#heartbleed

See also ▻http://seenthis.net/messages/253116

See also ▻http://seenthis.net/messages/254514

En français, voir ▻http://linuxfr.org/news/core-infrastructure-initiative

The SSL protocol has a history of security problems, Lewis said, and is not the primary form of protection governments and others use to transmit highly sensitive information.

“I knew hackers who could break it nearly 15 years ago,” Lewis said of the SSL protocol.

#bug #faille #surveillance #SSL #rions_un_peu #tout_va_bien

Avec cette confiance aveugle et irréfléchie dans les nouvelles technologies, nos « représentants politiques » ont voté pour nous, encore et toujours pour la progression moderne du désastre, pour que nos données de santé, d’éducation, d’aides sociales, bancaires ou personnelles se retrouvent sur internet, obligatoirement, sans moyen d’y échapper que le mépris ou la pauvreté, en promettant à tous les ignorants qu’ils ont maintenus en l’état, le Graal informatique. C’est juste criminel.

La NSA dément avoir profité de la faille de sécurité Heartbleed
▻http://www.lemonde.fr/technologies/article/2014/04/12/la-nsa-accusee-d-avoir-profite-de-la-faille-de-securite-heartbleed_4400160_6

La NSA a démenti vendredi 11 avril des révélations de l’agence Bloomberg selon lesquelles l’agence de surveillance américaine avait connaissance et exploité à son profit le bug « Heartbleed », une faille de sécurité découverte dans un logiciel utilisé pour sécuriser les connexions entre un site Internet et ses utilisateurs.
(…)
La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison Blanche), Caitlin Hayden, a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille.

« L_e gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable de l’OpenSSL_ », peut-on lire dans un communiqué.

Il faut dire que les options de comm’ sont limitées : soit la NSA est incompétente, soit elle est manipulatrice et dangereuse.
Ah oui, il y a aussi la version « comm’ incompétente » : on savait pas, on ne l’a utilisée que sur des méchants et d’ailleurs on a rien trouvé…

Test : ▻https://reverseheartbleed.com/exploit_me/cqnbn7hjb.4 « Good News ! We were unable to run the reverse heartbleed exploit on your client. » Donc, les programmes de SeenThis qui récupèrent le contenu des URL semblent OK.

@stephane n’aime pas copier les URL d’images, c’est pourtant un geste hautement satisfaisant :

http://imgs.xkcd.com/comics/heartbleed_explanation.png

synthèse radiophonique #shameless_autopromo : ▻http://www.fluxetfixe.org/Heartbleed

Et la même journaliste, à la télévision, ▻http://www.canalplus.fr/c-infos-documentaires/c-la-nouvelle-edition/pid6850-l-emission.html?vid=1051103 (part 3, vers 16:58) avec son appel à ne pas faire ses courses sur le Web pendant quelques jours. S’atatquer au commerce et à la société de consommation, comment ose-t-on ?

est-ce le moment de paniquer ?

cette phrase me fait tripper… non, non, c’était avant-hier :)

#HEARTBLEED

Pour ne plus avoir peur, j’ai décidé de n’utiliser que des sites commerçants sans SSL.

Bientôt ils feront des haikus pour nommer les failles

comment ils disaient déjà dans les zannées 70
« Turn on, tune in, drop out »

L’Express est bien aussi : ▻http://lexpansion.lexpress.fr/high-tech/que-faire-face-a-heartbleed-la-mega-faille-de-securite-sur-inter

et ►https://xkcd.com/1354 (pour bien comprendre...)

@denisb Ouais, mais pas en français

Other test tool online: ▻http://possible.lv/tools/hb

And a command-line tool, to run locally (warning: only HTTPS and SMTP currently) ▻https://gist.github.com/takeshixx/10107280

import socks
...
socks.setdefaultproxy(socks.PROXY_TYPE_HTTP, "proxy.server", 8080, True)
socket.socket = socks.socksocket

And to see if you are attacked/probed ▻http://seenthis.net/messages/245316

Another command-line tool, in Go ▻https://github.com/titanous/heartbleeder

#HeartBleed

The excellent online site ▻https://www.ssllabs.com now also tests the HeartBleed vulnerability.

« A- » car on n’a pas la forward-secrecy

@Fil SeenThis en HTTPS a bien d’autres problèmes : The certificate is not trusted because it is self-signed. The certificate is not valid for any server names. The certificate expired on 01/12/12 16:37. The current time is 04/09/14 10:01.

