Slo-Tech - Leta 1998 je Daniel Bleichenbacher v šifrirnem protokolu SSL (predhodniku TLS) odkril ranljivost, ki je omogočala prebiranje z RSA šifriranih sporočil celo brez zasebnega ključa. Iz sporočil o napakah, ki so jih vračali strežniki, je bilo mogoče s primerno izbranimi poizkusi izluščiti podatke za dešifriranje komunikacije. Problem so tedaj rešili zelo napol, in sicer je RSA ostal enako luknjičav, le sporočila o napakah so porezali. Zelo presenetljivo pa je, da so leta 2017 spletne strani, ki uporabljajo TLS, še vedno množično ranljive na zelo podobno napako.
Napad, ki so ga raziskovalci poimenovali ROBOT (Return Of Bleichenbacher's Oracle Threat) in opisali v znanstvenem članku, je mogoč, ker je ranljivost prisotna v številnih implementacijah algoritmov. V raziskavi so odkrili osem različnih proizvajalcev in odprtokodnih projektov, ki so imeli v kodi ranljivost, ki je odpirala pot za ROBOT. Ob tem je raziskovalce najbolj presenetilo, da je tako preprosta ranljivost, ki so jo odkrili hitro, ostala tako dolgo neopažena. Res pa je, da je obvod, ki so jo leta 1998 pripravili za ranljivost, zelo zapleten in zato ni čudno, da je marsikod implementiran površno in nezadostno. Posledično je prizadetih 27 izmed prvih sto najpopularnejših spletnih strani, med njimi tudi Facebook in Paypal. Med milijonom najbolj popularnih strani je prevalenca 2,8 odstotka. Mimogrede, ranljivost je v celoti problem strežnikov, zato odjemalci ne morejo storiti ničesar.
V praksi to pomeni, da je komunikacija s strežniki, ki podpirajo le RSA, tvegana, saj lahko napadalec posname promet in ga kasneje analizira. Če se uporablja poudarjena zaupnost (forward secrecy), je napad odvisen od tega, kako hitro lahko napadalec analiza promet. Prizadeti so programi F5, Citrixa in Cisca, pa tudi na primer WolfSSL, Java/JSSE in MatrixSSL. Najenostavnejša rešitev je onemogočenje uporabe RSA, saj elipitične krivulje niso prizadete.
Novice » Varnost » V TLS odkrita 19 let stara ranljivost
WhiteAngel ::
veso266 ::
sej HTTPS se itak preveč uporablja (spletne banke, mail providerji, komunikacijska omrežja omrežja (fb, twitter) naj kar uporabljajo HTTPS, ampak zakaj mora HTTPS uporabljati naprimer CNN https://edition.cnn.com/ ali pa https://zavodpsimed.si/ (pa kaj je narobe če heker z MiTm prestreže te novice (ali pa uporabniku prikaže lažne, saj če uporabnik ne rabi vnašati osebnih podatkov (mail, geslo, username, itd.) potem je vseeno če je povezava šifrirana ali pa ne
najbolj nerazumljivo pa mi je zakaj HTTPS uporablja naš predragi Telekom https://apps.siol.tv/ (SIOL Box se nažalost poveže na https varianto tako da MiTM odpade (najhuje pa je da niti svojega certa v box ne morem dat ker privatnih ključev za SSH dostop nimam)
najbolj nerazumljivo pa mi je zakaj HTTPS uporablja naš predragi Telekom https://apps.siol.tv/ (SIOL Box se nažalost poveže na https varianto tako da MiTM odpade (najhuje pa je da niti svojega certa v box ne morem dat ker privatnih ključev za SSH dostop nimam)
Why do you need an e signature if everyone can delete it
GupeM ::
ampak zakaj mora HTTPS uporabljati naprimer CNN https://edition.cnn.com/ ali pa https://zavodpsimed.si/ (pa kaj je narobe če heker z MiTm prestreže te novice (ali pa uporabniku prikaže lažne, saj če uporabnik ne rabi vnašati osebnih podatkov (mail, geslo, username, itd.) potem je vseeno če je povezava šifrirana ali pa ne
Zato, da si lahko prepričan, da so podatki res od te spletne strani. Predpostavi, da delaš diplomsko nalogo in ne neki spletni strani dobiš nek podatek, recimo, da na Hrvaškem živi 6 milijonov ljudi. V diplomo daš ta podatek, skupaj z virom. Ko nekdo preveri vir, pa dobi podatek, da na Hrvaškem v resnici živi 4 milijone ljudi. Tebi je samo nekdo z MitM napadom podal napačno informacijo in zato si za diplomo dobil oceno 5.
poweroff ::
Ali pa preprosto greš na CNN, heker z MITM napadom pa ti streže malware.
