Metal.it Forum

Oh yeah! Hanno beccato un dettaglio implementativo del cazzo che apre tutto!

OpenSSL "bleeds" 64K a botta, mica poco; però non e' detto che la memoria letta sia relativa ad OpenSSL (e' la memoria del processo che linka OpenSSL che viene letta).

In generale OpenSSL viene incorporato in Web-server, per cui tutto quello che passa per Apache o Nginx puo' essere letto... per la maggior parte roba inutile (codice, HTML, immagini e JavaScript che non contiene nulla di sensibile), ma anche cokkies e password' !

In soldoni se nel momento in cui stai monitorando un sito che usa openSSL tramite questo baco qualcuno si logga, hai possibilità di prendergli nome utente e password. Attenzione, quindi, ai siti di compravendita online che usano OpenSSL (tipo glistockisti.it - che tra l'altro ancora non è aggiornato, per cui se volete divertirci a replicare l'attacco e vedere se ottenete qualche password potete)

Il bug è noto da tempo, ma essendo stato scoperto dalla comunità scientifica era stato comunicato solo agli addetti ai lavori, per dare il tempo di far uscire una patch. Ovviamente il sito che non aggiorna OpenSSL è vulnerabile.

La cosa figa è che il primo commettee al bug, se andate a vedere il log, l'ha fatto un tedesco sbronzo la notte di capodanno, alle 11 e 40... cioè te 20 min prima dell 'anno nuovo stai davanti al PC a smanettare... fatte na vita porca miseria!!

Sairus ma che è, una supercazzola?

The Philosopher ha scritto:Sairus ma che è, una supercazzola?

Buhahaha hai ragione ho scritto un pò a cazzo e usando qualche termine tecnico... rifraso:

Praticamente ci sono alcuni server (che ospitano siti) che per la sicurezza usano questo protocollo (OpenSSL). E' stato trovato un bug per cui i Server che non hanno aggiornato il protocollo con una patch sono attaccabili. In soldoni un attaccante si mette in finestra e guarda il traffico che avviene tra gli utenti e un sito. Se, ad esempio, il sito è di compravendita (tipo glistockisti.it, che usa OpenSSL e ancora non ha la patch attiva, almeno fino a ieri), nel momento in cui si inseriscono user e pass per fare il login, c'è possibilità che l'attaccante li veda, e possa operare nel sito al tuo posto.

meglio?

una vignetta un pò nerd ma molto esemplificativa di come "si sfrutta" questo bug

http://imgs.xkcd.com/comics/heartbleed_explanation.png

Sairus ha scritto:una vignetta un pò nerd ma molto esemplificativa di come "si sfrutta" questo bug
http://imgs.xkcd.com/comics/heartbleed_explanation.png

Bellissima!

Sairus ha scritto:Oh yeah! Hanno beccato un dettaglio implementativo del cazzo che apre tutto!

OpenSSL "bleeds" 64K a botta, mica poco; però non e' detto che la memoria letta sia relativa ad OpenSSL (e' la memoria del processo che linka OpenSSL che viene letta).

In generale OpenSSL viene incorporato in Web-server, per cui tutto quello che passa per Apache o Nginx puo' essere letto... per la maggior parte roba inutile (codice, HTML, immagini e JavaScript che non contiene nulla di sensibile), ma anche cokkies e password' !

In soldoni se nel momento in cui stai monitorando un sito che usa openSSL tramite questo baco qualcuno si logga, hai possibilità di prendergli nome utente e password. Attenzione, quindi, ai siti di compravendita online che usano OpenSSL (tipo glistockisti.it - che tra l'altro ancora non è aggiornato, per cui se volete divertirci a replicare l'attacco e vedere se ottenete qualche password potete)

Il bug è noto da tempo, ma essendo stato scoperto dalla comunità scientifica era stato comunicato solo agli addetti ai lavori, per dare il tempo di far uscire una patch. Ovviamente il sito che non aggiorna OpenSSL è vulnerabile.

La cosa figa è che il primo commettee al bug, se andate a vedere il log, l'ha fatto un tedesco sbronzo la notte di capodanno, alle 11 e 40... cioè te 20 min prima dell 'anno nuovo stai davanti al PC a smanettare... fatte na vita porca miseria!!

così mi fai arrapare Sairo

Nihilist ha scritto:
così mi fai arrapare Sairo

Nerdismo sovrastante