Dziura w OpenSSL, o jakiej się nie śniło

No bo jak inaczej nazwać błąd, który pozwala na zdalny dostęp do pamięci podatnej maszyny? Co prawda „tylko” 64kB i „tylko” związanej z procesem korzystającym z biblioteki zawierającej błąd, ale biorąc pod uwagę, do czego OpenSSL służy… Wyciec mogą klucze (jeśli nie zostaną zmienione, to w przypadku ich przechwycenia będzie można podsłuchać transmisję nawet po aktualizacji biblioteki), loginy i hasła (jeśli użytkownicy nie zmienią haseł, to atakujący będzie mógł się dostać do serwisów nawet po zmianie certyfikatów i aktualizacji biblioteki).

Heartbleed

Źródło: http://heartbleed.com/

Błąd związany z OpenSSL w Debianie sprzed blisko 6 lat to przy tej dziurze pikuś – wtedy wystarczyło zaktualizować pakiet i zmienić klucze. Teraz na dobrą sprawę należałoby zmienić wszystkie certyfikaty SSL (o ile były używane na choć jednej podatnej maszynie) i skłonić wszystkich użytkowników do zmiany haseł. Niekoniecznie technicznych użytkowników, dodajmy.

Ważne jest to o tyle, że niektóre popularne polskie serwisy oferujące darmową (i nie tylko) pocztę były podatne. I to dość długo (nie wiem, czy nadal nie są). Jeśli atakujący uzyska dostęp do poczty, a używamy tej skrzynki do przypominania hasła w innych serwisach to zmiana w nich haseł nie rozwiązuje problemu.

Dodatkowo sprawdzanie podatności systemów było utrudnione. Popularny test sprawdzający podatność na atak z powodu obciążenia zgłaszał… false negatives. Czyli system był podatny, a narzędzie testujące twierdziło, że jest OK. I to w pewnym momencie, wg moich obserwacji, w jakichś 9x% prób… Problemu tego nie miało narzędzie CLI, ale dość szybko przestało ono być dostępne. Zapewne dlatego, że skutkiem ubocznym tego narzędzia był zrzut pamięci i dostęp do wrażliwych danych.

Na koniec mały paradoks. Systemy, w których logowanie było bez szyfrowania nie są podatne na dziurę (za to były i są podatne na podsłuchanie transmisji). Podobnie jak Debian Squeeze, czyli oldstable, któremu wkrótce skończy się support bezpieczeństwa. Użyta w nim wersja OpenSSL jest na tyle stara, że nie jest podatna.

Na razie status jest taki, że jest dostępna poprawka, załatana jest część systemów (wczoraj o ok. 17 było naprawdę sporo dziurawych). Widziałem tylko jedną firmę (polską), która poinformowała o błędzie użytkowników i zaleciła zmianę certyfikatów (ale już ani słowa o hasłach). Osobiście zalecam zwykłym użytkownikom w tej chwili zmianę ważniejszych haseł (zwł. pocztowych!) i obserwację sytuacji. Gdy opadnie kurz, tj. administratorzy załatają systemy i wymienią certyfikaty – ponowna zmiana haseł, tym razem wszystkich (ale naprawdę wszystkich wszystkich).

Błędowi poświęcona jest specjalna strona i tam odsyłam po szczegóły. Tak jeszcze patrzę na to, co napisałem parę lat temu i chyba tekst dane, niezależnie od tego jak zabezpieczane, nie są bezpieczne i prędzej czy później nastąpi ich ujawnienie łapie się na jakieś motto.

UPDATE: Ważna uwaga, o której zapomniałem. Jeśli aktualizujemy OpenSSL w systemie, to trzeba jeszcze zrestartować usługi. W Debianie można skorzystać z polecenia checkrestart (pakiet debian-goodies), ale na przynajmniej jednym systemie pokazywał, że nie ma nic do restartu, choć był apache i zabbix-server. Można zamiast tego użyć:

lsof -n | grep ssl | grep DEL

Dyn.com kończy świadczenie darmowych usług

Dla mnie konto na dyn.com skończyło się wcześniej, dziś ogłosili na blogu, dlaczego zdecydowali się zaprzestać świadczenia darmowych usług w ogóle. Przyznam, że byłem zadowolony w tym wąskim zakresie, w jakim korzystałem, ale dopiero sposobem wyłączenia i rozłożeniem go w czasie mnie ujęli. PRowo jak dla mnie wzorowo: mocno rozłożone w czasie, narastający poziom trudności w utrzymaniu darmowych usług, możliwość łatwego przejścia na wariant płatny, dobra informacja (OK, to w ich interesie). Last but not least: utrzymanie obiecanych wiecznych darmowych kont wczesnym użytkownikom. Naprawdę uważam za ładnie rozegrane.

Pozostało mi życzyć im powodzenia i podziękować, zatem: thank you, dyn.com. 🙂

Wolność w Mozilla Foundation

Albo raczej jej brak. Po tym jak Brendan Eich został CEO Mozilla Foundation, ludzie przekopali jego przeszłość i odkryli, że w roku 2008 dokonał darowizny w wysokości tysiąca dolarów na rzecz poparcia zmiany prawa tak, by małżeństwa osób tej samej płci nie były możliwe w Kalifornii. I zaczęła się nagonka ze strony środowisk LGBT, która zakończyła się ustąpieniem ze stanowiska (prywatnie uważam, że niekoniecznie z własnej nieprzymuszonej woli).

Jak to ma się do wolności przekonań politycznych, religijnych, moralnych i światopoglądowych? Legalne poparcie legalnych instytucji (nie mówimy tu przecież o jakichś bojówkach), ze środków prywatnych, owocuje atakiem medialnym. W moim odczuciu atakiem z powodu prywatnych przekonań, bo Brendan Eich jasno dał do zrozumienia, że w zakresie Mozilla Foundation nic się nie zmienia i pozostają nadal otwarci na różnych ludzi, niezależnie od rasy, płci, religii i orientacji seksualnej.

Uważam, że działaniom środowisk LGBT blisko w tym momencie do dyskryminacji z powodu przynależności partyjnej, religijnej itd. IMO Mozilla niebezpiecznie zbliża się do stanowiska szanujemy wolność wypowiedzi i przekonań, pod warunkiem, że są to przekonania zgodne z oficjalną linią partii. Ciekawe kiedy wpadną na pomysł wprowadzenia mechanizmów cenzury w ramach obrony wolności wypowiedzi?

W każdym razie Mozilla sporo straciła w moich oczach. O ruchu LGBT nie wspominając.