HTTPS se še premalo uporablja.
WhiteAngel, verjetno imam jaz med najbolje skonfiguriranimi spletnimi strežniki v Sloveniji.
HTTPS se še premalo uporablja.
WhiteAngel, verjetno imam jaz med najbolje skonfiguriranimi spletnimi strežniki v Sloveniji.
sudo poweroff
SeMiNeSanja ::
Ali pa preprosto greš na CNN, heker z MITM napadom pa ti streže malware.
HTTPS se še premalo uporablja.
WhiteAngel, verjetno imam jaz med najbolje skonfiguriranimi spletnimi strežniki v Sloveniji.
Kot da ti preko https ne morejo postreči malware?
Še lažje ti ga! Vsaj večini, ki ne uporablja SSL dekripcije, da bi z AV in podobnimi rešitvami preverjali promet, predenj ta prispe do uporabnikovega računalnika.
pegasus ::
Komentarji v tej temi mi pravijo, da smo že zreli za vladne backdoore v enkripciji ali celo na prepoved enkripcije, ker itak prinaša samo zgago in nič koristnega
poweroff ::
SimplyMiha je izjavil:
Raje se ne bahaj preveč, da ne bi slučajno kdo tega vzel kot izziv.
V bistvu na svoji spletni strani strežem izključno statiko. PHP in podobni skriptni jeziki so onemogočeni. SQL-a ni gor. Vse gre preko HTTPS, nastavljene imam security headerse, itd.
Ne bom rekel, da sem 100% varen, ker seveda nisem, je pa opisano dobra osnova za to, da sem precej bolj varen od sosedov.
sudo poweroff
SeMiNeSanja ::
Bo res treba kak bounty razpisat (a zberemo za gajbo piva?), da mu nekdo malo polepša web stran :)
blackbfm ::
SimplyMiha je izjavil:
Raje se ne bahaj preveč, da ne bi slučajno kdo tega vzel kot izziv.
V bistvu na svoji spletni strani strežem izključno statiko. PHP in podobni skriptni jeziki so onemogočeni. SQL-a ni gor. Vse gre preko HTTPS, nastavljene imam security headerse, itd.
Ne bom rekel, da sem 100% varen, ker seveda nisem, je pa opisano dobra osnova za to, da sem precej bolj varen od sosedov.
Torej imas en neuporaben staticen page.. To je pa res tezko zavarovat, se moras ultra fajn potrudit. Dobiš priznanje za najbol secure server v sloveniji everr
Zgodovina sprememb…
- spremenilo: blackbfm ()
Miha 333 ::
Gre tudi za zasebnost, da ne more ISP ali kdorkoli ki ima dostop do linije spremljat, kaj točno pretakaš. Pri https se vidi samo host, vse ostalo je šifrirano, vključno z naslovi podstrani.
jype ::
Pri https se vidi samo host, vse ostalo je šifrirano, vključno z naslovi podstrani.
Zgodovina sprememb…
- zavaroval slike: Mavrik ()
veso266 ::
ja a ni host dovolj da nekdo dobi idejo kaj počneš na internetu
primer: greš na pornhub in ISP ve da gledaš porniče, edino ne ve katere porniče rad gledaš
ISP pa itak lahko svoj certifikat pri tebi naloži pol pa lahko po milji volji dešifrira tvojo komunikacijo, sam mal se pejte sprehodit po Certifikat Storu v Windowsih pa pod Trusted Root Certificate poglejte kaj vse se začne s Telekom (Deutsche Telekom ima recimo svoj certifikat že prednaložen (verjetno je za uporabo njihovih spletnih strani, ampak oni imajo privatni ključ in z njim lahko tudi podatke dešifrirajo)
nepravim da HTTPS ni potreben, pravim samo da se uporablja na malo preveč (ne rabi ga vsaka stran, ki oglašuje Psihoterapijo ali pa popravilo strehe ali pa stran ki streže aktualne novice imet (ja heker bi potem z MiTM lahko stregel malware (kdo bi bil tako neumen da bi zlovdal iz strani za novice nek program, če je pa naloga strani z novicami, da streže novice in ne programov (lahko se sicer zgodi drive-by-download (ampak to bi pa moral itak AV blokirat), če bi pa heker tako rad stregel malware pa itak lahko naredi HTTP Downgrade Attack
primer: greš na pornhub in ISP ve da gledaš porniče, edino ne ve katere porniče rad gledaš
ISP pa itak lahko svoj certifikat pri tebi naloži pol pa lahko po milji volji dešifrira tvojo komunikacijo, sam mal se pejte sprehodit po Certifikat Storu v Windowsih pa pod Trusted Root Certificate poglejte kaj vse se začne s Telekom (Deutsche Telekom ima recimo svoj certifikat že prednaložen (verjetno je za uporabo njihovih spletnih strani, ampak oni imajo privatni ključ in z njim lahko tudi podatke dešifrirajo)
