Vlákno názorů k článku Čtvrt roku po Heartbleedu: co se změnilo? od Filip Jirsák - Podle několika zdrojů o chybě poměrně dlouho, cca...
-
Filip JirsákStříbrný podporovatelPodle několika zdrojů o chybě poměrně dlouho, cca dva roky, věděla i americká Národní bezpečnostní agentura, která ji zneužívala pro přístup k šifrované komunikaci.
Bylo by možné alespoň některé ty zdroje uvést? Já tuhle zprávu znám jenom z jednoho zdroje, kde vyznívá dost nepřesvědčivě. -
Ondřej CaletkaZlatý podporovatelTaky si myslím, že je to spíš konspirační teorie. Ale těžko někdo něco takového prokáže. Existuje třeba nepřímý důkaz od lidí kolem Zmap.io, kteří mají historické záznamy kompletní komunikace několika honeypotů a první pokus o zneužití heartbleedu zaznamenali 8. dubna 2014.
-
Filip JirsákStříbrný podporovatel
Jistě, dalo by se prokázat, že o tom někdo věděl, ale nejde prokázat, že o tom nikdo nevěděl.
Mně šlo spíš o to, že na začátku je jeden článek, který se odvolává údajně na dva zdroje, o kterých nevíme vůbec nic – přičemž jejich vyjádření ani přesně necituje, a v článku uvedená parafráze je dost nevěrohodná. Za rok už z toho máme „podle několika zdrojů“ a za další rok už z toho bude „jak bylo mnohokrát prokázáno“. Odborný článek by měl stavět na faktech a ke spekulacím přistupovat kriticky, ne přispívat k jejich oficiálnímu přijetí. -
Navíc je otázka, jak reálné je zneužití této chyby. Dobře, dostanu se k soukromému klíči (to lze udělat i jednodušeji, ale tak fajn). Musím (více či méně dokonale) napodobit onu původní službu. A musím tam ty klienty taky nějak dostat. Crack DNSSEC? Asi ne. Takže něčím jako byla chyba v routerech, změnou odpovědi na DNS dotaz klienta. No jenže když umím tohle, tak si daleko lépe můžu udělat klasický MITM a nemusím pracně získávat soukromý klíč.
-
Filip JirsákStříbrný podporovatel
Jenže útočník nemůže ovlivnit, co za data získá. Takže se to dá použít spíš k monitorování a můžete akorát doufat, že v těch datech najdete něco zajímavého, co půjde použít dál. Což je dost v rozporu s vyjádřením těch údajných dvou zdrojů, že se to běžně/pravidelně používá pro získávání zpravodajských informací.
-
Filip JirsákStříbrný podporovatel
Ano, ale údaje o platebních kartách jsou zajímavé pro podvodníka z banánové republiky (třeba z Ruska), ne pro NSA.
-
Uzivatel (neregistrovaný)
Myslim ze NSA podcenujete. Vedet kdy kdo kde a odkud pouzil jakou kartu se muze hodit i jim. Navic oni mohou mit zajem treba o monitorovani prispivani do ruznych diskusnich for. Tvrdit ze pro NSA je chyba typu Heartbleed nezajimava mi pripada jako velmi kratkozrake uvazovani.
-
Filip JirsákStříbrný podporovatel
Nechat si pro sebe takovouhle chybu, aby mohli sledovat příspěvky do diskusních fór (proč takhle složitě), zároveň tím ohrožovat ostatní instituce státu (protože ty by OpenSSL dál považovaly za bezpečné) a ještě častým zneužíváním té zranitelnosti zvyšovat pravděpodobnost, že se prozradí – to by v NSA museli být fakt úplní blázni.
-
Karel (neregistrovaný)
V dobách, kdy ještě nebylo u aut centrální zamykání, řada zlodějů nebo vykradačů aut do auta nelezlo násilím. Na parkovišti nenápadně oběšli auta a zkoušeli otevřít dveře. Úspěšnost byla velká.
Všimněte si dodnes starších řidičů, kteří po zamknutí auta ještě auto obejdou a zkusí všechny dveře. Protože to byla nejčastější chyba - zamkli dveře u řidiče, ale neměli zamčené jedny z dalších dvěří.
Tenhle útok je podobný princip - neovlivníte, jaká data získáte zpět. Stejně jako tenkrát zloděj neovlivnil, jestli majitel dveře zamkl. Ale i tak se vám občas poštěstí narazit na data zajímavá.
Pro získávání zpravodajských informací to použít lze. Není to 100%, možná ani 10%, ale to v tajných službách není nic. I agent může být dvojitý agent a informátor může být lempl nebo dezinformátor. Je to jen další kanál, kde se může objevit důležitá informace. Pokud tady je možnost tato data získat, tak by bylo hloupé ji nevyužít.
-
Ondřej CaletkaZlatý podporovatel
Získání privátního klíče je spíš jen taková třešnička na dortu (navíc některé důležité služby používají HSM, takže tam to ani s heartbleedem nebylo možné). Mnohem větší problém vidím v možnosti získávat útržky privátní komunikace, včetně uživatelských hesel, e-mailů, IM zpráv, erotické fanfiction.
Protože normální postup by byl:
1) ukrást klíč
2) zajistit přesměrování provozu
3) provádět MitM a chytat komunikaciHeartbleed ale umožnil začít rovnou s bodem 3.
-
Jenda (neregistrovaný)
> Musím (více či méně dokonale) napodobit onu původní službu.
Proč? Pokud služba nepoužívá nějaký lepší způsob sjednávání klíčů (většina nepoužívá), stačí ti pasivní sniff komunikace, abys ji mohl dešifrovat. A ty sniffuješ veškerou komunikaci.
-
BrainLess (neregistrovaný)
Tohle je imho novinarskej bullshit, nebo NSA bullshit. Kdyz presne si clovek overi do jake verze od jake byl ten bug zivej, jaky distra v ty dobe byla nasazena a jaka byla teoreticka moznost ji vyuzit ...Kachna ..
Navic z podstaty ty chyby utocnik ziskaval "nahodna data" a ze z nich vydoluje cosi uzitecneho ...
