Pääseekö Heartbleed Applen koneisiin?
Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Re: Pääseekö Heartbleed Applen koneisiin?
Kyseessä ei ole virus tai haittaohjelma, joka löytäisi itsensä käyttäjän tietokoneelle tai pystyisi sitä muutenkaan vahingoittamaan, vaan käsittääkseni tietoturva-aukko, jonka kautta on päässyt käsiksi eri verkkosivustojen käyttäjien salasanoihin. Kannattaa noteerata, mutta sekin tapahtuu kyseisten palvelujen salasanoja muuttamalla, jos niihin olet rekisteröitynyt.
MBP 14" | Studio 5K | iPhone 15 Pro | iPad Air | AirPods Pro | Watch S6 | TV 4K
Re: Pääseekö Heartbleed Applen koneisiin?
No aivan varmasti en ymmärrä. :-) Siksi kysyn ja tästä asiasta enemmän tietävät kertovat halutessaan. Kaikilla meillä on omat erityistietomme ja -taitomme. Nämä eivät kuulu repertuaariini.Mailia kirjoitti:Et varmaan oikein ymmärrä miten Heartbleed toimii.
Kiitos niille, jotka viitsivät vastata. Opin jokaisesta vastauksesta jotain.
Re: Pääseekö Heartbleed Applen koneisiin?
iMac 27" MacBook Pro 15" Mac mini iPad mini MacBook Air 13" iPad Air 2 iPad 2018 MacBook Pro 17" 2x HomePod mini 2x Homepod 2 Airport Express Thunderbolt Display 27” 2x iPhone SE iPod nano
Re: Pääseekö Heartbleed Applen koneisiin?
Tosiaankin, Heartbleed on bugi avoimessa OpenSSL-kirjastossa (joka on hyvin laajalti käytössä netissä) ja mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.
★
- omenamyyrä
- Viestit: 1278
- Liittynyt: 9.3.2011 klo 18.41
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja omenamyyrä »
^ Mailia ja Mailian noviisi-ystävälliset vastaukset
~ Homppulainen vuodesta 2011
Re: Pääseekö Heartbleed Applen koneisiin?
OS X on tässä sopivasti jäljessä; 10.9.2 käyttää vanhahkoa OpenSSL versiota 0.9.8y jossa bugia ei vielä esiinny. Omasta käyttiksestä ei siis kannata olla laisinkaan huolissaan. Se on nuo nettipalvelut mihin kannattaa vaihdella salasanat ihan varmuuden vuoksi.
Mac mini • MBA 11" • iPhone 5s • iPad (3rd gen)
http://irc.fi/atheos • http://www.mikseri.net/user/atheos
http://irc.fi/atheos • http://www.mikseri.net/user/atheos
Re: Pääseekö Heartbleed Applen koneisiin?
Ok. YLEn sivuilla oli vähän erilainen lista. Vaihdoin jo neljä salasanaa, mutta pitänee vaihtaa vielä pari.
Emo kiittää taas vastauksista. On niin mukavaa välillä olla se, joka kysyy, kun yleensä minä olen se "kaikkitietävä", jolta kysytään kaikkea. Onneksi en tiedä kaikkea kaikesta, tietokoneista ja niihin liittyvistä asioista melko vähän ainakin tähän porukkaan verrattuna. Ei sitä tiedä, vaikka minun vastauksista, joita kysymykseni tuottavat, saisi hyötyä joku muukin kuin minä.
Emo kiittää taas vastauksista. On niin mukavaa välillä olla se, joka kysyy, kun yleensä minä olen se "kaikkitietävä", jolta kysytään kaikkea. Onneksi en tiedä kaikkea kaikesta, tietokoneista ja niihin liittyvistä asioista melko vähän ainakin tähän porukkaan verrattuna. Ei sitä tiedä, vaikka minun vastauksista, joita kysymykseni tuottavat, saisi hyötyä joku muukin kuin minä.
Re: Pääseekö Heartbleed Applen koneisiin?