Test your server with nmap : ▻https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

pardon, je ne parlais pas de seenthis — de fait, personne ne s’occupe du https de seenthis [volontaires bienvenus]

A- pareil , ouf :) pec si pas trop de jardinage - seenthis ssl

A collection of tools : ▻http://hack-tools.blackploit.com/2014/04/collection-of-heartbleed-tools-openssl.html

Et la démonstration pratique : récupération de la clé privée SSL d’Nginx...
▻https://www.youtube.com/watch?v=BdQTnysDnjA

Pour l’extension à l’origine de la faille : ▻http://seenthis.net/messages/56010

Pour tester vos serveurs Web (mais attention, la faille ne concerne pas que HTTPS) : ▻http://seenthis.net/messages/245091

Un article détaillé d’analyse, qui est sceptique quant à la gravité de la faille ▻http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Le patch lui-même ▻https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3

Un exemple de l’utilisation de la faille pour voler des mots de passe, chez Yahoo : ▻https://twitter.com/markloman/status/453502888447586304

L’avis (très court et pas très utile) du CERT gouvernemental français : ▻http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html

Comment se servir de HeartBleed pour voler des cookies et les manger (non, je rigole, pour se loguer à la place de l’utilisateur légitime) ▻https://www.michael-p-davis.com/using-heartbleed-for-hijacking-user-sessions

Et bien sûr du #XKCD ▻http://xkcd.com/1353

Une liste de liens plutôt intéressante
▻http://blogs.gnome.org/markmc/2014/04/10/heartbleed

comme :
– le patch à l’origine de la faille, commité pendant le réveillon de la nouvelle année 2012. ▻http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4817504

– la réalisation de la place critique d’openSSL dans l’architecture du net, même là où on ne l’attendait pas ▻http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

How our perception of a vulnerability like this has changed now that we know just how aggressive intelligence agencies (the NSA and others) are in their approach to population surveillance and monitoring. This FOSDEM talk is rather prescient in describing OpenSSL as the “crown jewels” for the NSA.
▻http://ftp.belnet.be/FOSDEM/2014/Janson/Sunday/NSA_operation_ORCHESTRA_Annual_Status_Report.webm

Comme 50 % du travail d’un chercheur en sécurité, aujourd’hui, se passe à trouver un nom qui claque pour la vulnérabilité découverte, celle-ci est « le cœur qui saigne ».

Et ils s’en félicitent: ▻http://www.kalzumeus.com/2014/04/09/what-heartbleed-can-teach-the-oss-community-about-marketing

I want to take a moment to point at the marketing aspects of it: how the knowledge about Heartbleed managed to spread within a day and move, literally, hundreds of thousands of people to remediate the problem.

Heartbleed is much better marketed than typical for the OSS community, principally because it has a name, a logo, and a dedicated web presence.

Bruce Schneier
▻https://www.schneier.com/blog/archives/2014/04/heartbleed.html

Mashable lists some popular affected sites who suggest changing your password
▻http://mashable.com/2014/04/09/heartbleed-bug-websites-affected

*Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry.

Buzzfeed
The Real Threat From The Heartbleed Security Flaw Is The NSA
▻http://www.buzzfeed.com/charliewarzel/the-nsa-and-the-real-problem-behind-the-heartbleed-security

Yeah !
►http://filippo.io/Heartbleed

All good, monserveur .de seems fixed or unaffected!

thx anyway :-)

Heartbleed disclosure timeline: who knew what and when
▻http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html

Tuesday, April 1: Google Security notifies OpenSSL about the flaw it has found in OpenSSL, which later becomes known as “Heartbleed”. Mark Cox at OpenSSL says the following on social network Google Plus: “Original plan was to push [a fix] that week, but it was postponed until April 9 to give time for proper processes.” Google tells OpenSSL, according to Cox, that they had “notified some infrastructure providers under embargo”. Cox says OpenSSL does not have the names of providers Google told or the dates they were told. Google declined to tell Fairfax which partners it had told. “We aren’t commenting on when or who was given a heads up,” a Google spokesman said.

Saturday, April 5 15:13 - Codenomicon purchases the Heartbleed.com domain name, where it later publishes information about the security flaw.

Et cette extension est à l’origine de la faille #HeartBleed d’OpenSSL : ▻http://seenthis.net/messages/245060