Dziura w OpenSSL, o jakiej się nie śniło

No bo jak inaczej nazwać błąd, który pozwala na zdalny dostęp do pamięci podatnej maszyny? Co prawda „tylko” 64kB i „tylko” związanej z procesem korzystającym z biblioteki zawierającej błąd, ale biorąc pod uwagę, do czego OpenSSL służy… Wyciec mogą klucze (jeśli nie zostaną zmienione, to w przypadku ich przechwycenia będzie można podsłuchać transmisję nawet po aktualizacji biblioteki), loginy i hasła (jeśli użytkownicy nie zmienią haseł, to atakujący będzie mógł się dostać do serwisów nawet po zmianie certyfikatów i aktualizacji biblioteki).

Heartbleed

Źródło: http://heartbleed.com/

Błąd związany z OpenSSL w Debianie sprzed blisko 6 lat to przy tej dziurze pikuś – wtedy wystarczyło zaktualizować pakiet i zmienić klucze. Teraz na dobrą sprawę należałoby zmienić wszystkie certyfikaty SSL (o ile były używane na choć jednej podatnej maszynie) i skłonić wszystkich użytkowników do zmiany haseł. Niekoniecznie technicznych użytkowników, dodajmy.

Ważne jest to o tyle, że niektóre popularne polskie serwisy oferujące darmową (i nie tylko) pocztę były podatne. I to dość długo (nie wiem, czy nadal nie są). Jeśli atakujący uzyska dostęp do poczty, a używamy tej skrzynki do przypominania hasła w innych serwisach to zmiana w nich haseł nie rozwiązuje problemu.

Dodatkowo sprawdzanie podatności systemów było utrudnione. Popularny test sprawdzający podatność na atak z powodu obciążenia zgłaszał… false negatives. Czyli system był podatny, a narzędzie testujące twierdziło, że jest OK. I to w pewnym momencie, wg moich obserwacji, w jakichś 9x% prób… Problemu tego nie miało narzędzie CLI, ale dość szybko przestało ono być dostępne. Zapewne dlatego, że skutkiem ubocznym tego narzędzia był zrzut pamięci i dostęp do wrażliwych danych.

Na koniec mały paradoks. Systemy, w których logowanie było bez szyfrowania nie są podatne na dziurę (za to były i są podatne na podsłuchanie transmisji). Podobnie jak Debian Squeeze, czyli oldstable, któremu wkrótce skończy się support bezpieczeństwa. Użyta w nim wersja OpenSSL jest na tyle stara, że nie jest podatna.

Na razie status jest taki, że jest dostępna poprawka, załatana jest część systemów (wczoraj o ok. 17 było naprawdę sporo dziurawych). Widziałem tylko jedną firmę (polską), która poinformowała o błędzie użytkowników i zaleciła zmianę certyfikatów (ale już ani słowa o hasłach). Osobiście zalecam zwykłym użytkownikom w tej chwili zmianę ważniejszych haseł (zwł. pocztowych!) i obserwację sytuacji. Gdy opadnie kurz, tj. administratorzy załatają systemy i wymienią certyfikaty – ponowna zmiana haseł, tym razem wszystkich (ale naprawdę wszystkich wszystkich).

Błędowi poświęcona jest specjalna strona i tam odsyłam po szczegóły. Tak jeszcze patrzę na to, co napisałem parę lat temu i chyba tekst dane, niezależnie od tego jak zabezpieczane, nie są bezpieczne i prędzej czy później nastąpi ich ujawnienie łapie się na jakieś motto.

UPDATE: Ważna uwaga, o której zapomniałem. Jeśli aktualizujemy OpenSSL w systemie, to trzeba jeszcze zrestartować usługi. W Debianie można skorzystać z polecenia checkrestart (pakiet debian-goodies), ale na przynajmniej jednym systemie pokazywał, że nie ma nic do restartu, choć był apache i zabbix-server. Można zamiast tego użyć:

lsof -n | grep ssl | grep DEL

Klawiatura do tableta

Nie pamiętam na którym blogu znalazłem informację, że tablet z etui z klawiaturą to jest to, ale zwróciłem uwagę, że tak naprawdę najbardziej drażni mnie brak klawiatury. O ile przy przeglądaniu sieci nie ma to znaczenia, o tyle nie wyobrażam sobie pisania komentarza dłuższego niż jedno czy dwa zdania bez niej. Podobnie cokolwiek na SSH – nie podejmuję się klikać bez fizycznych klawiszy.

Popatrzyłem i wyszło, że etui z klawiaturą kosztuje z 30 zł, a dodatkowo, poza klawiaturą jest etui, które trochę chroni tablet (mniej istotne) i pozwala na jego lepsze ułożenie na kolanach (bardziej istotne) czy postawienie tabletu na biurku – całkiem ciekawe i wygodne – patrzenie się w leżący na płask tablet to nie jest to, co tygrysy lubią najbardziej.

Nie mam złudzeń co do jakości wytworu za 30 zł, ale stwierdziłem, że na początek się nada. Tym bardziej, że klawiatura 7″ budzi moje wspomnienia z korzystania ze służbowego netbooka i prawie wymiarowej klawiatury. Nie są to dobre wspomnienia. Nadal jednak lepsze to, niż klikanie na klawiaturze ekranowej czy mówienie do tabletu, które podobno działa całkiem nieźle, ale rodzina gotowa pomyśleć, że całkiem mi odbiło z wiekiem. Więc kupiłem, model AK207,  jak na zdjęciu poniżej (źródło aukcja Allegro na której kupiłem, nie linkuję, bo zaraz zniknie i tak, a w to, że wystawiający jest autorem zdjęć jakoś nie wierzę).

Etui z klawiaturą do tableta

Po otworzeniu przesyłki pierwszy WTF – pełnowymiarowe gniazdo USB. Takiego to w tablecie nie mam. Ale przypomniałem sobie o jakichś dodatkowych kabelkach, które leżą w pudełku. Bingo. Kabelek ma potrzebną dziurkę, a klawiatura działa.

I tu drugi WTF. Nie ma – obecnego w cywilizowanych wytworach klawiaturopodobnych z którymi miałem do czynienia do tej pory – klawisza Alt po prawej stronie spacji. Co więcej, nie znalazłem informacji, jak wprowadzać polskie znaki. Mój Android (4.x od myTab) dla urządzenia fizycznego oferuje wiele egzotycznych układów klawiatury, ale nie ma wśród nich języka polskiego.

Zapowiada się albo pisanie po polskawemu, albo zabawa z dokumentacją, albo poszukiwanie aplikacji (będzie się trzeba w Play zarejestrować…), czyli fun na kółkach (liczę, że coś podpowiecie). I pomyśleć, że w Linuksie w najgorszym razie musiałbym wyedytować plik tekstowy. No ale Android jest łatwy i przyjazny. 😉

Domena debian-multimedia.org przejęta.

Zespół Debiana donosi, że domena debian-multimedia.org, pod którą wcześniej było dostępne nieoficjalne, lecz popularne repozytorium pakietów, wygasła, a obecnie została przejęta przez osobę niezwiązaną z projektem.

W związku z tym, wszystkie repozytoria odwołujące się do niej powinny być usunięte z sources.list, gdyż zachodzi możliwość przedostania się w ten sposób do systemu złośliwego kodu.

Aby sprawdzić, czy w systemie są one aktualnie obecne, można wykonać polecenie:

grep debian-multimedia.org /etc/apt/sources.list /etc/apt/sources.list.d/*

Przypominają również, że począwszy od wydania Wheezy’ego najprawdopodobniej nie będzie ona już potrzebna ze względu na poprawione wsparcie dla multimediów w tym wydaniu.

Przy okazji: z dyskusji na Facebooku wynika, że www.deb-multimedia.org nadal jest bezpieczne.