mboost-dp1
Sikkerhedshul hos dansk Internet service udbyder
Jeg fandt et sikkerhedshul hos en dansk udbyder af forskellige Internet services. Jeg synes selv at hullet er rimeligt alvorligt. For at undgå misbrug har jeg tænkt mig at give dem lidt tid til at rette fejlen. Spørgsmålet er hvor lang tid det er rimeligt at give dem før jeg offentliggør detaljer om sikkerhedshullet. Hvor lang tid synes I er rimeligt?
For at hverken jeg selv eller udbyderen skal prøve på at rende fra historien er her en sha1sum af den beskrivelse af sikkerhedshullet, som jeg lige om lidt sender til udbyderen: 725d9367218768406d82abd91ba50eb3ec15e7d1
Og her er sha1sum af proof of concept exploit kode: 6cdde5cf26e183299602d6c2b7a61fea55bcd1e0
For at hverken jeg selv eller udbyderen skal prøve på at rende fra historien er her en sha1sum af den beskrivelse af sikkerhedshullet, som jeg lige om lidt sender til udbyderen: 725d9367218768406d82abd91ba50eb3ec15e7d1
Og her er sha1sum af proof of concept exploit kode: 6cdde5cf26e183299602d6c2b7a61fea55bcd1e0
Jeg vil læne mig op af #3 her. Det afhænger selvfølgelig af hvor lang tid det tager at få lappet hullet. Og så mener jeg at du bør give dem besked 24-48 timer før du har tænkt dig at offentliggøre hullet så de har mulighed for at bede om godt vejr hvis de ikke har gidet tage det seriøst før.
I den email jeg skrev til dem spurgte jeg dem også hvor lang tid de selv syntes de skal have. Jeg har selvfølgelig ikke fået noget svar endnu.
XorpiZ nu skal du bare tage et skridt til siden, så vælter de alle sammen.Daniel-Dane (6) skrev:Jeg kan læne mig op ad #5 her
Ved at gennemsøge alle danske udbydere for alle typer fejl? Eller ved at hashe alle strenge for at finde en der matcher en af de hash værdier jeg skrev?Daniel-Dane (6) skrev:Jeg er i fuld gang med at brute-force, så pas på!
Nej. At overhovedet finde et input der afbilder til den hash værdi kræver både at man opnår et meget dybt kendskab til kryptologi og finder en svaghed i SHA1 som er væsentligt stærkere end alle de svagheder der hidtil er set i MD5. Det vil også kræve adgang til en betydelig mængde regnekraft.Daniel-Dane (8) skrev:det er nemmere og hurtigere at finde teksten bag hashen end at finde fejlen selv.
Set i forhold til det er det da langt nemmere at sætte sig ind i alle de mest almindelige sikkerhedshuller og gennemsøge alle de danske udbydere for de huller.
Uanset om du prøver at søge efter et SHA1 preimage eller hullet selv vil du have problemet med falske positiver. Hvis du finder et SHA1 preimage vil det med næsten 100% sikkerhed være et andet preimage end det input jeg hashede. Hvis du finder et sikkerhedshul vil det også med stor sandsynlighed være et andet. Men antallet af sikkerhedshuller er dog mindre end antallet af inputs der hasher til samme værdi.
Hvis du leder efter sikkerhedshuller finder du det første hurtigere og der er færre falske positiver at skulle igennem.
Det er planen.pewbe (9) skrev:Får vi en uddybende forklaring når fejlen er blevet rettet/tiden er gået?
XorpiZ (13) skrev:Servage er mig bekendt ikke dansk.
Det er rigtigt nok - men de hendvender sig da til det danske markede, og alle mine sider er netop blevet lagt ned på servage - de mener dog det er mit eget password der er skyld i det, men det tvivler jeg nu lidt på.
Og jeg måtte ikke få udleveret noget log, så jeg er blank :-(
siliankaas (15) skrev:Og jeg måtte ikke få udleveret noget tog, så jeg er blank :-(
Jeg er for meget på newz.dk.
