17/4/2014
TVN24 BIS donosi o aresztowaniu 19-latka za wykradnięcie danych kanadyjskich podatników — serwery ichniejszego fiskusa były podatne na Heartbleed.
Od siebie dodamy tylko, że Heartbleed to nie wirus, i że zachęta do zmiany haseł na serwerach, które są wciąż podatne na ten atak to kiepski pomysł. Wrzucacie wtedy wasze stare/nowe hasło do pamięci serwera, skąd odczytać je może atakujący.
Material zrodlowy jest po prostu genialny!
“…młody mężczyzna, który w ostatni piątek włamał się na stronę internetową”
“…wirus Hearbleed zaatakował bazę danych agencji.”
A na jednym z materiałów na TVN24 niejaki Piotr Konieczny z Niebezpiecznika zaleca w takiej sytuacji zmianę hasła ;-) (materiał trwający 4:50 “Dzień na świecie”)
Bo co do zasady, hasła zawsze warto regularnie zmieniać ;)
Tamto nagranie było realizowane po 3 dniach od publikacji błędu, i oczywiście w domyśle należałoby przyjąć, że większość serwerów jest już załatana (CERT podawał, że jedynie 6% jest podatnych) — precyzując, rada oczywiście jest dobra wyłącznie, dla serwerów, dla których wyeliminowano problem.
Piotrze, takie małe pytanko do tego materiału.
Czy pojawiła się nieścisłość (może w celu uproszczenia sprawy dla laików) czy może ja coś źle rozumiem i muszę zaktualizować swoją wiedzę? Padła bowiem informacja, że można wyciągnąć dane z pamięci komputera. W domyśle, co potwierdzają jednak przykłady: z całej pamięci.
Wg mnie problem jest “fizycznie” ograniczony do pamięci procesu (czy to serwera, czy klienta), bo OpenSSL działa w userspace. A tak naprawdę to nawet dużo mniej, bo do puli pamięci, z której OpenSSL alokuje miejsce na stringi (nie używają normalnego calloca, co zresztą dla mnie jest głównym powodem Heartbleeda).
Czy coś pomieszałem?
—
Na marginesie: poprawcie reklamę VPSów, które polecacie. W tej chwili oferują “10USD na strat”. Straty 10USD źle brzmią w reklamie ;).
Niebezpiecznik jest znany z tego, że ma mnóstwo literówek w swoich artykułach – to i czemu w reklamie nie miałby ich mieć? :P
W jaki sposób został wykryty?
np:
iptables -t filter -A INPUT -p tcp –dport 443 -m u32 –u32 “52=0x18030000:0x1803FFFF” -j LOG –log-prefix “IPtables: block Heartbleed”
zrodlo: http://blog.laimbock.com/2014/04/13/how-to-block-heartbleed-queries-with-iptables/
Zobaczcie na pasek w 1:16 ;) “hartbleed” :D