Hopeinen Omena

Ovatko Applen laitteet haavoittuvaisia Heartbleedille? Washington Post kertoo se levinneen todella laajalti netissä ja se kaappaa salasanoja. Pitääkö noteerata vai ei?

emo

Et varmaan oikein ymmärrä miten Heartbleed toimii.

Kyseessä ei ole virus tai haittaohjelma, joka löytäisi itsensä käyttäjän tietokoneelle tai pystyisi sitä muutenkaan vahingoittamaan, vaan käsittääkseni tietoturva-aukko, jonka kautta on päässyt käsiksi eri verkkosivustojen käyttäjien salasanoihin. Kannattaa noteerata, mutta sekin tapahtuu kyseisten palvelujen salasanoja muuttamalla, jos niihin olet rekisteröitynyt.

Mailia kirjoitti:Et varmaan oikein ymmärrä miten Heartbleed toimii.

No aivan varmasti en ymmärrä. :-) Siksi kysyn ja tästä asiasta enemmän tietävät kertovat halutessaan. Kaikilla meillä on omat erityistietomme ja -taitomme. Nämä eivät kuulu repertuaariini.

Kiitos niille, jotka viitsivät vastata. Opin jokaisesta vastauksesta jotain.

Tosiaankin, Heartbleed on bugi avoimessa OpenSSL-kirjastossa (joka on hyvin laajalti käytössä netissä) ja mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.

^ Mailia ja Mailian noviisi-ystävälliset vastaukset

OS X on tässä sopivasti jäljessä; 10.9.2 käyttää vanhahkoa OpenSSL versiota 0.9.8y jossa bugia ei vielä esiinny. Omasta käyttiksestä ei siis kannata olla laisinkaan huolissaan. Se on nuo nettipalvelut mihin kannattaa vaihdella salasanat ihan varmuuden vuoksi.

Ok. YLEn sivuilla oli vähän erilainen lista. Vaihdoin jo neljä salasanaa, mutta pitänee vaihtaa vielä pari.

Emo kiittää taas vastauksista. On niin mukavaa välillä olla se, joka kysyy, kun yleensä minä olen se "kaikkitietävä", jolta kysytään kaikkea. Onneksi en tiedä kaikkea kaikesta, tietokoneista ja niihin liittyvistä asioista melko vähän ainakin tähän porukkaan verrattuna. Ei sitä tiedä, vaikka minun vastauksista, joita kysymykseni tuottavat, saisi hyötyä joku muukin kuin minä.

Olen ollut ymmärtävinäni, että tää on palvelinongelma eikä siten vaivaa yksityisten koneita.

Mailia ja toki muutkin, jotka eivät jaksa vastailla kysymyksiin voivat aivan vapaasti jättää vastaamatta. Parempi sekin kuin näsäviisaat kommentit, jotka eivät Homppuun kuulu.

Mailia kirjoitti:Tosiaankin, Heartbleed on bugi avoimessa OpenSSL-kirjastossa (joka on hyvin laajalti käytössä netissä) ja mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.

Mikä tässä vastauksessa muka oli vikana? Jos noviisi ei ymmärrä käsitteitä palvelin, käyttömuisti tai private-key, voi ne varmaan aika nopeasti katsoa jostain hikipediasta. Tämä valaisi asiaa ainakin minulle joka en ole viitsinyt itse ottaa selvää asiasta.

En viitannut tuohon viestiin vaan moniin aikaisempiin.

Anniel kirjoitti:En viitannut tuohon viestiin vaan moniin aikaisempiin.

Ilmeisesti viittaat postaamaani linkkiin jossa on listattu ne palvelut joihin pitää vaihtaa salasana (näillä näkymin). En ymmärrä mitä vikaa siinä oli? Olisiko pitänyt rautalangasta vääntää, "klikkaa linkkiä, lue artikkeli" jne.?

Dodii, viittaus oli varmaankin Mailian kirjoitustyyliin, joka voi joitain ärsyttääää - kuten kaikkien kirjoitustyyli. Tästä lähtien kaikki kirjoittamaan vain faktapohjalta välttäen minkäänlaisia tunnetilojen välittymisiä tekstiinsä. Näin minä tämän tahallani annoin itseni väärin ymmärtää. (hymiö perään)

EDIT: varaan oikeuden tulla täysin väärin ymmärretyksi.

pallo kirjoitti:Dodii, viittaus oli varmaankin Mailian kirjoitustyyliin, joka voi joitain ärsyttääää - kuten kaikkien kirjoitustyyli.

Kyllä. Eikä kysymys ole vain tästä ketjusta vaan yleensä.

Tämä foorumi on kaikille mukavampi paikka kun, uusi tai vanha homppulainen, voi esittää kysymyksensä, aiheesta kuin aiheesta, ilman näsäviisaita heittoja tai KVG-kommentteja. Mailialle on asiasta huomautettu mutta aina välillä jokaisen kannattaa kiinnittää huomiota tällaisiin asioihin. Tämän viestiketjun ensimmäinen vastaus on hyvä esimerkki sellaisesta viestistä, jota kirjoittaessa kannattaisi ehkä miettiä kaksi kertaa ennen Lähetä-napin painamista.

Se ei ollut näsäviisas heitto tai KVG, vaan fakta.

Mailia kirjoitti:mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.

Kyseessä ei sentään on *palvelimen* (koneen) muistista 64 kiloa, vaan OpenSSL-kirjastoa käyttävän ja sillä nettiyhteyttään suojaavan *palveluprosessin* muistiavaruudesta 64 kiloa. Joka kyllä sekin varmaan voi sisältää hyökkääjälle erittäin "hyödyllistä" tietoa.

Hei!

Käytännössä ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen avulla hyökkääjä pystyy purkamaan salatun tietoliikenteen => salauksen hyöty(suojaus) poistuu ja kaikki tieto näkyy selväkielisenä hyökkääjälle. Käyttäjätunnukset, salasanat, viestien sisältö,...

=> Täydellinen skenaario valtiolliselle toimijalle salatun tietoliikenteen tarkkailuun.

Tosiaankin Apple ei ole haavoittuva omien ohjelmistojensa osalta (OS X, iOS).

Sinänsä haavoittuvuuden hyväksikäyttö ei rajoitu vain www-palvelimiin, vaan kaikkiin SSL-toteutusta käyttäviin protokolliin. Kuten esim. salatun sähköpostin / pikaviestinnän server-ohjelmistohin (XMPP, JABBER,IMAP-SSL...) Kaikissa salauksen hyöyty voidaan negatoida ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen kautta.

Onnistunut mattimeikäläiseen kohdistuva hyökkäys jonkin palvelun käyttäjätunnuksen ja salasanan urkinnaksi edellyttää toimia :

1. Ensin kohdepalvelimen (gmail, ym.....) SSL -private keyn varastaminen, tämä onnistuu ko. haavoittuvuudella.
update : HUOM!!! uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all

2. Tämän jälkeen tarvitaan tietoliikenteen nauhoitusta uhrin ja ko. palvelimen väliltä
3. Lopuksia tietoliikenteen nauhoituksen salaus puretaan napatulla salausavaimella.

Tietoliikenteen nappaus onnistuu piuhan kautta esim. operaattorilta tai taloyhtiön tietoliikennekopista. Muissa tapauksissa tarvitaan jo hakkerointia jos ollaan samoissa verkoissa kohteen kanssa eikä palomuuria välissä(esim. arp cache poisoning -tekniikalla).

Langattomissa verkoissa (esim. kohde naapuri) voidaan nauhoittaa suoraan jos salausta ei ole käytössä.
Salautuissa WLAN-verkoissa (WPA2-PSK) nauhoitetaan ensin tietoliikennettä . Murretaan ensin WPA2-PSK avain ja puretaan WPA2-PSK salaus. Tämän jälkeen päästään käsiksi uhrin ja kohdepalvelimen väliseen SSL-liikenteeseen joka taas puretaan kohdassa 1. varastetulla avaimella.
Tällöin paljon riippuu WPA2-PSK:n vahvuudesta (pituus, erikoismerkit,...)

Ei siis mitään helppoa, mutta onnistuu kuitenkin kun tietää mitä tekee ilman että kohde tietää mitään. Kiinnikin jää, sillä ko. hyökkäyksestä on jo
"sormenjäljet" saatavilla erilaisiin suojausjärjestelmiin(IDS,IPS).

update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all

-Securapple

securapple kirjoitti:update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all

Ei mahdotonta.

http://www.theverge.com/us-world/2014/4 ... urity-keys

Tuossapa oiva toimintamallin kuvaus. http://xkcd.com/1354/

Mailia kirjoitti:Se ei ollut näsäviisas heitto tai KVG, vaan fakta.

Kysyjän näkökulmasta hyödytön fakta, koska se ei vastannut kysymykseen, vaan totesi jotain kysyjän taidoista, jotka muutenkin näkyvät jokaiselle yhtään näistä asioista ymmärtäville.

MUTTA, tietämättömyyteni johti kuitenkin myös asiakeskusteluun teidän tietäviempien keskuudessa ja sehän on jo jotain.

Kiitos Secure Apple kattavasta selostuksesta. Ymmärsin siitä ehkä riittävästi.

emo

..

Vaihdoin, mutta ei tuo minkäänlaista paniikkia aiheuttanut .