Eto, ni nedelju dana nakon otkrića najvećeg baga u istoriji računarstva, forum koji ponosno nosi ime elitesecurity setio se da pokrene temu o njemu. :/

Da je bug gadan, jeste.

Sa jedne strane, bug postoji zbog ocigledne nekorektne implementacije standarda koja je sadrzala ogromnu rupcagu. Na zalost, los kod je moguc svuda - kao sto se vidi, i u paketima vezanim za sigurnost. I ljudi sa decenijama iskustva imaju momente kada koncentracija popusti.

Sa druge strane, meni se licno ne svidja feature-creep Internet protokola. Pogotovu ne kriticnih protokola kao sto je TLS.

Ceo ovaj bug postoji zbog "heartbeat" feature-a. Iskreno, pitam se da li je zaista bilo potrebno imati ovaj feature u TLS protokolu, tj. da to nije moglo biti reseno na nekom drugom nivou.

Sto se vise povecava kompleksnost protokola to, takodje, povecava sansu da imlementacija tog protokola ima rupe.

Ja bih vise voleo da osnovni protokoli sadrze minimalnu kolicinu feature-a neophodnu za osnovno funkcionisanje i da se sve ostalo gradi na nivoima iznad. Mozda gresim posto nisam preterano upucen u TLS, ali feature kao sto je "heartbeat" mi opako lici na feature creep tj. na budzenje stvari samo zato da bi neko imao posao.



Tja, ovo je mozda najveci bag sto se medijske pompe tice.

Malo je teze utvrditi da je u pitanju najveci bag u istoriji covecanstva. Mislim da bi tu konkurencija bila gadna :-)

Svako malo se pojavi po neki "nezapamćeni bag u istoriji računarstva". Gadan jeste, ali šta ćeš. Život je takav.

Sad je stvarno "Open" hehe ;)

Btw, Akamai se upravo posipa pepelom posto je njihov inhouse "fix" pokazan kao... pa ne bas fix :)

http://www.theregister.co.uk/2014/04/15/hearbleed_triage_snafus/

Akamai je u pocetku zamenio kod za alociranje memorije sa nekim svojim "sigurnim" kodom. Posle objave tog koda ljudi su nasli flaw-ove.

http://lekkertech.net/akamai.txt

Akamai je krenuo u proces zamene SSL sertifikata za svoje klijente.

Pouka: ko nije crypto ekspert ne bi trebalo da pipa kriticni kod vezan za crypto sigurnost. Cak i kada neko misli da je "resio" problem to moze biti netacno, kao sto se vidi na Akamai primeru. Iznenadjujuce je da firma tipa Akamai-a pravi takve greske.

The heartbleed bug explained by a web comic
http://www.digitaltrends.com/c...explained-by-a-web-comic-xkcd/

Pa ne znam koji je to ozbiljniji bezbednosni propust bio eto od osnivanja ES-a naovamo...

S jedne strane priča o jakim fakultetima i programima, sort algoritmi, ku*ci-palci, s druge strane ovako ozbiljna, i sa stručne strane atraktivna stvar prolazi gotovo nezapaženo. Meni je to baš simptomatično za Srbiju. :(

Meni je šampionski bag onaj iz ekdela 2007, koji nije znao da pomnoži dva broja. Pritom je množenje operacija ugrađena u sve programske jezike osim u breinfak. Biće da su eksel pisali u njemu.

@jablan,

O kakvoj konkretnoj ozbiljnosti se prica?

Meni padaju na pamet 3 stvari:

1. Ozbiljnost merena brojem potencijalnih zrtava
2. Ozbiljnost merena privilegijama koje napadac moze dobiti
3. Ozbiljnost merena stetom

Ako pricamo o #1, bilo je do sada vec brdo exploit-a koji su kacili ogromnu kolicinu servera

Ako pricamo o #2, napadac ne dobija automatski privilegije / podatke, to nije garantovano i zavisi od "srece" napadaca da nabode korisne stvari u OpenSSL heap-u. Postoje exploiti koji garantovano kupe sve sto treba.

Ako pricamo o #3, jos je rano za komparaciju posto podaci jos nisu dostupni.

Najozbiljniji je u smislu da omogucava ranjivost toliko bitnog protokola kakav je TLS.

Bas zbog ovakvih stvari security eksperti naglasaju bitnost postojanja vise slojeva zastite, u slucaju da jedan nivo zakaze.

