Gå til innhold

Ikke bytt passord ennå


Anbefalte innlegg

Det dummeste folk kan gjøre er å bruke testsider som validerer passord eller lignende, da kan dere være sikker på at det blir misbrukt. Selv tjenester som skal "sjekke" SSL bør dere holde dere unna, spesielt de som har oppstått de to siste dagene. Dere har ingen garanti for at de ikke gir falsk trygghet, og mange lager slike sider for å få tak i nyttig informasjon, f.eks. hvem du er, hvilken nettside du bruker og ikke minst hvilken versjon av en nettleser du bruker.

Lenke til kommentar
Videoannonse
Annonse

"Meget enkel å utnytte" er vel et definisjons spørsmål siden du ender opp en minnedump på (opptil) 64k. Innholdet er avhengig av hva maskinen har liggende i ram på de aktuelle adressene. Dette er ikke helt enkelt å lese, det finnes ingen skilt som sier "passord følger her".

 

Hva "maskinen har liggende i ram på de aktuelle adressene" er garantert OpenSSL informasjon. Det er også en bug som er lett å utnytte ettersom dette foregår i handshake, så en trenger ikke autentisere eller noe for å utnytte dette.

 

Det er derfor det også er blitt et såpass sirkus ut av dette.

Lenke til kommentar

Dette er ikke helt enkelt å lese, det finnes ingen skilt som sier "passord følger her".

Jo, det er faktisk det. Nettlesere sender data fra seg med skilt foran.

 

Hvis man vet hvordan requesten fra klienten ser ut (trivielt å finne ut i en hvilke som helst browser) så er det ikke mange kodelinjene som skal til for å tappe tilfeldige passord eller kredittkortnr fra en utsatt site.

Endret av MailMan13
Lenke til kommentar

Slapp av, det er overdrevet i mediene. Selvsagt er sårbarheten alvorlig og systemadministratorer bør fikse det snarest, men ingenting tilsier at mengder med passord er kompromittert så rådene om masseutskifting av passord er villedende. Dette er en sårbarhet med potensiale (spesielt i kombinasjon med f.eks. overvåkning), men det er ingen krisesituasjon. Dette er strengt tatt mye mindre dramatisk enn de store lekkasjene med passord vi har sett i fortiden.

Lenke til kommentar

Slapp av, det er overdrevet i mediene. Selvsagt er sårbarheten alvorlig og systemadministratorer bør fikse det snarest, men ingenting tilsier at mengder med passord er kompromittert så rådene om masseutskifting av passord er villedende. Dette er en sårbarhet med potensiale (spesielt i kombinasjon med f.eks. overvåkning), men det er ingen krisesituasjon. Dette er strengt tatt mye mindre dramatisk enn de store lekkasjene med passord vi har sett i fortiden.

Det er masse som tilsier at sensitiv info er kompromittert. Hullet har vært tilgjengelig i mer enn 2 år, og buggen er kjempelett å utnytte. Her blir deler av en vilkårlig request og noe ukjent binærdata sendt ukryptert tilbake.

Lenke til kommentar
Gjest Slettet-Pqy3rC

Jo, det er faktisk det. Nettlesere sender data fra seg med skilt foran.

Hvis man vet hvordan requesten fra klienten ser ut (trivielt å finne ut i en hvilke som helst browser) så er det ikke mange kodelinjene som skal til for å tappe tilfeldige passord eller kredittkortnr fra en utsatt site.

Øh... ?

Det er masse som tilsier at sensitiv info er kompromittert. Hullet har vært tilgjengelig i mer enn 2 år, og buggen er kjempelett å utnytte.

Tja... En eller annen med uærlige hensikter må jo først finne ut at rfc 6520 reply-pakker inneholder mer data enn forventet. Dette er jo i prinsippet bare en "ping" og en sjekker jo ikke sånt så nøye bare svaret stemmer (dvs. du får tilbake den teksten du sender til tjeneren).

Ingen av de mange som faktisk jobber med koden har altså sett dette.

 

Jeg vet ikke hvor mange som kjører med 6520 (heartbeat) aktivt heller, det kan jo slåes av.

 

Og dersom noen har oppdaget dette står de igjen med jobben å finne ut hva de faktisk har mottat på hver "ping". Slikt er ikke bare enkelt selv om du har tilgang til kildekoden. Dette fordi rekkefølgen av innholdet på stack, og kanskje særlig heap, som regel er rimelig tilfeldig.