Hvorfor ser jeg først denne tråd nu?.. Gad godt vide hvilken ISP det handler om - men nu mere for at vide om det er min ...
Hvordan har du egentlig opdaget det? :p
- lorte iPhone, unskylder for underlige double-posts -
Hvordan har du egentlig opdaget det? :p
- lorte iPhone, unskylder for underlige double-posts -
Alrekr (27) skrev:#26: Ingen doublepost her. Det er bare en lortetelefonbrowser du har dig.
Hvornår fatter folk, at det er en newz.dk-bug?
Næh. Jeg rykkede dem for en opdatering i mandags. De har ikke svaret. Det er over to uger siden jeg sidste har hørt fra dem. Dengang sagde de at de regnede med det ville tage en uge.siliankaas (25) skrev:Nyt?
Et passende tidspunkt at rykke dem for en opdatering igen er nok når der er gået tre uger siden de sagde en uge.
Jeg er også begyndt at overveje hvordan jeg bedst får kommunikeret til deres kunder hvad man selv kan gøre for at sikre sig. For det kan jo godt være at det bliver nødvendigt.
Alrekr (27) skrev:#26: Ingen doublepost her. Det er bare en lortetelefonbrowser du har dig.
Den double-poster nu ellers i samme indlæg (hint, "Se rettelser")
Daniel-Dane (28) skrev:Hvornår fatter folk, at det er en newz.dk-bug?
Også mit problem?
Alrekr (29) skrev:Samtidig med at den almindelige befolkning forstår, at kriminalteknikere ikke har de vildeste GUIs, og computere ikke siger BIB hver eneste gang den gør noget..
Det' løgn! Fortæller du mig at de ikke har fancy magiske 3D agtige holografiske skærme, med touch? Det er bare løgn! Troede ellers at min næste skærm var en i stil med den fra CSI Miami o_O
kasperd (30) skrev:Næh. Jeg rykkede dem for en opdatering i mandags. De har ikke svaret. Det er over to uger siden jeg sidste har hørt fra dem. Dengang sagde de at de regnede med det ville tage en uge.
Et passende tidspunkt at rykke dem for en opdatering igen er nok når der er gået tre uger siden de sagde en uge.
Jeg er også begyndt at overveje hvordan jeg bedst får kommunikeret til deres kunder hvad man selv kan gøre for at sikre sig. For det kan jo godt være at det bliver nødvendigt.
Ring til dem, og fortæl hvor seriøst det er.
Find alle deres kunder på DK-hostmaster og send en mail til de emails der står som kontaktoplysninger.
I værste tilfælde: Udgiv beskrivelsen af sikkerhedshullet, og kontakt Version2 (eller andet onlinemedie).
For at ligge pres på dem kunne du også alliere dig med et onlinemedie tidligere i processen, som jeg gjorde med KKIK og deres CPR-formular
Kan man slå det op? Hvis jeg kender et domænenavn kan jeg slå tilstrækkelige oplysninger op for det domænenavn til at finde ud af om de potentielt er berørt.KaW (33) skrev:Find alle deres kunder på DK-hostmaster og send en mail til de emails der står som kontaktoplysninger.
Men jeg kan jo ikke gå gennem samtlige domæner for at slå hver enkelt op. Og jeg kunne ikke finde nogen anden måde at slå oplysningerne op hos DK-hostmaster.
Hvilken metode vil du foreslå at jeg bruger til at lave opslag hos DK-hostmaster for at finde oplysninger om kunder hvis domænenavn jeg ikke kender?
Derudover er der et par andre problemer. DK-hostmaster oplyser ikke email adresser på registrerede domæner. Kun postadresse og telefonnummer. Og der kan være berørte kunder som kun har domæner undre andre TLDer.
Jeg kunne selvfølgelig kontakte DK-hostmaster for at spørge om de er interesseret i at blande sig i sagen. Det skader ikke at skrive en email til DK-bostmaster, i værste fald vil de blot sige at det ikke er noget de vil beskæftige sig med.
