1 Tråd av Andreas

  • Andreas
  • 9200 Baud
  • Offline
  • Från: Stockholm
  • Registrerad: 2007-06-14
  • Inlägg: 3,617

Tråd: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

För de som har missat nyheten från gårdagen om säkerhetshålet i OpenSSL versioner 1.0.1 till 1.0.1f som fått namnet  http://heartbleed.com/. Detta medför en del uppdateringshysteri för dem som driftar saker som använder sig av OpenSSL.

Nu när jag släppte tanken kring de vanligt förekommande Redhat, CentOS produkterna så halka jag in på routers och sökte lite snabbt på DD-WRT och de har även kommit en uppdatering från 1.0.1f till 1.0.1g. http://svn.dd-wrt.com/changeset/23882
Samma gäller för OpenWRT https://dev.openwrt.org/changeset/40421 och kan också antas för många andra produkter där ute som använder SSL / TLS.

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

Andreas's hemsida

2 Svar av plun Senaste redigerad av plun (2014-04-10 16:06:25)

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Jo det här är en bugg som slår det mesta och jag hoppas det Stallmans bröder slutar häckla andra som tex Sun om Java.

http://bloggar.computersweden.idg.se/na … 2014-0160/

Gurun Bruce Scheiner om buggen:
https://www.schneier.com/blog/archives/ … bleed.html

"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.


Sen är det inte första gången som just OpenSSL drabbas!

Random number buggen:
https://www.schneier.com/blog/archives/ … ber_b.html

NSA mfl har nog haft roat sig länge åt det här.....

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

3 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Varför DATband är säkrare :-)

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

4 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Värre än väntat.....

http://www.dn.se/ekonomi/it-buggen-varre-an-vantat/

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

5 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Helt förväntad 'bugg' eller feature som vissa kallar det.

Alla hem/gratis kodade saker saknar äkta validering av koden, fördelen med öppen källa är att man kan fixa uppenbara problem efter eget behag. Men när det består av färdigkompilerade komponenter blir det problem.
Inte ens stora bolag klarar att validera koden från uppenbara brister.

Dax för en ROOter uppdatering nu ? :-)

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

6 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Njau snarare att "mjukvara är och förblir just mjukvara".....

Det som gör mig mest irriterad är GNU-folkets självgodhet och eviga tramsande om proprietär kods svagheter.

Jag kan inte se att proprietär kod skulle vara bättre utan det spelar då mindre roll.

Däremot använder jag gärna öppen kod utan att då förakta proprietär!

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

7 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Det är oftast HELT beroende på kodaren hur resultaten blir,
Sedan är beta testning nödvändigt som görs till samtliga anser den vara klar för nästa steg...
Vissa har för brått.. och det blir strul,
Tex att släppdatum är satt i förväg.
Det tycker jag är största skillnaden.
Sedan brukar vissa mjuk vara förknippat med vissa individer, och ev kritik renderar utkastning av dom som visar åsikter... :-)
Då blir bara ja sägarna kvar...

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

8 Svar av Andreas

  • Andreas
  • 9200 Baud
  • Offline
  • Från: Stockholm
  • Registrerad: 2007-06-14
  • Inlägg: 3,617

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Så vad kan man dra åt snaran på denna säcken, hur länge fanns felet/hålet? 2år tolkar jag det som att funktionen har funnits där. Tillräckligt med tid för 0sec exploit tjänster och NSA att lattja runt på nätet. Har uppdaterat lite privata saker som har hålet och på jobbet har väll runt 1000 redhat6 servrar blivit patchade "so far". Samma gäller för hosten som denna sida snurrar på i amazons moln. Enorma jobb för dem som jobbar inom it branschen.

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

Andreas's hemsida

9 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

G-Man skrev:

Det är oftast HELT beroende på kodaren hur resultaten blir,
Sedan är beta testning nödvändigt som görs till samtliga anser den vara klar för nästa steg...
Vissa har för brått.. och det blir strul,
Tex att släppdatum är satt i förväg.
Det tycker jag är största skillnaden.
Sedan brukar vissa mjuk vara förknippat med vissa individer, och ev kritik renderar utkastning av dom som visar åsikter... :-)
Då blir bara ja sägarna kvar...

Jo nu får du nog läsa på hur det funkar med öppen källkod....!

Alla ändringar sker helt "transparent" med öppen källkod, ofta via en github.

Härdningen av sådan här mjukvara tar lång tid inkl att de stora distributionernas paketansvariga kollar innehållet.

Problemet med sådan här kod är att den är mycket komplicerad och enligt min bestämda mening spelar det mindre roll om det är öppen eller sluten kod eftersom det är komplikationsgraden av koden som är helt avgörande.  Det går inte att köpa sig till en lösning heller med sluten kod eftersom mjukvaran då skulle bli mycket dyr.