nepravim da HTTPS ni potreben, pravim samo da se uporablja na malo preveč (ne rabi ga vsaka stran, ki oglašuje Psihoterapijo ali pa popravilo strehe ali pa stran ki streže aktualne novice imet (ja heker bi potem z MiTM lahko stregel malware (kdo bi bil tako neumen da bi zlovdal iz strani za novice nek program, če je pa naloga strani z novicami, da streže novice in ne programov (lahko se sicer zgodi drive-by-download (ampak to bi pa moral itak AV blokirat), če bi pa heker tako rad stregel malware pa itak lahko naredi HTTP Downgrade Attack
Why do you need an e signature if everyone can delete it
poweroff ::
Torej imas en neuporaben staticen page.. To je pa res tezko zavarovat, se moras ultra fajn potrudit. Dobiš priznanje za najbol secure server v sloveniji everr
Sploh ne. Uporabljam namreč static generator. Napišem nov prispevek, pritisnem na tipko in static generator zbuilda novo verzijo spletne strani in jo pushne na server.
Podobno kot Wordpress, samo brez njihovega insecure sra**a.
sudo poweroff
blackbfm ::
Torej imas en neuporaben staticen page.. To je pa res tezko zavarovat, se moras ultra fajn potrudit. Dobiš priznanje za najbol secure server v sloveniji everr
Sploh ne. Uporabljam namreč static generator. Napišem nov prispevek, pritisnem na tipko in static generator zbuilda novo verzijo spletne strani in jo pushne na server.
Podobno kot Wordpress, samo brez njihovega insecure sra**a.
torej, wp je dovolj dobra platforma da poganja prek 3 miljone trgovin.. za objavljanje prispevkov pa je "insecure"
pegasus ::
Drži. Če hočeš mirno spanje, je wp ena od stvari, ki se jim na daleč izogneš. Če trgovci uživajo v nemirnem spanju, jim pri tem ne morem(o) pomagati.
Matwic ::
Dejansko je. Poganja 3 miljone trgovin... očitno 3 miljone insecure trgovin. Še bolj problematično je, ker wordpress ni samo wordpress ampak je poleg vedno še na desetine pluginom, ki so vprašljivo napisani.
Mr.B ::
ja a ni host dovolj da nekdo dobi idejo kaj počneš na internetu
primer: greš na pornhub in ISP ve da gledaš porniče, edino ne ve katere porniče rad gledaš
ISP pa itak lahko svoj certifikat pri tebi naloži pol pa lahko po milji volji dešifrira tvojo komunikacijo, sam mal se pejte sprehodit po Certifikat Storu v Windowsih pa pod Trusted Root Certificate poglejte kaj vse se začne s Telekom (Deutsche Telekom ima recimo svoj certifikat že prednaložen (verjetno je za uporabo njihovih spletnih strani, ampak oni imajo privatni ključ in z njim lahko tudi podatke dešifrirajo)
nepravim da HTTPS ni potreben, pravim samo da se uporablja na malo preveč (ne rabi ga vsaka stran, ki oglašuje Psihoterapijo ali pa popravilo strehe ali pa stran ki streže aktualne novice imet (ja heker bi potem z MiTM lahko stregel malware (kdo bi bil tako neumen da bi zlovdal iz strani za novice nek program, če je pa naloga strani z novicami, da streže novice in ne programov (lahko se sicer zgodi drive-by-download (ampak to bi pa moral itak AV blokirat), če bi pa heker tako rad stregel malware pa itak lahko naredi HTTP Downgrade Attack
Cak a nisi moral od sicert nekaj kar preko http-ja naloziti.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
blackbfm ::
Drži. Če hočeš mirno spanje, je wp ena od stvari, ki se jim na daleč izogneš. Če trgovci uživajo v nemirnem spanju, jim pri tem ne morem(o) pomagati.
Če hočeš mirno spat ni druge kot da naročila pobiraš in obdeluješ ročno prek maila
Dejansko je. Poganja 3 miljone trgovin... očitno 3 miljone insecure trgovin. Še bolj problematično je, ker wordpress ni samo wordpress ampak je poleg vedno še na desetine pluginom, ki so vprašljivo napisani.