Det er også en mulighed. Version2 og newz.dk er for mig de mest oplagte medier at forsøge sig med.KaW (33) skrev:I værste tilfælde: Udgiv beskrivelsen af sikkerhedshullet, og kontakt Version2 (eller andet onlinemedie).
Da min kammerat fandt et sikkerhedshul kontaktede han Version2 og det fik sagen til at skride fremad. Indtil da var han blevet ignoreret. Jeg tror det virker mere presserende, når et større medie ringer, end ved en enkeltperson. Det virkede i hvert fald vedr. dette: http://www.version2.dk/artikel/250000-elevers-inti...
kasperd (37) skrev:Jeg har nu fået svar på min email fra 5. september. Svaret lyder "Vi arbejder stadig på det."
Er hullet så svært at lukke? o_O
Det burde det ikke være. Jeg opfordrede dem dog til at undersøge om de havde begået samme fejl andre steder i deres system. Jeg kan jo ikke vide om de har fundet flere huller ved den lejlighed. En anden mulighed er at de ikke længere har nogen ansat som kender koden og derfor er nødt til at sætte sig ind i koden først. Men det er blot gæt, jeg kan jo ikke vide om der er en god grund eller ej.Thoroughbreed (38) skrev:Er hullet så svært at lukke?
kasperd (39) skrev:En anden mulighed er at de ikke længere har nogen ansat som kender koden og derfor er nødt til at sætte sig ind i koden først.
Golden opportunity.
Jeg har et kvalificeret gæt på hvilket sprog koden er skrevet i. Deres valg af sprog får mig til at tænke at jeg nok ikke er den rette person til at sætte mig ind i koden.Daniel-Dane (40) skrev:Golden opportunity.
Jeg testede lige igen. Angrebet kan stadig gennemføres med den oprindelige proof of concept kode.
Alrekr (41) skrev:Det er så derfor man burde tvinge udviklere til at dokumentere koden bedre..
Udviklere vil gerne dokumentere deres kode, men når slipsedrengene ser hvor lang tid længere opgaverne vil tage hvis alt skal dokumenteres ordentligt, så bliver det ofte valgt fra.
Darwind (45) skrev:#43 - ah den må du sq længere ud på landet med... hvem i denne verden kan lide at dokumentere deres kode? Udover proceshippierne der elsker, at alt forsvinder i dokumentation...
Hvor arbejder du?
Jeg synes det er lækkert at arbejde med software i komponenter som er beskrevet, ihvertfald i hovedtræk, så man nemmere kan sætte sig ind i den.
#46 - det har da intet med sagen at gøre, hvor jeg arbejder og ja det er da rigtigt det er lækkert at have dokumentation, men sådan ser den virkelige verden ikke ud i store træk. Det er muligt du roder med meget kode, der er utroligt veldokumenteret, men så er du også heldig.
Et lille eksempel på noget som burde have været dokumenteret i hoved og røv er Android api'erne - men det er de bare ikke alligevel. Og hvorfor er de ikke det? Tja jeg tvivler på, at det er fordi nogle mappedyr har siddet hos Google og bestemt, at der ikke var mere tid til at dokumentere...
Men jeg er da enig - det er da lækkert at sidde og læse kode med god dokumentation, men det sker altså ikke ret tit. Og hvis det sker, så er det mange gange totalt ubrugelig dokumentation, fordi folk ikke har forstået, hvad og hvornår de skal dokumentere deres kode.
Et lille eksempel på noget som burde have været dokumenteret i hoved og røv er Android api'erne - men det er de bare ikke alligevel. Og hvorfor er de ikke det? Tja jeg tvivler på, at det er fordi nogle mappedyr har siddet hos Google og bestemt, at der ikke var mere tid til at dokumentere...
Men jeg er da enig - det er da lækkert at sidde og læse kode med god dokumentation, men det sker altså ikke ret tit. Og hvis det sker, så er det mange gange totalt ubrugelig dokumentation, fordi folk ikke har forstået, hvad og hvornår de skal dokumentere deres kode.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund