OpenSSL er ramt af et nyt kritisk sikkerhedshul

18 kommentarer.  Hop til debatten
Open source-softwaren til internetkryptering OpenSSL er ramt af et nyt kritisk sikkerhedshul i webkryptering, der åbner for wifi-phishing.
6. juni 2014 kl. 09:48
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Open source-softwaren til kryptering af forbindelser over internettet, OpenSSL, fik en uønsket plads i rampelyset, da det for nylig blev afsløret, at det indeholdt et sikkerhedshul, som potentielt kunne udnyttes til at afsløre kodeord, kreditkortnumre og andre fortrolige oplysninger fra webservere.

Den såkaldte Heartbleed-sårbarhed i OpenSSL satte fokus på en komponent, som ellers blot har arbejdet for store websteder i årevis. Nu er yderligere en række sikkerhedshuller i OpenSSL fundet og lukket.

En af dem er særlig kritisk, fordi den har eksisteret i OpenSSL siden 1998 og dermed findes i alle versioner, bortset fra den nyeste 1.01 og de patchede versioner.

Ifølge sikkerhedsfirmaet Sophos er den dog ikke helt så kritisk som Heartbleed. Heartbleed-sårbarheden kunne udnyttes, hvis blot serveren havde en sårbar version af OpenSSL. Den nye, kritiske sårbarhed kan kun udnyttes, hvis både server og klient er sårbare.

Artiklen fortsætter efter annoncen

Det vil dog kunne udnyttes ved eksempelvis at opsætte et falsk wifi-opkoblingspunkt, som brugerne lokkes til at forbinde til. Det giver mulighed for at lave et man-in-the-middle-angreb, selvom brugeren tror, han benytter en sikker forbindelse, skriver blandt andet sikkerhedsfirmaet CSIS.

OpenSSL er i øvrigt ikke den eneste krypteringssoftware, som har måttet lukke kritiske sårbarheder. Også GnuTLS har ifølge Sophos været ramt af et kritisk sikkerhedshul.

18 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
6. juni 2014 kl. 12:36

Du har en nul konfigureret computer det virker fint (og sikkert) i dit eget miljø (firma). Nu tager du computeren ud i en anden sammenhæng og pludeseligt bliver data sendt ad andre veje og kan aflyttes, eller ledes til en anden destination. Dette kan med DHCP laves på to måder: Den simple er falsk DNS server, eller næsten lige så simpelt IP-afsporing.

Dette er noget hvor Linux er lige så nem at ramme som Windows. Der bør laves et mere sikkert alternativ til DHCP. Routere kører normalt Linux men der er ingen der ser koden igennem og selv builder den og installere den selv. Hvorfor er det mon sådan ?

8
6. juni 2014 kl. 12:52

Jeg forudser at den næste bølge af alvorlige angreb bliver nogen hvor en af ingredienserne er at routeren i dit "neighborhood" (ikke længere væk end din netmaske rækker) er alvorligt forurenet med malware (og har været det i årevis). INGEN har forsøgt sig med rettidig omhu. Alle peger fingrer af alle andre.

7
6. juni 2014 kl. 12:47

I firma øjemed bruger man typisk VPN, of medmindre der dukker en grel fejl op der berører den protokol der bruges, så kan du være ligeglad med hvor mange der lytter med.

9
6. juni 2014 kl. 13:14

bruger man typisk VPN

Og der er ingen fra firmaet, der tager en "firma laptop" med ud i byen ? Og der ikke nogen i fimaet der kommunikere med web serverer over andet end VPN ? Hvis nu en tekniker henter et datablad (u-krypteret) på en "IC XYZ-dobbelt-turbo" så lytter konkurrenten der producere "IC XYZ" til 20% højere pris ikke med?. Selvom han kan tjene 1million kr mere årligt på at fastholde kunden på "IC XYZ"? (Jeg har selv prøvet at få en opringning fra producenten af "IC XYZ" efter at en indkøber bad mig om at undersøge om "IC XYZ-dobbelt-turbo" ikke kunne bruges? Den var jo billigere ?)