WP je zasnovan precej dobro, plugini so na visokem nivoju
Je pa res da imas tudi shit plugine, ampak spet, niso vsi avtomatsko ranljivi (npr nek minimalisticen plugin ki zgolj prikaze cookie obvestilo je tezko ranljiv)
AštiriL ::
Če hočeš mirno spat ni druge kot da naročila pobiraš in obdeluješ ročno prek maila
Http://mojmejl.kom
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.
Miha 333 ::
Pri https se vidi samo host, vse ostalo je šifrirano, vključno z naslovi podstrani.
Bolje kot pa da se vidi prav vse. Na primer, ISP bo videl, da sem 2 uri surfal po Youtubu, ne bo pa vedel, katere videe sem gledal. Kaj lahko nekomu o meni pove dejstvo, da obiskujem Youtube? Praktično nič. Če pa bi lahko videl tudi vsebino, bi pa lahko marsikaj sklepal o meni (npr. politično prepričanje, hobiji, glasba, ki jo poslušam, ali me zanima, kako se kaj izdela - npr. bomba, ali verjamem v flat earth, ...).
Podobno je pri pornu. Dejstvo je, da povprečen uporabnik interneta zavije tudi na te strani. Še vedno pa ne bo vedel, ali so mi všeč gay, straight, trans, shemale, bukkake, a2m, grandma, itd. porniči.
Sedaj vidite razliko?
Tisti, ki se zaveda te problematike, pa bo itak uporabil tor ali kaj podobnega.
poweroff ::
Wordpress je varnostno zelo problematičen. Php tudi. To da se veliko uporablja pa še nič ne pove o kvaliteti njegove varnosti.
sudo poweroff
Mr.B ::
Pri https se vidi samo host, vse ostalo je šifrirano, vključno z naslovi podstrani.
Bolje kot pa da se vidi prav vse. Na primer, ISP bo videl, da sem 2 uri surfal po Youtubu, ne bo pa vedel, katere videe sem gledal. Kaj lahko nekomu o meni pove dejstvo, da obiskujem Youtube? Praktično nič. Če pa bi lahko videl tudi vsebino, bi pa lahko marsikaj sklepal o meni (npr. politično prepričanje, hobiji, glasba, ki jo poslušam, ali me zanima, kako se kaj izdela - npr. bomba, ali verjamem v flat earth, ...).
Podobno je pri pornu. Dejstvo je, da povprečen uporabnik interneta zavije tudi na te strani. Še vedno pa ne bo vedel, ali so mi všeč gay, straight, trans, shemale, bukkake, a2m, grandma, itd. porniči.
Sedaj vidite razliko?
Tisti, ki se zaveda te problematike, pa bo itak uporabil tor ali kaj podobnega.
Bo pa zato google vedel o tebi več kot bi si ti želel.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
SeMiNeSanja ::
Wordpress je varnostno zelo problematičen. Php tudi. To da se veliko uporablja pa še nič ne pove o kvaliteti njegove varnosti.
Dej no, zdej pa tudi že malo pretiravaš. Na osnovi česa je PHP varnostno problematičen? Če programerji z njim delajo bedarije, to še ne pomeni, da je PHP per se varnostno zelo problematičen. Enako lahko trdiš za katerikoli programski jezik. Koliko je potem šele nevaren C?
Worpress pa....največ sranja z njim ni zaradi wordpressa samega ampak spet zaradi uporabnikov, ki ga namestijo, ne poskrbijo pa niti za osnovna varnostna priporočila. Na koncu imajo še management odprt proti internetu in to ob user/pass admin/admin.
Šele potem pride na vrsto ne-nameščanje popravkov, uporaba sumljivih, nepreverjenih pluginov (in spet ne-nameščanje popravkov zanje).
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Velika luknja v Infineonovih kriptografskih čipihOddelek: Novice / Varnost | 10467 (7442) | Furbo |
» | Huda ranljivost v vseh napravah z Wi-Fi (strani: 1 2 )Oddelek: Novice / Varnost | 25305 (20270) | SeMiNeSanja |
» | Po dvajsetih letih se maščuje ranljivost FREAKOddelek: Novice / Varnost | 8276 (4711) | Isotropic |
» | Odkrita ranljivost v SSL 3.0Oddelek: Novice / Varnost | 7283 (5870) | Looooooka |
» | Apple zmore prestrezati sporočila prek iMessageOddelek: Novice / Varnost | 8114 (5774) | Invictus |