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

10 Svar av Andreas

  • Andreas
  • 9200 Baud
  • Offline
  • Från: Stockholm
  • Registrerad: 2007-06-14
  • Inlägg: 3,617

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Swedbanks haveri inatt? Braka det efter de uppdatera OpenSSL?  roll

Gillar prylar, 2G/3G/4G, den som har mest prylar när den dör vinner!

Andreas's hemsida

11 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Andreas skrev:

Swedbanks haveri inatt? Braka det efter de uppdatera OpenSSL?  roll

Jo det får vi nog aldrig veta men jag tror inte banker kör Apache-servrar.

Sen i alla terminaler körs ju fortfarande Windows XP (och kommer så att förbli)

Så mitt stalltips är att man kanske säkrade XP-biten smile

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

12 Svar av nhu

  • nhu
  • MC-HSPA
  • Offline
  • Från: Arboga och Hindersby(Finland)
  • Registrerad: 2009-10-17
  • Inlägg: 902

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Det finns klantskallar och genier inom öppen kod ungefär i samma proportion som inom sluten kod - alla är ju människor. Men fördelen med öppen kod är att det inte går att mörka uppenbara dunheter lika bra. Sedan är ju komplicerad kod en sak som inte vem som helst kontrollerar - må vara att den är öppen. Jag har i 30 år sysslat med forskning kring verifiering av parallella och distribuerade system (nätverk) och det är ingen lätt sak att hitta fel ens i riktigt enkel kod. Tvärtom är det förbaskat svårt. Så jag skulle bli väldigt förvånad om det INTE skulle finnas fel till och med i system som varit länge i bruk. Det ligger helt enkelt i sakens natur.

13 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

En liten lustighet jag läste hos PC för Alla är ett uttalande av Per Hellkvist, Symantec

Per Hellqvist tillägger att Heartbleed-buggen är ett tveeggat svärd som även kan ha drabbat hackarna själva. Många av de webbplatser och forum där hackare och cyberbrottslingar träffas använder sig av Openssl, vilket betyder att deras kommunikationer kan ha varit öppna för polis och myndigheter.

http://pcforalla.idg.se/2.1054/1.556091 … a/1/sida-1

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

14 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

plun skrev:
G-Man skrev:

Det är oftast HELT beroende på kodaren hur resultaten blir,
Sedan är beta testning nödvändigt som görs till samtliga anser den vara klar för nästa steg...
Vissa har för brått.. och det blir strul,
Tex att släppdatum är satt i förväg.
Det tycker jag är största skillnaden.
Sedan brukar vissa mjuk vara förknippat med vissa individer, och ev kritik renderar utkastning av dom som visar åsikter... :-)
Då blir bara ja sägarna kvar...

Jo nu får du nog läsa på hur det funkar med öppen källkod....!

Alla ändringar sker helt "transparent" med öppen källkod, ofta via en github.

Härdningen av sådan här mjukvara tar lång tid inkl att de stora distributionernas paketansvariga kollar innehållet.

Problemet med sådan här kod är att den är mycket komplicerad och enligt min bestämda mening spelar det mindre roll om det är öppen eller sluten kod eftersom det är komplikationsgraden av koden som är helt avgörande.  Det går inte att köpa sig till en lösning heller med sluten kod eftersom mjukvaran då skulle bli mycket dyr.

Vad jag menade var att det oftast är några enstaka individer som driver programmeringen av ett program,
Är det många uppstår det ofta 'buggar' el 'säkerhetshål' pga olikartad kodning, det behövs någon som syrihop det.
Kodning är komplext, speciellt om det ska interagera med okänt.

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

15 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

G-Man skrev:

Vad jag menade var att det oftast är några enstaka individer som driver programmeringen av ett program,
Är det många uppstår det ofta 'buggar' el 'säkerhetshål' pga olikartad kodning, det behövs någon som syrihop det.
Kodning är komplext, speciellt om det ska interagera med okänt.


Jo man har alltid ansvariga för olika applikationer även för öppen källkod, skillnaden är att det är helt öppet för vem som helst att syna koden och komma med förslag till kodändringar som då ska godkännas av en ansvarige, en eller flera.