13
6. juni 2014 kl. 14:34

Hvad er det du fabler om?

5
6. juni 2014 kl. 12:05

Når man absolut intet ansvar har for om ting breaker i drifts systemer...

Så en oversigt over programmer der benyttede GnuTLS og det inkluderede chrome, er det noget der påvirker chrome på windows ? eller har google fikset det ?

2
6. juni 2014 kl. 11:12

sudo apt-get update; sudo apt-get upgrade

Jeg må se at få fundet ud af hvordan man automatisk og omgående får installeret sikkerhedsopdateringer på en Ubuntu-server uden grafisk grænsesnit.

Edit: sudo dpkg-reconfigure -plow unattended-upgrades (https://help.ubuntu.com/community/AutomaticSecurityUpdates)

14
6. juni 2014 kl. 19:28

sudo apt-get update; sudo apt-get upgrade</p>
<p>Jeg må se at få fundet ud af hvordan man automatisk og omgående får installeret sikkerhedsopdateringer på en Ubuntu-server

Lad mit tilføje at jeg er ansvarlig for at drifte en række systemer der skal være oppe 24-7 og at jeg derfor gennem de sidste 5 år har udført de magiske 'sudo apt-get update; sudo apt-get upgrade' manuelt og tjekket det hele i hoved og r... bagefter, men at der ikke en eneste gang har været problemer på grund af sikkerhedsopdateringer.

Mine serversystemer er primært afhængig af Java, ImageMagick, OpenSSL, Apache, Tomcat, ProFTPd og en række støttebiblioteker.

4
6. juni 2014 kl. 12:02

Når det så er sagt, so er linux/*bsd distroerne atså kvikke til at patche deres pakke. Thumbs up!

3
6. juni 2014 kl. 11:37

  1. freebsd-update fetch install

Done

1
6. juni 2014 kl. 10:38

Det gælder også proprietær systemer - ikke kun på grund af brug af open source. Det er bare lidt mere skjult, hvad der er på færde.. Derfor har alle producenter en tendens til at udsende sikkerhedsopdateringer. Jeg tror at vi skal være glade for det.

17
7. juni 2014 kl. 11:12

Det gælder også proprietær systemer - ikke kun på grund af brug af open source. Det er bare lidt mere skjult, hvad der er på færde.. Derfor har alle producenter en tendens til at udsende sikkerhedsopdateringer.
Jeg tror at vi skal være glade for det.

Men der er ret stor forskel på hvor graverende og hvor mange fejl de enkelte stykker software bliver ramt af, OpenSSL er en alt for stor bunke alt for rodet kodet, med alt for mange underlige hacks. Det er der mange årsager til, men det er meget sikkert at mange fejl kunne være undgået hvis der var blevet ryddet ordentligt op i kodebasen under vejs, det er ikke en tilstand vi bør acceptere.

18
9. juni 2014 kl. 10:51

" Det er der vist ingen der har påstået. Fordelen ved Open Source er at alle har lige adgang til kildekoden. At det så ikke er alle der kigger koden igennem er ikke udviklernes skyld."

Måske ikke direkte med der er derimod mange der har argumenteret at closed Source var usikker med modsat argumentation... Således er det ret meget mere end antydet at open Source er mere sikkert...

Om det er tilfældet er meget svært at afgøre kvantitativt men der har på det seneste været grelle eksempler på at selv om der er mulighed for at se koden er der ingen der gør det og derfor er der et akut behov for sec reviews af koden...

11
6. juni 2014 kl. 13:37

Generelt er der blevet tudet om mange ting mht. open source, men for det meste skal tuderiet tages med en sund mængde skepsis. Jeg bruger Linux som hoved operativ system, jeg vil næsten sige på trods af alle påstandene, fordi jeg kan lide det.