Olen ollut ymmärtävinäni, että tää on palvelinongelma eikä siten vaivaa yksityisten koneita.
iMac 24" 4,5K, pari Mac miniä, iPhone 13, iPad 2021, Watch SE 2022 ja kaikenlaista muuta. FiMUG ry jäsen
Re: Pääseekö Heartbleed Applen koneisiin?
Mailia ja toki muutkin, jotka eivät jaksa vastailla kysymyksiin voivat aivan vapaasti jättää vastaamatta. Parempi sekin kuin näsäviisaat kommentit, jotka eivät Homppuun kuulu.
"Don't submit to stupid rules. Be yourself and not a fool. Don't accept average habits. Open your heart and push the limits." - M.Cretu
Re: Pääseekö Heartbleed Applen koneisiin?
Mikä tässä vastauksessa muka oli vikana? Jos noviisi ei ymmärrä käsitteitä palvelin, käyttömuisti tai private-key, voi ne varmaan aika nopeasti katsoa jostain hikipediasta. Tämä valaisi asiaa ainakin minulle joka en ole viitsinyt itse ottaa selvää asiasta.Mailia kirjoitti:Tosiaankin, Heartbleed on bugi avoimessa OpenSSL-kirjastossa (joka on hyvin laajalti käytössä netissä) ja mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.
Kohti länttä, kohti itää
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
Re: Pääseekö Heartbleed Applen koneisiin?
En viitannut tuohon viestiin vaan moniin aikaisempiin.
"Don't submit to stupid rules. Be yourself and not a fool. Don't accept average habits. Open your heart and push the limits." - M.Cretu
Re: Pääseekö Heartbleed Applen koneisiin?
Ilmeisesti viittaat postaamaani linkkiin jossa on listattu ne palvelut joihin pitää vaihtaa salasana (näillä näkymin). En ymmärrä mitä vikaa siinä oli? Olisiko pitänyt rautalangasta vääntää, "klikkaa linkkiä, lue artikkeli" jne.?Anniel kirjoitti:En viitannut tuohon viestiin vaan moniin aikaisempiin.
iMac 27" MacBook Pro 15" Mac mini iPad mini MacBook Air 13" iPad Air 2 iPad 2018 MacBook Pro 17" 2x HomePod mini 2x Homepod 2 Airport Express Thunderbolt Display 27” 2x iPhone SE iPod nano
Re: Pääseekö Heartbleed Applen koneisiin?
Dodii, viittaus oli varmaankin Mailian kirjoitustyyliin, joka voi joitain ärsyttääää - kuten kaikkien kirjoitustyyli. Tästä lähtien kaikki kirjoittamaan vain faktapohjalta välttäen minkäänlaisia tunnetilojen välittymisiä tekstiinsä. Näin minä tämän tahallani annoin itseni väärin ymmärtää. (hymiö perään)
EDIT: varaan oikeuden tulla täysin väärin ymmärretyksi.
EDIT: varaan oikeuden tulla täysin väärin ymmärretyksi.
Viimeksi muokannut pallo, 11.4.2014 klo 8.53. Yhteensä muokattu 1 kertaa.
Re: Pääseekö Heartbleed Applen koneisiin?
Kyllä. Eikä kysymys ole vain tästä ketjusta vaan yleensä.pallo kirjoitti:Dodii, viittaus oli varmaankin Mailian kirjoitustyyliin, joka voi joitain ärsyttääää - kuten kaikkien kirjoitustyyli.
Tämä foorumi on kaikille mukavampi paikka kun, uusi tai vanha homppulainen, voi esittää kysymyksensä, aiheesta kuin aiheesta, ilman näsäviisaita heittoja tai KVG-kommentteja. Mailialle on asiasta huomautettu mutta aina välillä jokaisen kannattaa kiinnittää huomiota tällaisiin asioihin. Tämän viestiketjun ensimmäinen vastaus on hyvä esimerkki sellaisesta viestistä, jota kirjoittaessa kannattaisi ehkä miettiä kaksi kertaa ennen Lähetä-napin painamista.
Viimeksi muokannut Anniel, 11.4.2014 klo 9.29. Yhteensä muokattu 1 kertaa.
