In che modo l'utente medio dovrebbe essere paranoico per il cuore? [duplicare]

11

Le domande su Heartbleed sono state mostrate nella popolare lista delle domande oggi dal mattino, dallo scambio di stack di sicurezza ad Android Ho letto molti di loro, molti di loro sono tecnici e da una prospettiva di amministratori di server così difficile da capire per l'utente medio
Questi sono alcuni semplici che ho trovato

  1. link
  2. Come funziona esattamente l'heartbeat OpenSSL TLS (Heartbleed) exploit work?
  3. Cosa devono fare gli utenti finali in Heartbleed?
  4. La vulnerabilità heartbleed ha un impatto sui client così grave?

Non capisco i dettagli tecnici, quindi come utente medio di Windows, come dovrei essere paranoico, e c'è qualcosa che dovrei (o posso fare), se un servizio che uso è vulnerabile?

Ad esempio, la risposta accettata per il punto 4 sopra dice questo sui sistemi vulnerabili:

Information on common clients:

Windows (all versions): Probably unaffected (uses SChannel/SSPI), but attention should be paid to the TLS implementations in individual applications. For example, Cygwin users should update their OpenSSL packages.

OSX and iOS (all versions): Probably unaffected. SANS implies it may be vulnerable by saying "OS X Mavericks has NO PATCH available", but others note that OSX 10.9 ships with OpenSSL 0.9.8y, which is not affected. Apple says: "OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS"

Chrome (all platforms except Android): Probably unaffected (uses NSS)

Chrome on Android: 4.1.1 may be affected (uses OpenSSL). Source. 4.1.2 should be unaffected, as it is compiled with heartbeats disabled. Source. Mozilla products (e.g. Firefox, Thunderbird, SeaMonkey, Fennec): Probably unaffected, all use NSS

Quindi, se io sono un utente medio di Windows con Chrome come browser predefinito, non sono vulnerabile? Non penso che sia vero quindi probabilmente non sto ottenendo qualcosa qui. Questa pagina dice che Yahoo è il più grande fornitore di servizi Web noto per essere vulnerabile (include anche stackexchange). Quindi, se ho un account email o stackexchange di Yahoo, significa che la mia password è vulnerabile dal lato del mio computer quando la digito? Nella risposta che ho citato sopra, si dice che Windows e Chrome non sono probabilmente interessati poiché non usano openssl. Quindi, come mi rende vulnerabile quando utilizzo Yahoo e StackExchange che apparentemente usano openssl? C'è qualcosa che posso fare al riguardo, e se sì, cosa posso fare? Cambia subito la password o attendi che mi contattino e cambia password dopo?

Ho un'altra domanda. La risposta accettata per l'elemento 1 ha questo da dire:

Well, errant code in OpenSSL. Here is the commit that fixed the vulnerability. I won't speculate on whether this was truly a mistake or possibly a bit of code slipped in on behalf of a bad actor. The bug showed up in December of 2011 and was patched today, April 7th, 2014.

Se il bug è così vecchio, ed è davvero così grave, allora perché non è stato fatto nulla fino ad ora?

    
posta user13267 09.04.2014 - 12:42
fonte

3 risposte

3

Inizierò dal basso verso l'alto:)

Il bug è presente da un po 'di tempo, ma non è stato scoperto fino a poco tempo. Per definizione, i bug non sono ovvi: sono errori. Quando alla fine è stato trovato, c'è stato un disperato tentativo di risolverlo.

La risposta a cui si è collegati indica che è difficile per un server Web dannoso attaccare un singolo computer, perché molti browser Web (che sono la cosa più comune che si usa per creare una connessione TLS) non sono vulnerabili.

Tuttavia, sei ancora vulnerabile quando sei connesso a un server vulnerabile. Esempio: partecipi a un forum online. Un utente malintenzionato si connette allo stesso server utilizzando HTTPS e, utilizzando questo attacco, ruba i cookie di sessione dalla memoria del server. Ora l'aggressore può impersonare te su quel forum.

A parte il fatto di non accedere a nulla, a questo punto c'è poco che un utente non tecnico possa fare. Spetta agli amministratori di sistema e agli ingegneri correggere i loro server. Puoi aiutare meglio seguendo i loro consigli se e quando sono fatti.

Una volta che un servizio è stato riparato, accedi normalmente e cambia la tua password. Mi aspetto che molti siti Web impongano comunque modifiche alle password dopo che sono state applicate le patch.

    
risposta data 09.04.2014 - 12:56
fonte
4

Il tuo sistema non è vulnerabile al problema mentre naviga su Windows con Chrome, ma la maggior parte dei siti che visiti e utilizzi erano probabilmente vulnerabili.

Ci sono molte cose che puoi fare:

  • Verifica i certificati SSL dei siti web che visiti, assicurati che siano stati emessi dopo il 7 aprile 2014
  • Verifica che i siti web visitati siano stati patchati o non siano vulnerabili (questo potrebbe aiutare: link )
  • Se non sono vulnerabili e il certificato è post-Heartbleed, cambia la password (nel caso in cui fosse compromessa)

Personalmente ho un addon di Firefox chiamato "Certificate Patrol", che mi avvisa quando un certificato è stato sostituito o è nuovo, il che mi aiuta a ricordarmi di controllare se sono sicuri o meno. Ho anche add-on che identificano il software in esecuzione sui server, quindi so se stanno eseguendo un server che non è stato colpito da Heartbleed (Windows Server per esempio, o OpenSSL 0.9.8)

If the bug is that old, and it really is this serious, then why wasn't anything done till now?

Fino ad ora non è stato fatto nulla perché nessuno sapeva che c'era un problema fino ad ora. Sfortunatamente è scivolato dentro senza farsi notare - Nei progetti che sono grandi e hanno molti contributori, gli errori accadono. È un peccato che sia passato così tanto tempo senza essere notato e risolto però.

    
risposta data 09.04.2014 - 12:52
fonte
3

Chrome e Firefox non usano la libreria OpenSSL (utilizza invece NSS di Mozilla), quindi tu come client non sei direttamente interessato. I siti che visiti (su HTTP o HTTPS) possono perdere informazioni se funzionano anche in ascolto per le richieste HTTPS e utilizzano una versione vulnerabile OpenSSL .

Yahoo è stato vulnerabile per molto tempo, ma è stato riparato ieri. Se ieri hai effettuato l'accesso via web, considera la tua password compromessa.

Well, errant code in OpenSSL. Here is the commit that fixed the vulnerability. I won't speculate on whether this was truly a mistake or possibly a bit of code slipped in on behalf of a bad actor. The bug showed up in December of 2011 and was patched today, April 7th, 2014.

     

Se il bug è così vecchio, ed è davvero così grave, allora perché non lo era   qualcosa fatto fino ad ora?

Il bug è stato introdotto in quel momento, non significa che gli sviluppatori di OpenSSL sapessero in quel momento che è stato creato un bug.

    
risposta data 09.04.2014 - 12:51
fonte

Leggi altre domande sui tag