Lenke til kommentar

Hvorfor mener dere at man bør bytte passord på Lastpass, og mener dere at man bør bytte passord på kontoene man har lagret i Lastpass eller selve master passordet? Det at dere ikke forklarer påstanden nærmere får meg til å sette et spørsmålstegn ved om dere i det hele tatt vet hva lastpass er.

 

QUOTE:

"Update: April 10th, 2:29PM ET

 

Many users are still concerned about what the Heartbleed situation means for their LastPass master passwords. To further clarify, we do not see a need at this time for LastPass users to update their master passwords. That said, if you would prefer to, there is no harm in doing so. We continue to update our LastPass Security Check tool to provide you the latest information regarding impacted sites. Thanks to our community for the feedback and input."

 

Kilde: http://blog.lastpass.com/

  • Liker 2
Lenke til kommentar

 

Slapp av, det er overdrevet i mediene. Selvsagt er sårbarheten alvorlig og systemadministratorer bør fikse det snarest, men ingenting tilsier at mengder med passord er kompromittert så rådene om masseutskifting av passord er villedende. Dette er en sårbarhet med potensiale (spesielt i kombinasjon med f.eks. overvåkning), men det er ingen krisesituasjon. Dette er strengt tatt mye mindre dramatisk enn de store lekkasjene med passord vi har sett i fortiden.

Det er masse som tilsier at sensitiv info er kompromittert. Hullet har vært tilgjengelig i mer enn 2 år, og buggen er kjempelett å utnytte. Her blir deler av en vilkårlig request og noe ukjent binærdata sendt ukryptert tilbake.

 

Det er stor forskjell på at data kan kompromitteres og å ha tegn som tyder på at det har blitt det. Så lenge ingen har fysisk kontankt mellom bruker og tjener så er potensialet noe begrenset, og det må enormt mange pakker til for å få ut passord (og administratorer skal merke om de bombarderes med pakker). Sammenlignet med store datalekkasjer vi har hatt hvor hundretusenvis eller millioner er direkte rammet så blir utfallet av heartbleed så langt begrenset. Det er en alvorlig sårbarhet med stort potensiale, men det er ikke en katastrofe så langt.

 

Hvis en nettleverandør eller myndighet som sitter mellom serveren og en stor andel brukere mot alle odds finner privatnøkkelen på denne måten så kan derimot sårbarheten få store følger. Da kan de dekryptere all drafikk som går til serveren.

  • Liker 1
Lenke til kommentar

Jeg tenker noe av det samme som efikkan. Mormor ringte etter å ha blitt skremt av nyhetene, men når hun lurte på om måtte endre passord på f. eks e-posten (Gmail) så tenker jeg nå så at det skal -ekstremt- mye til for at noen har klart å snappe opp akkurat hennes informasjon (både brukernavn og passord).

  • Liker 1
Lenke til kommentar

Jeg har hørt det på radio flere ganger selv, og det fremstilles gang på gang som at alle passord er usikre og at det er en total krise for Internett. Det egentlige problemet nevnes videre ikke, og dette tar dessverre fokuset bort fra alle de reelle problemene vanlige brukere burde tatt tak i, som utdaterte nettlesere, operativsystem, JRE, routere og dårlige passord med gjenbruk.

Lenke til kommentar
Gjest Slettet+981238947

Dette har blitt håndtert veldig dårlig av de som kan kan noe om dette, (les; ekspertene). Det er ikke samsvar mellom de forskjellige om hvilke nettsider som man trenger å endre passord, og om man skal gjøre det med en gang eller vente. F.esk. NSM går ut i VG og roper: Skift passord med en gang, mens f.eks LastPass sier vent, så nettsidene får oppdatert serveren sin først. Her på Hardware står det også at de som har LastPass må oppdatere nå. Ifølge LastPass trenger man IKKE å skifte passordet hos dem. http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html

Det står også over at man må skifte Google-passord noe man ikke må ifølge Google. http://abcnews.go.com/Business/heartbleed-online-bug/story?id=23256168

Jeg er meget skuffet over at ekspertene, og spesielt NSM som roter dette til så mye. De burde heller gått sammen og laget et GODT verktøy for oss brukere, slik at vi fikk sjekket hvilke passord vi må endre på en enkel måte.

Lenke til kommentar

Det er stor forskjell på at data kan kompromitteres og å ha tegn som tyder på at det har blitt det.

Bloomberg hevder at NSA har utnyttet dette over lengre tid.

 

Sammenlignet med store datalekkasjer vi har hatt hvor hundretusenvis eller millioner er direkte rammet så blir utfallet av heartbleed så langt begrenset. Det er en alvorlig sårbarhet med stort potensiale, men det er ikke en katastrofe så langt.

Som regel har disse datalekasjene gitt fra seg brukernavnet til folk og en hash. Denne har vist å kunne gi fra seg både brukernavn og passord og trolig en hel rekke annen sikkerhetskritisk informasjon. Mye mer data kan også høstes inn av en automatisert jobb.

Lenke til kommentar

Den aktuelle sprekken i dette programmet hadde vel eksistert i ett par år allerede før feilen i det heile tatt ble oppdaget. Har noen tapt penger på grunn av denne feilen? Nei, sannsynligvis ikke. Har noen fått hacket datamaskiner, bankkontoer eller andre ting på grunn av denne feilen? Nei, sannsynligvis ikke...

 

Altså, var det egentlig veldig lite å være redd for. Men nå er problemet at alle og enhver er blitt klar over at denne feilen faktisk eksisterer, og hva slags nettsteder som fremdeles ikke har blitt oppgradert enda. Og dette kan muligens være ett lite problem, hvis noen planlegger å dra fordel av denne feilen før den har blitt rettet opp i..

  • Liker 1
Lenke til kommentar

 

Det er stor forskjell på at data kan kompromitteres og å ha tegn som tyder på at det har blitt det.

Bloomberg hevder at NSA har utnyttet dette over lengre tid.

 

Jeg har sett den artikkelen, og den inneholder egentlig ingenting håndfast. Slike artikler er helt vanlig. Frem til vi har noe som helst bevis på at NSA eller andre etterretningstjenester har visst om og utnyttet dette så kan vi ikke ta slikt seriøst. Jeg vil minne om at heartbleed-buggen vil lekke informasjon om tilfeldige ting, som betyr at det er svært vanskelig for NSA å finne noe om de spesifikke brukerne de leter etter til enhver tid.

 

 

Sammenlignet med store datalekkasjer vi har hatt hvor hundretusenvis eller millioner er direkte rammet så blir utfallet av heartbleed så langt begrenset. Det er en alvorlig sårbarhet med stort potensiale, men det er ikke en katastrofe så langt.

Som regel har disse datalekasjene gitt fra seg brukernavnet til folk og en hash. Denne har vist å kunne gi fra seg både brukernavn og passord og trolig en hel rekke annen sikkerhetskritisk informasjon. Mye mer data kan også høstes inn av en automatisert jobb.

 

Ta f.eks. forrige store Apple-lekkasje hvor trolig rundt 38 millioner var aktive brukere, og det var dårlig/feil hashet. For at noen skal kunne gjøre like stor skade med heartbleed så må de sende opptil mange milliarder pakker. Dette må skje over lang tid for å være uoppdaget, så da må vi bevise at noen har kunnet gjøre dette over tid. Selvsagt har en rekke folk forsøkt å utnytte dette siden mandag, men for folk som ikke har logget seg inn på tjenester i tidsrommet fra feilen ble kjent til tjenesten var patchet trenger sannsynligvis ikke å bytte passordet sitt, med mindre det kan bevises at tjenesten har vært kompromittert. Som jeg har sagt veldig mange ganger nå er heartbleed-buggen alvorlig og må tas alvorlig av systemadministratorer, men den er så langt ikke en katastrofe på nivå med ting vi har sett før.
Lenke til kommentar

Den aktuelle sprekken i dette programmet hadde vel eksistert i ett par år allerede før feilen i det heile tatt ble oppdaget. Har noen tapt penger på grunn av denne feilen? Nei, sannsynligvis ikke. Har noen fått hacket datamaskiner, bankkontoer eller andre ting på grunn av denne feilen? Nei, sannsynligvis ikke...

 

Altså, var det egentlig veldig lite å være redd for. Men nå er problemet at alle og enhver er blitt klar over at denne feilen faktisk eksisterer, og hva slags nettsteder som fremdeles ikke har blitt oppgradert enda. Og dette kan muligens være ett lite problem, hvis noen planlegger å dra fordel av denne feilen før den har blitt rettet opp i..

Det er riktig innstilling, spesielt siden en lang rekke mindre kritiske tjenester har kjente sårbarheter (nå tenker jeg på nettbutikker, forum, osv., ikke google), og utgjør en større trussel. Hvis heartbleed i seg selv er et stort problem så vil det gjenspeiles i mengden nye steder folk logger inn fra, og hvor mange personer som svindles. Så dette kan vi analysere statistisk.
Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...