Jag förstår då fortfarande inte vad du menar ?   (kör trädgårdsopor idag till återvinningen så jag ska fundera senare, ev trött smile )

------------------------------------------------------------------------------

xkcb roar sig i vanlig ordning smile

http://i.imgur.com/N2abu3Al.png

https://xkcd.com/1353/

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

16 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Ja,
DAT band är säkert B-)

Jag tror vi har samma åsikt/tänk, men skriver/anger den lite olika - typ som kodningen muhaha :-)

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

17 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

G-Man skrev:

Ja,
DAT band är säkert B-)

Jag tror vi har samma åsikt/tänk, men skriver/anger den lite olika - typ som kodningen muhaha :-)

Nej det tror jag inte  smile

Hursomhelst så är GNU/GPL-folkets kod utdöende och jag hoppas att så fort Stallman försvinner från banan att man nyktrar till och inser att en duktig mjukvarukodare måste kunna få ihop till brödfödan och Android med det mesta som Apache licensierat är ett föredöme för att få in pengar i ekosystemet.

Linux-kärnan går det inte att göra så mycket åt men det spelar mindre roll och den vaktar Linus Torvalds! smile

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

18 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Andreas skrev:

Swedbanks haveri inatt? Braka det efter de uppdatera OpenSSL?  roll

Dementeras av en blåögd tjej smile

http://www.idg.se/2.1085/1.556328/rutin … k-haveriet

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

19 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

PR avdelningens presschef tror jag nada på, det gäller samtliga företag och politiska partier !
Dom skönmålar allt till sin fördel.
Kommentarer som 'vet inte/det är tekniskt/osv' spär bara på det, om man inte vet och vill svara på det så fixar dom snabbt svar.
Bankers säkerhet internt är dåligt.

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

20 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

G-Man skrev:

Bankers säkerhet internt är dåligt.

Nej det kan jag inte tänka mig, vad har du fått det ifrån??

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

21 Svar av G-Man

  • G-Man
  • LTE cat 4
  • Offline
  • Från: Little fluffy clouds
  • Registrerad: 2009-03-24
  • Inlägg: 6,529

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

plun skrev:
G-Man skrev:

Bankers säkerhet internt är dåligt.

Nej det kan jag inte tänka mig, vad har du fått det ifrån??

Egen erfarenhet.

.:[RaspberryPI.:.Dovado UMR|3GN|4GR|Tiny|Doma|GO|PRO].:.
T2MBL40GB229kr|Android verktyg: Delat internet, gör om din mobil till mobilhotspot gratis (tether)

22 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

G-Man skrev:
plun skrev:
G-Man skrev:

Bankers säkerhet internt är dåligt.

Nej det kan jag inte tänka mig, vad har du fått det ifrån??

Egen erfarenhet.

Aha ???

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

23 Svar av plun Senaste redigerad av plun (2014-04-11 18:07:54)

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Från den amerikanska blaskhorisonten:

http://www.zdnet.com/how-to-protect-you … 000028311/

CNets lista
http://www.cnet.com/how-to/which-sites- … bleed-bug/

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

24 Svar av plun

  • plun
  • LTE
  • Offline
  • Från: At Home
  • Registrerad: 2011-04-25
  • Inlägg: 1,635

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Bruce Schneier reflekterar vidare över buggen (ev snallare än man först trodde?)

I have a lot to say about the human aspects of this: auditing of open-source code, how the responsible disclosure process worked in this case, the ease with which anyone could weaponize this with just a few lines of script, how we explain vulnerabilities to the public -- and the role that impressive logo played in the process -- and our certificate issuance and revocation process. This may be a massive computer vulnerability, but all of the interesting aspects of it are human.

https://www.schneier.com/blog/archives/ … artbl.html

Fiber 250/100 Mbits, Ubiquiti Edgemax Lite, Telenor 4G 80 Mbits (Dec 2011) , Huawei E392 samt E398, Poynting panelantenn, 14 dbi 2600 Mhz, ASUS RT-N66U/AC68U,  1 st IP kamera D-link DCS-932L.  TP-Link 3420v2/WR703N, kör ROOter såklart  smile

25 Svar av nhu

  • nhu
  • MC-HSPA
  • Offline
  • Från: Arboga och Hindersby(Finland)
  • Registrerad: 2009-10-17
  • Inlägg: 902

Sv: OpenSSL problematiska versioner 1.0.1 - 1.0.1f Heartbleed Bug

Visst är det så men det saknas också verktyg för verifiering. Det är (var) mitt område för vi byggde analysatorer. Men det är inte så lätt. Här finns ännu massor att göra men problemen kan framtvinga en ordentlig satsning på forskning och utveckling av formella system för verifiering. Vi har tillsvidare inte sett så stora krascher men det är inte omöjligt att det i framtiden kommer verkligt stora problem. Enligt min mening härskar det just nu en fruktansvärd blåögdhet ifråga om både säkerhet och verifiering. Ungefär som då gubben körde över järnvägsspåret utan att se åt sidan: "Inte kom det något tåg i går heller ..."