"Don't submit to stupid rules. Be yourself and not a fool. Don't accept average habits. Open your heart and push the limits." - M.Cretu
Re: Pääseekö Heartbleed Applen koneisiin?
Kyseessä ei sentään on *palvelimen* (koneen) muistista 64 kiloa, vaan OpenSSL-kirjastoa käyttävän ja sillä nettiyhteyttään suojaavan *palveluprosessin* muistiavaruudesta 64 kiloa. Joka kyllä sekin varmaan voi sisältää hyökkääjälle erittäin "hyödyllistä" tietoa.Mailia kirjoitti:mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.
- securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
- Viesti:
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja securapple »
Hei!
Käytännössä ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen avulla hyökkääjä pystyy purkamaan salatun tietoliikenteen => salauksen hyöty(suojaus) poistuu ja kaikki tieto näkyy selväkielisenä hyökkääjälle. Käyttäjätunnukset, salasanat, viestien sisältö,...
=> Täydellinen skenaario valtiolliselle toimijalle salatun tietoliikenteen tarkkailuun.
Tosiaankin Apple ei ole haavoittuva omien ohjelmistojensa osalta (OS X, iOS).
Sinänsä haavoittuvuuden hyväksikäyttö ei rajoitu vain www-palvelimiin, vaan kaikkiin SSL-toteutusta käyttäviin protokolliin. Kuten esim. salatun sähköpostin / pikaviestinnän server-ohjelmistohin (XMPP, JABBER,IMAP-SSL...) Kaikissa salauksen hyöyty voidaan negatoida ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen kautta.
Onnistunut mattimeikäläiseen kohdistuva hyökkäys jonkin palvelun käyttäjätunnuksen ja salasanan urkinnaksi edellyttää toimia :
1. Ensin kohdepalvelimen (gmail, ym.....) SSL -private keyn varastaminen, tämä onnistuu ko. haavoittuvuudella.
update : HUOM!!! uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
2. Tämän jälkeen tarvitaan tietoliikenteen nauhoitusta uhrin ja ko. palvelimen väliltä
3. Lopuksia tietoliikenteen nauhoituksen salaus puretaan napatulla salausavaimella.
Tietoliikenteen nappaus onnistuu piuhan kautta esim. operaattorilta tai taloyhtiön tietoliikennekopista. Muissa tapauksissa tarvitaan jo hakkerointia jos ollaan samoissa verkoissa kohteen kanssa eikä palomuuria välissä(esim. arp cache poisoning -tekniikalla).
Langattomissa verkoissa (esim. kohde naapuri) voidaan nauhoittaa suoraan jos salausta ei ole käytössä.
Salautuissa WLAN-verkoissa (WPA2-PSK) nauhoitetaan ensin tietoliikennettä . Murretaan ensin WPA2-PSK avain ja puretaan WPA2-PSK salaus. Tämän jälkeen päästään käsiksi uhrin ja kohdepalvelimen väliseen SSL-liikenteeseen joka taas puretaan kohdassa 1. varastetulla avaimella.
Tällöin paljon riippuu WPA2-PSK:n vahvuudesta (pituus, erikoismerkit,...)
Ei siis mitään helppoa, mutta onnistuu kuitenkin kun tietää mitä tekee ilman että kohde tietää mitään. Kiinnikin jää, sillä ko. hyökkäyksestä on jo
"sormenjäljet" saatavilla erilaisiin suojausjärjestelmiin(IDS,IPS).
update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
-Securapple
Käytännössä ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen avulla hyökkääjä pystyy purkamaan salatun tietoliikenteen => salauksen hyöty(suojaus) poistuu ja kaikki tieto näkyy selväkielisenä hyökkääjälle. Käyttäjätunnukset, salasanat, viestien sisältö,...
=> Täydellinen skenaario valtiolliselle toimijalle salatun tietoliikenteen tarkkailuun.
Tosiaankin Apple ei ole haavoittuva omien ohjelmistojensa osalta (OS X, iOS).
Sinänsä haavoittuvuuden hyväksikäyttö ei rajoitu vain www-palvelimiin, vaan kaikkiin SSL-toteutusta käyttäviin protokolliin. Kuten esim. salatun sähköpostin / pikaviestinnän server-ohjelmistohin (XMPP, JABBER,IMAP-SSL...) Kaikissa salauksen hyöyty voidaan negatoida ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen kautta.
Onnistunut mattimeikäläiseen kohdistuva hyökkäys jonkin palvelun käyttäjätunnuksen ja salasanan urkinnaksi edellyttää toimia :
1. Ensin kohdepalvelimen (gmail, ym.....) SSL -private keyn varastaminen, tämä onnistuu ko. haavoittuvuudella.
update : HUOM!!! uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
2. Tämän jälkeen tarvitaan tietoliikenteen nauhoitusta uhrin ja ko. palvelimen väliltä
3. Lopuksia tietoliikenteen nauhoituksen salaus puretaan napatulla salausavaimella.
Tietoliikenteen nappaus onnistuu piuhan kautta esim. operaattorilta tai taloyhtiön tietoliikennekopista. Muissa tapauksissa tarvitaan jo hakkerointia jos ollaan samoissa verkoissa kohteen kanssa eikä palomuuria välissä(esim. arp cache poisoning -tekniikalla).
Langattomissa verkoissa (esim. kohde naapuri) voidaan nauhoittaa suoraan jos salausta ei ole käytössä.
Salautuissa WLAN-verkoissa (WPA2-PSK) nauhoitetaan ensin tietoliikennettä . Murretaan ensin WPA2-PSK avain ja puretaan WPA2-PSK salaus. Tämän jälkeen päästään käsiksi uhrin ja kohdepalvelimen väliseen SSL-liikenteeseen joka taas puretaan kohdassa 1. varastetulla avaimella.
Tällöin paljon riippuu WPA2-PSK:n vahvuudesta (pituus, erikoismerkit,...)
Ei siis mitään helppoa, mutta onnistuu kuitenkin kun tietää mitä tekee ilman että kohde tietää mitään. Kiinnikin jää, sillä ko. hyökkäyksestä on jo
"sormenjäljet" saatavilla erilaisiin suojausjärjestelmiin(IDS,IPS).
update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
-Securapple
Viimeksi muokannut securapple, 11.4.2014 klo 22.05. Yhteensä muokattu 3 kertaa.
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
Re: Pääseekö Heartbleed Applen koneisiin?
Ei mahdotonta.securapple kirjoitti:update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
http://www.theverge.com/us-world/2014/4 ... urity-keys
★
Re: Pääseekö Heartbleed Applen koneisiin?
Tuossapa oiva toimintamallin kuvaus. http://xkcd.com/1354/
Re: Pääseekö Heartbleed Applen koneisiin?
Kysyjän näkökulmasta hyödytön fakta, koska se ei vastannut kysymykseen, vaan totesi jotain kysyjän taidoista, jotka muutenkin näkyvät jokaiselle yhtään näistä asioista ymmärtäville.Mailia kirjoitti:Se ei ollut näsäviisas heitto tai KVG, vaan fakta.
MUTTA, tietämättömyyteni johti kuitenkin myös asiakeskusteluun teidän tietäviempien keskuudessa ja sehän on jo jotain.
Re: Pääseekö Heartbleed Applen koneisiin?
..
Viimeksi muokannut mommmmi, 26.8.2021 klo 9.32. Yhteensä muokattu 1 kertaa.
iMac 5K 2019 | Air 13" M1 | Pro 16" M1 Max | iP 13 Pro Max | AirPods Pro 2.Gen | FTTH-netti
http://www.youtube.com/watch?v=5GZcCLfeH28
http://www.youtube.com/watch?v=5GZcCLfeH28
Re: Pääseekö Heartbleed Applen koneisiin?
Vaihdoin, mutta ei tuo minkäänlaista paniikkia aiheuttanut .
iMac 27" MacBook Pro 15" Mac mini iPad mini MacBook Air 13" iPad Air 2 iPad 2018 MacBook Pro 17" 2x HomePod mini 2x Homepod 2 Airport Express Thunderbolt Display 27” 2x iPhone SE iPod nano
Palaa sivulle “Tietoturva ja varmuuskopiointi”
Hyppää
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit