tag:blogger.com,1999:blog-6843976375835852604.post8873776085185399216..comments2024-03-28T20:05:56.432+02:00Comments on Havaintoja digimaailmasta: Heartbleed, tietoturvan kohuviikon huipennusPetteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger10125tag:blogger.com,1999:blog-6843976375835852604.post-80933935340584284892014-05-10T03:25:05.035+03:002014-05-10T03:25:05.035+03:00Blogistilla oli hiljattain kirjoitus HS:ssa kontak...Blogistilla oli hiljattain kirjoitus HS:ssa kontaktittomista maksukorteista. Aiheesta voisi ehkä blogahtaakin?<br /><br />Käväisinpä tässä Lontoossa hiljattain ja metroasemilla pyöri kuulutus tästä aiheesta:<br /><i>Avoid card clash<br /><br />If you keep your Oyster card in your wallet/purse with your bank cards, you might occasionally see a red light when you touch it on a card reader at stations and on buses. The red light means you haven't paid for your journey and if you're at a ticket gate, it might not open. This can happen even you've got enough pay as you go credit or a valid Travelcard on your Oyster card because you could be experiencing 'card clash'.</i><br /><br />...eli ongelmia luvassa, jos lompakossa on useampia erilaisia mutta samaa teknologiaa käyttäviä kortteja.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-16169700238703134662014-04-17T17:34:23.932+03:002014-04-17T17:34:23.932+03:00>Tämän exploittaaminen vaatii siis oikeasti aik...>Tämän exploittaaminen vaatii siis oikeasti aikaa ajaa iso kasa pyyntöjä. Skriptaamalla saa toki nopeutettua paljon.<br /><br />Eikös jonkin botnetin voisi valjastaa Heratbleed-pyyntöjen tehtailuun?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-22539691097595122932014-04-14T16:39:42.163+03:002014-04-14T16:39:42.163+03:00Joku kertoi tänään, että Ilkalta oli mennyt 100 00...Joku kertoi tänään, että Ilkalta oli mennyt 100 000 requestia, ennen kuin kaivattu tieto osui haaviin. Joku toinen oli kuulemma tehnyt 4 miljoonaa requestia ennen onnistumista. Tämän exploittaaminen vaatii siis oikeasti aikaa ajaa iso kasa pyyntöjä. Skriptaamalla saa toki nopeutettua paljon.Antti Alestalohttps://www.blogger.com/profile/11271030796438812561noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-3833176956129537662014-04-12T06:23:20.442+03:002014-04-12T06:23:20.442+03:00Mielenkiintoista on, että 2 henkilöä sai tuon yksi...Mielenkiintoista on, että 2 henkilöä sai tuon yksityisen avaimen selville ja toisena aikajärjestyksessä oli Suomen NCSC-FI'n edustaja Ilkka Mattila.<br /><br />https://www.cloudflarechallenge.com/heartbleedanonym 765noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-47681717583662171622014-04-12T04:42:17.623+03:002014-04-12T04:42:17.623+03:00Tuossa Vergen skeptisessä jutussa mainitaan Cloudf...Tuossa Vergen skeptisessä jutussa mainitaan Cloudfaren Heartbleed Challenge, jossa haastetaan hakkeroimaan Heartbleedin avulla tuo himoittu yksityinen avain Cloudfaren palvelimelta.<br /><br />Cloudfare on ilmoittanut, että hakkeri on onnistunut samaan avaimen selville, myös Vergen jutun loppuun on lisätty varmistus asiasta. <br /><br />Joku kysyi mitä merkitystä yksityisellä avaimella on? Järvisen blogin tekstiä: "Pahinta, mitä hyökkääjä voi Heartbleedin avulla saada, on palvelimen oma SSL-avain. Sillä pystyisi avaamaan kaikki aiemmat (jos niiden salattu liikenne on kaapattu ja tallennettu) sekä tulevat SSL-salatut yhteydet."anonym 765noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-76062695880911734582014-04-12T00:44:49.027+03:002014-04-12T00:44:49.027+03:00Sanovat siis saaneensa certificaatin salaisen eli ...<i>Sanovat siis saaneensa certificaatin salaisen eli yksityisen avaimen. Tuo on kaikista pahin scenaario.</i><br /><br />Mikä tämän käytännön merkitys sitten on? Voi tehdä feikkisivuston, joka näyttää ja tuntuu aidolta?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-254686800136057472014-04-11T19:18:52.781+03:002014-04-11T19:18:52.781+03:00Tuohon 18.15 lisäykseen sopii vasta-argumentti www...Tuohon 18.15 lisäykseen sopii vasta-argumentti www.heartbleed.com 'sta(bugin löytäjiltä):<br /><br />We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.<br /><br />Sanovat siis saaneensa certificaatin salaisen eli yksityisen avaimen. Tuo on kaikista pahin scenaario.anonym 765noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-31031576082455884292014-04-11T18:24:25.736+03:002014-04-11T18:24:25.736+03:00Kaikki asikaspään ohjelmat jotka käyttävät OpenSSL...Kaikki asikaspään ohjelmat jotka käyttävät OpenSSL:ää ovat aivan yhtä rikki kuin palvelinpään ohjelmat.<br /><br />Tosin nopealla googletuksella selaimet eivät taida käyttää OpenSSL:ää. Paitsi ehkä android chrome.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-50083772220292837592014-04-11T17:29:05.803+03:002014-04-11T17:29:05.803+03:00Riippuu pitkälti asiakasohjelmasta. Teoriassa esim...Riippuu pitkälti asiakasohjelmasta. Teoriassa esimerkiksi VPN-sovellus, voisi vuotaa edellisen VPN-yhteyden tietoja. Joitakin sovelluksia on jo testattu tämän varalta, esim. Ciscon iOS VPN-sovellus on ilmeisesti haavoittuvainen. Myös nginx proxy-tilassa vuotaa tietoja. Useimmiten tämä ei ole kuitenkaan yhtä vakavaa, kuin palvelinpään vuoto.Antti Alestalohttps://www.blogger.com/profile/11271030796438812561noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-26854050757727824632014-04-11T13:16:52.200+03:002014-04-11T13:16:52.200+03:00Käyttäjän pitää myös päivittää OpenSSL, mitenkenkö...Käyttäjän pitää myös päivittää OpenSSL, mitenkenköhän mahtaa käydä kun client pään haavoittuva asiakas ottaa yhteyttä serveriin joka lypsää asiakaslaitteen (prosessin) muistin itselleen.<br />Anonymousnoreply@blogger.com