Ja sam daleko od elitnog security eksperta, ali se ne sećam da je bilo ranjivosti koja je kačila veću količinu servera, odnosno, posredno, broj korisnika (bukvalno SVI MI ovde smo moguće žrtve jer koristimo https non-stop). A posebno imajući u vidu da HB postoji već dve godine, i ne zahteva neku egzotičnu kombinaciju softvera, već se nalazio u svakom openssl libu. Što se privilegija tiče, dokazano je nakon manje od 12 sati CloudFlare izazova da napadač lako može pokupiti privatni ključ https servera. A da ne govorimo o "tričarijama" koje se nalaze po klijentskim HTTP requestovima poput ličnih podataka, šifara, brojeva kreditnih kartica itd... :)

Elite...what?

Sad openssl ispade kriv što je popularan.

_{[Ovu poruku je menjao Nedeljko dana 16.04.2014. u 11:38 GMT+1]}

Ni ja nisam security expert, samo laicki gledam stvar, tako da mozda gresim.

Ali samo vidim nekoliko stvari zbog kojih sumnjam da se za sada moze tvrditi da je ovo najozbiljniji bag u istoriji covecanstva:

1. Ovaj bag kaci samo mali broj revizija OpenSSL biblioteke. Na primer, gomila embedded hardvera po ruterima i sl. koristi matore verzije i ne update-uju se cesto. Ta osobina (dug period izmedju update-a) sama po sebi nije dobra stvar, ali je u ovom slucaju ispala korisna. Primera radi, moj internet router koristi verziju 0.98. Sumnjam da ljudi cesto update-uju svoje rutere.

2. Cak i ako server ima OpenSSL biblioteku koja je zakacena propustom to samo po sebi ne garantuje uspeh u fishing ekspediciji za podacima. Uspeh zavisi od toga kako se memorija koristi i, koliko mi je poznato, ljudima koji su napravili proof-of-concept je bilo potrebno dosta pokusaja da izvuku nesto korisno.

3. Mozda zvuci smesno, ali medijski hype vezan za ovaj propust ce mozda uciniti njegovu efikasnost manjom posto je mnogo veci broj ljudi obavesten. Mislim, kad u familiji imam slucaje ne-IT ljudi koji pitaju "sta da radimo, culi smo za neki veliki problem, da li smo sigurni?" mislim da to dosta govori o tome koliko je ovaj bug poznat. Ovaj bug je izazvao trku za patch-ovanjem softvera i kod ljudi/organizacija koji normalno ne bi bili tako brzi. IMHO, mozda ce na kraju broj ranjivih sistema biti manji nego u slucaju drugih bug-ova koji nisu dobili medijsku paznju.

Nemoj pogresno da me shvatis: #2 je vrlo ozbiljna stvar, cak i ako je uspeh daleko manjii od 100% - ali bi bilo netacno reci da ovaj propust automatski znaci pokradene sertifikate i sl...

--

Zbog ove 2 stvari gore, mislim da je u ovom momentu upitno nazivati ovaj bag najvecim u istoriji covecanstva.

Bar za sada. Mozda ce ispasti na kraju, ali u ovom momentu mislim jos da nemamo podatke koji bi to potvrdili.

Mislim da ce biti potrebno bar nekoliko meseci da se vidi koliko je uspesno iskoriscen sto je, IMHO, faktor koji diktira "ozbiljnost" nekog problema.

Uzgred, konkurencija je ipak gusta:

- Conficker
- Nimda
- MS Blaster
- Adobe PDF exploit-i
- Rupe u Oracle JVM-u

Uzgred, koga zanima istorijat propusta u softveru koji su napravili dovoljnu stetu za kvalifikaciju u "hall of fame"

http://www.zdnet.com/before-he...lnerabilities-ever-7000028347/
http://www.computerworld.com/s...ures_11_infamous_software_bugs
http://archive.wired.com/softw...ws/2005/11/69355?currentPage=2

Haha, MS Blaster :)


The Remote Procedure Call (RPC) service terminated unexpectedly

Ne bih ja baš poredio bug u openssl stacku sa Windows virusima (mada u krajnjoj liniji sve možeš da svedeš na neki materijalni trošak ako gajiš takve sklonosti). Ja isto ne mogu sa sigurnošću da tvrdim da je u pitanju najozbiljniji bug, samo da verujem u to dok neko ne navede neki ozbiljniji. U svakom slučaju, mislim da je dobro što smo ovde pokrenuli priču, makar i sa nedelju dana zakašnjenja.

Ono što meni lično najviše smeta je pljuvanje po MS-u i Apple-u iz sličnih razloga... A onda Kabooom... Ispade da ni open source nije imun na idiotske gaf-ove...

Niko nije rekao da je FOSS imun na sigurnosne propuste. Doduse, ovo je bas rupa za koju je bilo ocekivano da primeti neko od mnogobrojnih clanova zajednice ili drugih security timova...
Da li je FOSS i dalje bolji model razvoja od Eplovog ili M$-ovog skorupaskog? Definitivno da jeste jer 'jedna lasta ne cini prolece'.

Primecujem da svi moguci i nemoguci vendori kako hardverskih i softverskih resenja salju mejlove korisnicima kako bi smirli situaciju - ili kazu da proveravaju sve svoje proizvode, ili kazu da koriste matore verzije koje ni nemaju heartbeat 'feature'. Dakle velika prasina se digla - sa razlogom.

Da li ste imali (ili jos uvek imate?!) servere i aplikacije koje su pogodjene ovim 0day exploit-om? Kod mene je bilo 1/6 + 8 virtuelnih ali koji na srecu ne izlaze van LAN-a.

Test ranjivosti mozete probati na: https://filippo.io/Heartbleed

Premda to nije dobar savet jer ko zna sta gosn Filippo Valsorda moze da loguje i zloupotrebi...

Bio je juče intervju (AMA) sa njim na Redditu, dečko ima 19 godina i sastavio je taj test u Golangu za par sati. :) (Hehe, mogu misliti na šta bi ličili naslovi po domaćim kuririma da je momak kojim slučajem Srbin...) Pitali ga između ostalog i jel loguje rezultate...

Inače, ne morate koristiti njegov sajt za proveru, ima i standalone skriptica koje to rade...

Nope, zato i pitah o cemu se tacno radi:

1. O kolicini izgubljene love (materijalno)
2. O broju inficiranih servera (cisto numericki)
3. O relativnoj opasnosti bug-a (teorijski u smislu uspesnosti kompromitovanja podataka)

Za #1 mislim da je jos rano pricati o tome... O #2 isto tako.

#3, ovo je, IMHO, zanimljivo - koliki je procenat uspesnosti kompromitovanja privatnih podataka.

E sad, na osnovu onoga sto sam procitao, bar za sada mi ne izgleda da je ta cifra ni iz daleka blizu 100% posto je neophodno da se u heap-u nadje nesto korisno i da napadac "nabode" taj deo heap-a. Daleko bilo da je ovo bezopasna stvar, vrlo je ozbiljna - ali, kao sto rekoh, bilo je exploit-a koji su kompromitovali servere 100%, bez ikakve sanse za spas u vidu organizacije podataka u memoriji.

Mozda se debelo varam, ali dok ne budu dostupni malo detaljniji podaci o ranjivosti vecih servera ne bih smeo da se kladim na to da je ovo najveci bug u istoriji covecanstva.

Bar jos ne.

O kako nije prijatelju... Pratim malo više lista i najžešći pobornici FOSS-a su bili najgrlatiji u ismijavanju skorašnjih Apple propusta, rtf propusta na Windows-u, ... Onda su malo zaćutali nakon GnuTLS-a a posebno sada nakon OpenSSL-a

Smijanje tuđoj nesreći je bijedno pošto se kao bumerang vrati...

Inače veliki sam pobornik FOSS-a sa nekih 400-500 USD donacija na godišnjem nivou... Ne govorim ovo da bi se hvalio nego čisto da se zna na čijoj sam strani

Takođe da dodam još da sam zadnjih dana čitao par prepiski sa pojedinim developerima ... Nevjerovatno koliko su vođe nekih projekata tvrdoglavi i sujetni ljudi ... Lik koji je napisao OpenChart recimo...

Većina propusta se i nasluti kroz razne revizije samo neki budu toliko tvrdoglavi da to nije normalno. Lik koji je napisao Varnish je detaljno analizirao OpenSSL kod i naveo šta valja a šta ne. itd itd...

Evo primjer kada je Howard Chu analizirao GnuTLS http://www.openldap.org/lists/openldap-devel/200802/msg00072.html

6 punih godina je prošlo dok se ovo nije zakrpilo...

Fanatizma raznih religija ima uvek, ali se postavlja pitanje koliko su relevantni/uticajni.

Evo još jedan primjer tupavosti na kvadrat

http://blog.visionsource.org/2...8/opencart-csrf-vulnerability/

Zvali bi ga u Vladu
(i odmah bi postao novi ministar za informaciono drustvo ili kako se to sad vec zove... :P )



_{[Ovu poruku je menjao Mister Big Time dana 17.04.2014. u 00:01 GMT+1]}

Hesus...

Dimke, što pokušavaš da umanjiš značaj ovog užasa, to mi ne ide u glavu.

Pa svako ko ima OpenVPN, a pokraj SSLa nije stavio i TLS iznad ima da se hvata za glavu, da updatuje softver, ako je to moguće i da izdaje ponovo sve sertifikate. Sva sreća pa kod mene ima TLS iznad, ali u mnogim rešenjima to nije implementirano.

Hm, napisah vec nekoliko puta: moj stav je da je u ovom momentu rano za tvrdnje da je ovo najveci bug u istoriji covecanstva, zbog nedostatka podataka.

Ne vidim kako se to moze tumaciti kao "umanjivanje znacaja".

Bug je izuzetno ozbiljan i opasan, bilo bi besmisleno to dovoditi u pitanje. Ali, to niko i ne dovodi u pitanje na ovoj temi koliko vidim.

Ako je verovati novinarima :D , it's a dooms day!!! Run for the hills yo'll. :) "Heartbleed is about to get worse, and it will slow the Internet to a crawl"
http://www.washingtonpost.com/blogs/the-switch/wp/2014/04/14/heartbleed-is-about-to-get-worse-and-it-will-slow-the-internet-to-a-crawl/

...a ima i sampiona...
http://www.washingtonpost.com/blogs/the-switch/wp/2014/04/15/this-reader-mocked-heartbleed-by-posting-his-passwords-online-youll-never-guess-what-happened-next/

Top vendors join to bolster OpenSSL, other open source projects, after Heartbleed
Cisco, Dell, Facebook, IBM, Intel, Google and Microsoft are among those backing the initiative via the Linux Foundation




http://www.computerworld.com/s...urce_projects_after_Heartbleed

A naročito MS bere brigu za kvalitet FOSS-a- Biće da je ovo čista samopromocija. Oni su (kao) glupi, pa mi moramo da intervenišemo.

Mislim da je MS malo i "dao vetra u leđa" celokupnom PR-u oko Heartbleed-a; jbg, njihovo skrnjdekalo nije imalo problem - a sad bi mogli i malo da se okoriste u celoj priči

Sto da ne daju vetar u ledja kada im se ukazala prilika.

FOSS advokati isto tako koriste svaku priliku i sigurnosni propust u MSFT softveru da reklamiraju sopstveni skrndelj. Sada se samo (po N-ti put) ispostavilo da je FOSS softver identicno osetljiv na "sampionske" bug-ove kao i svaki drugi softver u sirokoj upotrebi



Pa uzevsi u obzir da je Microsoft korporacija, ciji je glavni cilj stvaranje prihoda svojim vlasnicima, ne vidim nista iznenadjujuce u tome - otprilike kao konstatacija da je papa katolik. Reklamiranje je u sluzbi stvaranja tog prihoda pa je potpuno ocekivano da MSFT, bas kao i svaka druga kompanija, koristi priliku kao sto je ova.

A prilika je, da se ne lazemo, odlicna.

Pa, da. Baš tako.

Samo što se ne bih složio da su baš sva preduzeća "Engulf and Devour - Our Fingers are in Everything" (ko je gledao fantastični film "Silent Movie" od Mel Bruksa, zna o čemu se radi). Neki rade mimo zakona i zataškavaju tragove za sobom, neki se drže zakonskog minimuma, a neki smatraju da nije dovoljno držati slovo zakona, već duh zakona, tj. da treba poslovati konstruktivno (ali, ne onako kako sirovine misle - bacanjem para unaokolo).

Apsolutno se slažem: ne "odlična", nego vanserijska.

Prikazivati sebe boljim od konkurencije direktno ili indirektno nije nista protivzakonito. Vrlo daleko od toga i spada u apsolutno normalnu praksu.

Ne bih da branim MSFT uopste, njihov softver je pun s*anja i njihova strategija u poslednjih nekoliko godina se moze najbolje opisati sa recju: Titanik, ali u ovom konkretnom slucaju ne vidim nista protivzakonito ili cak lose u tome sto rade.

Pritisak od konkurencije motivise proizvodjace da budu bolji. Marketing gde konkurencija hoce da "pomogne" nije stran nikome od igraca u toj igri.

U ovom slučaju nije ništa loše. Međutim, ja sam kritikovao tvoj stav kao opšti princip.