mboost-dp1

Google

Heartbleed åbner hul hos cyberkriminelle

- Via BBC.com - , indsendt af thimon

Det meget omtalte Open SSL-sikkerhedshul, kaldet Heartbleed, har fået mange til at frygte, at cyberkriminelle vil udnytte eller har udnyttet det til egen gevinst. Nu viser det sig, at også disse personer kan blive ramt.

Forskere, der beskæftiger sig med anti-malware, har nu anvendt sikkerhedshullet til at opnå adgang til normalt lukkede fora, hvor cyberkriminelle færdes.

En af forskerne oplyser, at de med egenudviklede værktøjer har opnået adgang til Darkode og Damagelab, hvor især førstnævnte tidligere har været meget svær at få adgang til, men med Heartbleed fik de et gennembrud.

Steve K, antimalware-forsker skrev:
Darkode was vulnerable, and this forum is a really hard target. Not many people have the ability to monitor this forum, but Heartbleed exposed everything.

En anden forsker påpeger, at netop denne situation viser, hvor alvorlig Heartbleed er og ikke blot for cyberkriminelle





Gå til bund
Gravatar #1 - BeLLe
1. maj 2014 05:47
man skulle da tro at cyberkriminelle der arbejder med at udnytte diverse huller kunne finde ud af at patche deres egne ting så de ikke selv er såbare over for angreb
Gravatar #2 - CBM
1. maj 2014 06:59
#1: Med mindre de kan patche OpenSSL så er de lige så meget på røven som alle andre.

Selv hvis man kunne samle nok folk med den nødvendige knowhow til a fixe problemet, så ville de stadig kræve en kæmpe høj kompetent indsats både i mandetimer og rent økonomisk.

Ain't gonna happen.
Gravatar #3 - Jim Night
1. maj 2014 07:04
Hvornår er det mon blevet fikset nok steder til at man kan skifte sine koder og være "sikker" igen?

Grunden til " " er at jeg mener ikke man bliver sikker selvom heartbleed bliver rettet.
Gravatar #4 - snesman
1. maj 2014 07:06
Er det rigtigt forstået, at det vil være en dårlig ide at skifte sine koder før heartbleed er rettet? For så vil den der trækker data ud jo netop få det nye password som det første?
Gravatar #5 - HerrMansen
1. maj 2014 07:07
CBM (2) skrev:
#1: Med mindre de kan patche OpenSSL så er de lige så meget på røven som alle andre.


Men eh... En OpenSSL patch er da allerede blevet frigjort?

Edit: https://www.openssl.org/news/secadv_20140407.txt
Gravatar #6 - CBM
1. maj 2014 07:30
#5
Du har ret :) My bad.

Og dog... Der er stadig problemer
Gravatar #7 - CBM
1. maj 2014 07:42
#5

Selv om de forums har applied the patch, så skal alle deres brugere stadig skifte deres password... Og med mindre de "utilsigtede" brugere (der blev oprettet før serveren blev patched), bliver fundet og slettet, så er de lige vidt.

Men jeg tror stadig ikke de har kunnet patche disse fora før alle andre med mindre de selv havde lavet en hemmelig patch.

Og det vil stadig være en svær opgave som de "cyberkriminelle" ikke har magtet.
Gravatar #8 - TwistedSage
1. maj 2014 08:23
Det er sgudda sjovt :)
Gravatar #9 - snesman
1. maj 2014 08:31
Irony defined
Gravatar #10 - HerrMansen
1. maj 2014 08:36
#7 Bevares - Men det er jo ikke selve svagheden som sådan. Mere en eftereffekt af det, hvis de har opsnappet et par kontoer de kan udnytte selv hvis alle får deres password nulstillet. :)
Gravatar #11 - milosgame
1. maj 2014 10:27
Er forskernes handlinger det man kalder hacking eller uautoriseret adgang?
Hvis ja, er disse handlinger vel ulovlige, også selvom "målet" er disse såkaldte cyberkriminelle.
Gravatar #12 - Phaeer
1. maj 2014 10:43
#11
Lige præcis. Forskerne er nu de samme "cyberkriminelle", som dem de beskylder for at være kriminelle.
Gravatar #13 - milosgame
1. maj 2014 11:08
Phaeer (12) skrev:
#11
Lige præcis. Forskerne er nu de samme "cyberkriminelle", som dem de beskylder for at være kriminelle.


Hack 127.0.0.1 :-)
Gravatar #14 - fennec
1. maj 2014 12:19
#11
Det er vel lidt på samme niveau som APG, der også downloader fra TPB, for at finde andres IP'er.

Men jo. Darkode og Damagelab er vel i deres fulde ret til at sagsøge forskerne. Og de behøver vel knap nok at have nogen beviser, for det har forskerne selv leveret, ved offentlig at indrømme at de har hacket dem.
Gravatar #15 - wazer
1. maj 2014 16:23
Jeg tænker bare, nu har NSA/USA fået en ide, lad os overtage openssl og ellers bare ssl, så kan de lave deres egen små huller som alle sider vil bruge, så hvor er vi så henne af nu ;)..

Vi skal have en ny standard som ikke bliver udviklet i USA.
Gravatar #16 - Rainmeter
1. maj 2014 16:57
#15
Rolig nu.
Gravatar #17 - zeonos
1. maj 2014 21:24
CBM (2) skrev:
#1: Med mindre de kan patche OpenSSL så er de lige så meget på røven som alle andre.

Selv hvis man kunne samle nok folk med den nødvendige knowhow til a fixe problemet, så ville de stadig kræve en kæmpe høj kompetent indsats både i mandetimer og rent økonomisk.

Ain't gonna happen.


OpenSSL er åben source, og det var vist kun en function der var hul i, som de muligvis kunne udnytte, så de kunne vel lave en fork, hvor de selv har fikset hullet?
Gravatar #18 - CBM
2. maj 2014 06:56
#17
Lyder sandsynligt
Gravatar #19 - gramps
2. maj 2014 12:13
fennec (14) skrev:
Men jo. Darkode og Damagelab er vel i deres fulde ret til at sagsøge forskerne.


Ja, man kan vel altid sagsøge. Jeg tror nu hellere de skulle melde forskerne til politiet.

wazer (15) skrev:
Vi skal have en ny standard som ikke bliver udviklet i USA.


Det er kun én af udviklerne bag OpenSSL som bor i USA. Resten er placeret udenfor USA, netop for at undgå den lovgivning som USA har.
Gravatar #20 - luuuuu
4. maj 2014 10:36
wazer (15) skrev:
Jeg tænker bare, nu har NSA/USA fået en ide, lad os overtage openssl og ellers bare ssl, så kan de lave deres egen små huller som alle sider vil bruge, så hvor er vi så henne af nu ;)..

Vi skal have en ny standard som ikke bliver udviklet i USA.


Hvem af os skal så lave den? Er du kryptografiekspert? For det er jeg i hvert fald ikke.
Gravatar #21 - AlleyKat
4. maj 2014 14:17
Altså... nu ER den 'heartbeat' funktion som er hullet jo altså optional - at den så default er slået til i visse versioner af SSL, ændrer jo ikke noget. Hvis man bare slår funktionen fra i éns OpenSSL-installation er den lige så sikker som den altid har været. Ingen grund til at patche eller "udvikle hemmelige forks" - slå skidtet fra i config.
Gravatar #22 - Hængerøven
4. maj 2014 16:24
AlleyKat (21) skrev:
slå skidtet fra i config


man må jo ultimativt stadig miste noget funktionalitet. Så hvis der er et behov for denne funktionalitet, er løsningen vel ikke så lige til
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login