Pääseekö Heartbleed Applen koneisiin?
-
- Viestit: 82
- Liittynyt: 24.11.2005 klo 22.05
Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja emo »
emo
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Mailia »
-
- Ylläpitäjä
- Viestit: 13137
- Liittynyt: 5.8.2005 klo 12.29
- Paikkakunta: Helsinki
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Anghorn »
-
- Viestit: 82
- Liittynyt: 24.11.2005 klo 22.05
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja emo »
No aivan varmasti en ymmärrä. :-) Siksi kysyn ja tästä asiasta enemmän tietävät kertovat halutessaan. Kaikilla meillä on omat erityistietomme ja -taitomme. Nämä eivät kuulu repertuaariini.Mailia kirjoitti:Et varmaan oikein ymmärrä miten Heartbleed toimii.
Kiitos niille, jotka viitsivät vastata. Opin jokaisesta vastauksesta jotain.
-
- Viestit: 4450
- Liittynyt: 27.9.2008 klo 14.53
- Paikkakunta: Ylivieska
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja peku »
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Mailia »
-
- Viestit: 1278
- Liittynyt: 9.3.2011 klo 18.41
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja omenamyyrä »
-
- Viestit: 4702
- Liittynyt: 4.11.2007 klo 13.32
- Paikkakunta: Tampere
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja atheos »
http://irc.fi/atheos • http://www.mikseri.net/user/atheos
-
- Viestit: 82
- Liittynyt: 24.11.2005 klo 22.05
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja emo »
Emo kiittää taas vastauksista. On niin mukavaa välillä olla se, joka kysyy, kun yleensä minä olen se "kaikkitietävä", jolta kysytään kaikkea. Onneksi en tiedä kaikkea kaikesta, tietokoneista ja niihin liittyvistä asioista melko vähän ainakin tähän porukkaan verrattuna. Ei sitä tiedä, vaikka minun vastauksista, joita kysymykseni tuottavat, saisi hyötyä joku muukin kuin minä.
-
- Viestit: 22809
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja MacFinn »
-
- Viestit: 17687
- Liittynyt: 25.11.2004 klo 11.57
- Paikkakunta: Hämeenlinna
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Anniel »
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja antoine »
Mikä tässä vastauksessa muka oli vikana? Jos noviisi ei ymmärrä käsitteitä palvelin, käyttömuisti tai private-key, voi ne varmaan aika nopeasti katsoa jostain hikipediasta. Tämä valaisi asiaa ainakin minulle joka en ole viitsinyt itse ottaa selvää asiasta.Mailia kirjoitti:Tosiaankin, Heartbleed on bugi avoimessa OpenSSL-kirjastossa (joka on hyvin laajalti käytössä netissä) ja mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 17687
- Liittynyt: 25.11.2004 klo 11.57
- Paikkakunta: Hämeenlinna
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Anniel »
-
- Viestit: 4450
- Liittynyt: 27.9.2008 klo 14.53
- Paikkakunta: Ylivieska
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja peku »
Ilmeisesti viittaat postaamaani linkkiin jossa on listattu ne palvelut joihin pitää vaihtaa salasana (näillä näkymin). En ymmärrä mitä vikaa siinä oli? Olisiko pitänyt rautalangasta vääntää, "klikkaa linkkiä, lue artikkeli" jne.?Anniel kirjoitti:En viitannut tuohon viestiin vaan moniin aikaisempiin.
-
- Viestit: 5366
- Liittynyt: 21.2.2004 klo 11.46
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja pallo »
EDIT: varaan oikeuden tulla täysin väärin ymmärretyksi.
-
- Viestit: 17687
- Liittynyt: 25.11.2004 klo 11.57
- Paikkakunta: Hämeenlinna
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Anniel »
Kyllä. Eikä kysymys ole vain tästä ketjusta vaan yleensä.pallo kirjoitti:Dodii, viittaus oli varmaankin Mailian kirjoitustyyliin, joka voi joitain ärsyttääää - kuten kaikkien kirjoitustyyli.
Tämä foorumi on kaikille mukavampi paikka kun, uusi tai vanha homppulainen, voi esittää kysymyksensä, aiheesta kuin aiheesta, ilman näsäviisaita heittoja tai KVG-kommentteja. Mailialle on asiasta huomautettu mutta aina välillä jokaisen kannattaa kiinnittää huomiota tällaisiin asioihin. Tämän viestiketjun ensimmäinen vastaus on hyvä esimerkki sellaisesta viestistä, jota kirjoittaessa kannattaisi ehkä miettiä kaksi kertaa ennen Lähetä-napin painamista.
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Mailia »
-
- Viestit: 41
- Liittynyt: 21.4.2011 klo 14.26
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja tml1024 »
Kyseessä ei sentään on *palvelimen* (koneen) muistista 64 kiloa, vaan OpenSSL-kirjastoa käyttävän ja sillä nettiyhteyttään suojaavan *palveluprosessin* muistiavaruudesta 64 kiloa. Joka kyllä sekin varmaan voi sisältää hyökkääjälle erittäin "hyödyllistä" tietoa.Mailia kirjoitti:mahdollistaa hyökkääjän saada 64 kilotavua palvelimen muistista itsellensä per haku. Tietenkin, jos palvelimen käyttömuistia saa tarpeeksi paljon, niin siellä saattaa olla kaikkea kivaa, kuten salasanoja tai palvelimen private keyt.
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja securapple »
Käytännössä ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen avulla hyökkääjä pystyy purkamaan salatun tietoliikenteen => salauksen hyöty(suojaus) poistuu ja kaikki tieto näkyy selväkielisenä hyökkääjälle. Käyttäjätunnukset, salasanat, viestien sisältö,...
=> Täydellinen skenaario valtiolliselle toimijalle salatun tietoliikenteen tarkkailuun.
Tosiaankin Apple ei ole haavoittuva omien ohjelmistojensa osalta (OS X, iOS).
Sinänsä haavoittuvuuden hyväksikäyttö ei rajoitu vain www-palvelimiin, vaan kaikkiin SSL-toteutusta käyttäviin protokolliin. Kuten esim. salatun sähköpostin / pikaviestinnän server-ohjelmistohin (XMPP, JABBER,IMAP-SSL...) Kaikissa salauksen hyöyty voidaan negatoida ko. haavoittuvuuden sekä tietoliikenteen nauhoituksen kautta.
Onnistunut mattimeikäläiseen kohdistuva hyökkäys jonkin palvelun käyttäjätunnuksen ja salasanan urkinnaksi edellyttää toimia :
1. Ensin kohdepalvelimen (gmail, ym.....) SSL -private keyn varastaminen, tämä onnistuu ko. haavoittuvuudella.
update : HUOM!!! uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
2. Tämän jälkeen tarvitaan tietoliikenteen nauhoitusta uhrin ja ko. palvelimen väliltä
3. Lopuksia tietoliikenteen nauhoituksen salaus puretaan napatulla salausavaimella.
Tietoliikenteen nappaus onnistuu piuhan kautta esim. operaattorilta tai taloyhtiön tietoliikennekopista. Muissa tapauksissa tarvitaan jo hakkerointia jos ollaan samoissa verkoissa kohteen kanssa eikä palomuuria välissä(esim. arp cache poisoning -tekniikalla).
Langattomissa verkoissa (esim. kohde naapuri) voidaan nauhoittaa suoraan jos salausta ei ole käytössä.
Salautuissa WLAN-verkoissa (WPA2-PSK) nauhoitetaan ensin tietoliikennettä . Murretaan ensin WPA2-PSK avain ja puretaan WPA2-PSK salaus. Tämän jälkeen päästään käsiksi uhrin ja kohdepalvelimen väliseen SSL-liikenteeseen joka taas puretaan kohdassa 1. varastetulla avaimella.
Tällöin paljon riippuu WPA2-PSK:n vahvuudesta (pituus, erikoismerkit,...)
Ei siis mitään helppoa, mutta onnistuu kuitenkin kun tietää mitä tekee ilman että kohde tietää mitään. Kiinnikin jää, sillä ko. hyökkäyksestä on jo
"sormenjäljet" saatavilla erilaisiin suojausjärjestelmiin(IDS,IPS).
update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja Mailia »
Ei mahdotonta.securapple kirjoitti:update :uusimpien tietojen mukaan salausvainten varastaminen on erittäin vaikeaa, lähes mahdotonta : http://www.theverge.com/2014/4/11/56043 ... -after-all
http://www.theverge.com/us-world/2014/4 ... urity-keys
-
- Viestit: 7444
- Liittynyt: 28.5.2004 klo 1.44
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja tosikko »
-
- Viestit: 82
- Liittynyt: 24.11.2005 klo 22.05
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja emo »
Kysyjän näkökulmasta hyödytön fakta, koska se ei vastannut kysymykseen, vaan totesi jotain kysyjän taidoista, jotka muutenkin näkyvät jokaiselle yhtään näistä asioista ymmärtäville.Mailia kirjoitti:Se ei ollut näsäviisas heitto tai KVG, vaan fakta.
MUTTA, tietämättömyyteni johti kuitenkin myös asiakeskusteluun teidän tietäviempien keskuudessa ja sehän on jo jotain.
-
- Viestit: 82
- Liittynyt: 24.11.2005 klo 22.05
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja emo »
emo
-
- Viestit: 983
- Liittynyt: 30.1.2012 klo 22.27
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja mommmmi »
http://www.youtube.com/watch?v=5GZcCLfeH28
-
- Viestit: 4450
- Liittynyt: 27.9.2008 klo 14.53
- Paikkakunta: Ylivieska
Re: Pääseekö Heartbleed Applen koneisiin?
Viesti Kirjoittaja peku »
Palaa sivulle “Tietoturva ja varmuuskopiointi”
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit