalister hauser sånn opp et marginalt teoretisk problem som mest sannsynlig har ingen innvirkning på folk, mens vi har virkelig store problemer som har vært utnyttet gang på gang. Jer er noen få eksempler:

* Svært mange nettjenere er ikke oppdatert og lette bytter.

* Svært mange bruker utdatert nettleser eller JRE.

* Svært mange har routere med kjente sårbarheter.

osv. osv.

 

Dere roper ulv ulv. Heartbleed er ikke noe folk flest klarer å forstå og det har ekstremt lite relevans. Det viktige er at systemadministratorer oppdaterer så det ikke blir et problem, men det har hittil ikke vært tegn til at det har skapt problemer.

 

Jeg hørte rykter om at enkelte ganger ligger denne innloggingen med OpenSSL i firmware (rutere osv), og da må man oppdatere firmware. Dette kan ta lang tid...

 

Forøvrig er jeg glad jeg har aktivisert 2-steg innlogging på Google-tjenester.

De fleste routere blir omtrent aldri oppdatert (spesielt privateide), og oppdateringer er ofte kun ved svært alvorlige feil for konsumentprodukter. For en stor andel av routere over 2 år finnes det godt kjente feil å utnytte, og er lette bytter verden over. Sammenlignet med dette blir heartbleed-feilen i OpenSSL marginal og usannsynlig.

 

 

To-stegs autentisering betyr IKKE at passordet ikke kan være på avveie. Det betyr heller ikke at passordet ikke bør byttes.

 

Én av autentiseringsfaktorene er borte, men kotoen er fremdeles beskyttet av det andre. Bytter du passord er du igjen beskyttet med to lag.

Hensikten med to-stegs-autentisering er ekstra gardering, men ofte er slike løsninger svært svake og tilbyr lite sikkerhet. To-stegs-autentisering er (som du sikkert vet) aldri en erstatning av et godt passord, men et supplement.

 

 

"Det er ekstremt komplisert å utnytte denne sikkerhetsfeilen, og for at en hacker skal kunne ha gjort det må han eller henne ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har."

 

Dette er helt totalt feil. Sikkerhetsfeilen er meget enkel å utnytte, og krever ingen rettigheter eller spesiell kjennskap om tjenesten som blir angrepet.

"Meget enkel å utnytte" er vel et definisjons spørsmål siden du ender opp en minnedump på (opptil) 64k. Innholdet er avhengig av hva maskinen har liggende i ram på de aktuelle adressene. Dette er ikke helt enkelt å lese, det finnes ingen skilt som sier "passord følger her".

 

Som du antyder er det svært vanskelig å få ut riktig informasjon. Deretter trenger som sagt angriperen fysisk tilgang til nettrafikk som kan utnyttes, noe svært få har.
  • Liker 3
Lenke til kommentar
Aeyoun

Aeyoun

Skrevet
Skrevet

LastPass har også Heartbleed-sjekker

 

IKKE bruk denne. Den har masse falske positive resultater. Det ser ut til at de sjekker om serveren bruker OpenSSL og antar at absolutt alle (oppdaterte eller ikke) som bruker OpenSSL er sårbare. OpenSSL versjoner så gamle at de ikke har denne feilen vises også som sårbare.

 

Bruk heller SSLLabs sin test.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...