Så kom der endnu en SSL fejl, denne gang i OpenSSL. Se straks http://heartbleed.com/ og specielt
> What versions of the OpenSSL are affected?
> Status of different versions:
> OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
> OpenSSL 1.0.1g is NOT vulnerable
> OpenSSL 1.0.0 branch is NOT vulnerable
> OpenSSL 0.9.8 branch is NOT vulnerable
> Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
Har du en af de sårbare versioner, så gå igang med at opdatere nu - stop med at læse, smut!
Det er en alvorlig sårbarhed som gør at man kan læse hukommelsen, og derved bliver mange andre ting i hukommelsen potentielt opsnappet. Det betyder at du udover at opdatere skal skifte nøgler og det bliver en ordentligt omgang!
Fakta og tips
SSH er ikke sårbar, iflg. Theo de Raadt, se https://twitter.com/openbsdjournal/status/453425522425733120 "Noting also that OpenSSH is not affected"
Der er også binære patches til OpenBSD, hvis man bruger det https://twitter.com/mtierltd/status/453437410035388416
Dit favoritoperativsystem bør have opdateringer, ellers er de ved at blive kompileret.
Pas på under opgradering
Jakob Schlyter som er specialist på blandt andet DNSSEC og DANE gør opmærksom på at man lige skal passe på:
"Don't forget to update your TLSA records (at wait for TTL to expire) before you rekey #heartbleed"
https://twitter.com/jschlyter/status/453438431184834560
Så vær opmærksom og skift nøgler kontrolleret, noter gerne at du skal implementere mere automatik til næste gang.
Kom ind i kampen!
Hvornår har du sidst efterset dine SSL indstillinger?
Det er en udmærket årsag til lige at se på dine indstillinger for SSL/TLS. Du BØR idag i 2014 bruge PFS Perfect Forward Secrecy - det betyder blandt andet at hvis folk HAR fået fat på dine private nøgler er tidligere kommunikation stadig sikker. Jeg anbefaler at du tester dine web servere jævnligt med https://www.ssllabs.com/ssltest/
Jeg vil måske opdatere lidt i løbet af dagen, men har også selv en udfordring med at lokalisere sårbare maskiner og gå det hele efter :-( Hvis du er utålmodig så søg på Twitter eller se hvad jeg har retweetet hidtil.
Proof of Concept
Der er allerede flere testsider og værktøjer ude til at teste for dette - udover at du kan logge ind på serveren og checke OpenSSL versionen.
NB: check selv hvad du stoler på! Jeg har ikke prøvet dem allesammen, ej heller læst dem nøje!
- https://github.com/FiloSottile/Heartbleed tool i Go og site http://filippo.io/Heartbleed/
- https://github.com/titanous/heartbleeder tool i Go
- http://s3.jspenguin.org/ssltest.py PoC
- https://gist.github.com/takeshixx/10107280 test tool med STARTTLS support
- http://possible.lv/tools/hb/ test site
- https://twitter.com/richinseattle/status/453717235379355649 Practical Heartbleed attack against session keys links til, https://www.mattslifebytes.com/?p=533 og "Fully automated here " https://www.michael-p-davis.com/using-heartbleed-for-hijacking-user-sessions/
- Metasploit er også opdateret på master repo https://twitter.com/firefart/status/453758091658792960 https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/ssl/openssl_heartbleed.rb
Gætter på at sites som https://www.ssllabs.com/ssltest/ også hurtigt får inkluderet en test af det - de tilføjede igår aftes.
Analyser og andet
- http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html? analyse af problemet i koden
- http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata/ IDS regler Detecting OpenSSL Heartbleed with Suricata
- http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ blog om emnet
- https://www.getpantheon.com/heartbleed-fix god beskrivelse af hvordan man kan fixe hurtigere hvis man har automatiseret infrastruktur
- "#nse script ssl-heartbleed.nse committed to #nmap as rev 32798. " du burde kunne finde Nmap og scanne, har ikke selv prøvet den endnu
- You can now use Masscan to scan the whole internet for the Hearbleed vulnerability in under 6 minutes https://twitter.com/jedisct1/status/453679529710460928 og https://github.com/robertdavidgraham/masscan/commit/23497c448b0a1c7058e8443e5202e7bffcab4795
Konklusionen på igår er, så vidt jeg kan se:
- 100.000vis af servere er sårbare overfor dette, se blandt andet listerne på https://github.com/musalbas/heartbleed-masstest
- Store sites som Yahoo.com, Flickr, FBI osv. er ramt
- Har du haft en server som var sårbar bør du skifte private key på SSL og få et nyt certifikat, Jeg køber gerne hos Larsen Data fordi de har konkurrencedygtige priser https://www.digitaltcertifikat.dk/ potentielt sparer du 10.000vis af kroner! NB: med DANE implementeret ville det kun koste dine egne ressourcer at skifte certs!
- I Norge er der aktiv scanning igang og både HTTPS sites og mail servere har været ramt, dagens stat siger (tweet ca kl 8) "I've now completed checking STARTTLS mail servers: 11% still vulnerable." https://twitter.com/einaros/status/453773598172663808 . Jeg er ikke bekendt med danskere der pt. scanner, men hvis nogen har lyst, så kontakt mig off-list.
Good stuff
- Jeg havde et par servere som ikke havde nyeste OpenSSL - en del ældre men stadig supporterede distributioner
- OpenSSH er ikke ramt - men hvad hvis den var? Læs gerne Theos email https://www.mail-archive.com/tech@openbsd.org/msg17412.html# og støt Open Source med penge, penge som kan bruges til at betale audit. Jeg donerer til OpenBSD, OpenSSH og har tidligere opsporet software som Sudo og betalt til dem.
Donate FFS!
Det er helt tydeligt at Open Software ikke på magisk vis er sikkert, og det er ikke alle der har evnerne til at finde softwarefejl. Hvis du ligesom mig bruger kritiske værktøjer som OpenSSL, OpenSSH, OpenBSD, Linux mv. så synes jeg du skal finde lidt mønter og smide efter projekterne.
- http://www.sudo.ws/sudo/sudo.html der er en donate knap. Jeg bruger sudo på hveranden kommando jeg udfører i vores produktion, så visse dage er det vel flere 100 gange jeg bruger sudo - på en dag
- OpenSSH/OpenBSD - uanset om du synes Theo er en drama queen så er det fakta at OpenBSD projektet er ophav til mange af sikkerhedsteknologier som vi bruger idag.
Linux folk, kom gerne med PaX og andre teknologier og links som I synes er relevante her.
På Twitter siges det at heartbleed har resulteret i $15k donation til @freedomofpress, wauw!
> This is amazing, @neelmehta, the Google engineer who discovered #heartbleed gave his $15k bounty to @FreedomOfPress. Hats off.
https://twitter.com/fredericjacobs/status/453676701973630976
Opdateret: 9. april 08:34
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
