Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 
  • #h
  • #he
  • #heart
RSS: #heartbleed

#heartbleed

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 10/02/2015
    1
    @02myseenthis01
    1

    RFC 7457 : Summarizing Known Attacks on TLS and DTLS

    Depuis quelques années, on entend souvent parler de failles dans #TLS ou dans les mises en œuvre de TLS, comme #OpenSSL. Un groupe de travail a été créé à l’#IETF pour essayer de durcir la sécurité de TLS, le groupe UTA (Using TLS in Applications). Son premier #RFC est un rappel de ces récentes failles. C’est l’occasion de réviser #BEAST, #CRIME ou #Heartbleed.

    ▻https://www.bortzmeyer.org/7457.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 7/05/2014

    “This paper discusses specific tools and techniques that could counter #Heartbleed and vulnerabilities like it. I will first briefly examine why many tools and techniques did not find it, since it’s important to understand why many previous techniques didn’t work. I will also briefly cover preconditions, impact reduction, applying these approaches, and conclusions.”

    ▻http://www.dwheeler.com/essays/heartbleed.html

    A very good long and detailed paper, a must-read for every software developper. Mostly technical issues but mention also some “governance” and “management” considerations.

    Read it before boasting “They were stupid to use C” or “Static analysis would have catched it”...

    #software #security

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 7/05/2014

      See also ▻http://seenthis.net/messages/253116

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 2/05/2014

    Interesting analysis of why it is so hard to write a proper #TLS library, what are the problems with #OpenSSL, why using another language than C is not a good idea and whether or not #LibreSSL will succeed.

    ▻http://insanecoding.blogspot.gr/2014/04/libressl-good-and-bad.html

    #HeartBleed #cryptography #security #software_engineering

    • #cryptography
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 7/05/2014

      See also ▻http://seenthis.net/messages/254514

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 27/04/2014

    Is there a policy answer to #Heartbleed?

    “... the questions still to be answered are: how to prevent such failures in the future, are there any policy answers?”

    ▻http://policyreview.info/articles/news/there-policy-answer-heartbleed/253

    [Validation, audit, financing, laws, etc]

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 27/04/2014
    3
    @tibounise
    @james
    @fil
    3

    “The #Core_Infrastructure_Initiative is a multi-million dollar project housed at The Linux Foundation to fund open source projects that are in the critical path for core computing functions. Inspired by the #Heartbleed OpenSSL crisis,”

    ▻http://www.linuxfoundation.org/programs/core-infrastructure-initiative

    • #USD
    • #computing
    • #Linux
    • #Linux Foundation
    • #Linux
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 27/04/2014

      En français, voir ▻http://linuxfr.org/news/core-infrastructure-initiative

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @homlett
    Hoʍlett @homlett PUBLIC DOMAIN 23/04/2014
    1
    @stephane
    1

    OpenSSL cumule 23 000 $ de dons en dix jours et accepte les bitcoins
    ▻http://www.pcinpact.com/news/87143-openssl-cumule-23-000-dons-en-dix-jours-et-accepte-bitcoins.htm

    La faille Heartbleed a permis de mettre une problématique en avant : celle du financement des projets open source, et notamment ceux qui sont essentiels au bon fonctionnement d’Internet tel que nous l’utilisons au quotidien. L’occasion pour des projets comme OpenSSL d’évoquer le fait que, bien qu’ils soient massivement exploités par des sociétés privées, rares sont celles qui participent.

    #Bitcoin #Crowdfunding #Don #Heartbleed #Logiciel_libre #Open_source #OpenSSL #Économie

    • #USD
    Hoʍlett @homlett PUBLIC DOMAIN
    Écrire un commentaire

  • @intempestive
    intempestive @intempestive CC BY-NC-SA 17/04/2014
    1
    @spip
    1
    @spip @seenthis

    Question naïve, @spip et @seenthis : il y a eu ou il va y avoir une mise à jour par rapport à la faille Heartbleed ou #Spip n’est pas concerné ? Faut changer ses mots de passe sous Spip quoi ou pas ?

    intempestive @intempestive CC BY-NC-SA
    • @rastapopoulos
      RastaPopoulos @rastapopoulos CC BY-NC 17/04/2014

      #heartbleed (lire les articles du tag) : c’est pour le site sous HTTPS, et ça concerne le serveur. Si tu avais un site en HTTPS et que le serveur n’était pas à jour pendant plusieurs jours après la divulgation de la faille, il y a éventuellement (très éventuellement) des informations qui ont pu être récupérée (mais pas forcément des mots de passe, c’est complètement au hasard).

      RastaPopoulos @rastapopoulos CC BY-NC
    • @intempestive
      intempestive @intempestive CC BY-NC-SA 17/04/2014

      ah ok, merci!

      intempestive @intempestive CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 27/04/2014

      Le « très éventuellement » est de trop. Il y a un risque sérieux et, oui, si le serveur était accessible en HTTPS, et utilisait une version vulnérable d’OpenSSL, il faut mettre à jour OpenSSL, invalider les sessions (les cookies sont les premiers trucs volés) et changer les mots de passe.

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 15/04/2014
    3
    @touti
    @emaux
    3

    Bonne explication du fonctionnement du logiciel libre et de la vérification (ou pas) du code.

    ▻http://www.lemouv.fr/diffusion-heartbleed-pourquoi-a-t-il-fallu-2-ans-pour-trouver-ce-bug

    #OpenSSL #HeartBleed

    • #Bonne
    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @grommeleur
    grommeleur @grommeleur 15/04/2014
    2
    @loloster
    @fadixu
    2

    #Heartbleed : les banques françaises tentent de rassurer
    ▻http://www.lemonde.fr/technologies/article/2014/04/14/heartbleed-les-banques-rassurent_4401086_651865.html

    La BNP a de son côté publié un communiqué affirmant que son site de banque en ligne était de par sa conception « intrinsèquement #invulnérable face à de telles failles ».

    Y’en a qui cherchent les ennuis ...

    grommeleur @grommeleur
    Écrire un commentaire

  • @odilon
    odilon @odilon CC BY-NC-ND 11/04/2014
    2
    @kassem
    @stephane
    2

    Bug #Heartbleed : la liste des sites français et la marche à suivre pour protéger vos mots de passe | Slate.fr
    ▻http://www.slate.fr/france/85911/bug-heartbleed-comment-reagir-et-sur-quels-sites

    Que faire alors pour se protéger ? Les spécialistes recommandent aux utilisateurs de changer leurs mots de passe sur chaque site qui a été touché par ce #bug. Mais attention : pas avant que les sites en question aient formellement assuré avoir fait le nécessaire pour réparer cette faille et en empêcher l’exploitation à l’avenir.

    odilon @odilon CC BY-NC-ND
    Écrire un commentaire

  • @liotier
    liotier @liotier CC BY-SA 11/04/2014
    5
    @fil
    @simplicissimus
    @severo
    @touti
    @7h36
    5

    #NSA said to have used #Heartbleed bug:
    ►http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html

    “The U.S. National Security Agency knew for at least two years”

    “They are going to be completely shredded by the computer security community for this” - ouais...

    • #Bloomberg
    liotier @liotier CC BY-SA
    • @touti
      touti @touti 12/04/2014

      The SSL protocol has a history of security problems, Lewis said, and is not the primary form of protection governments and others use to transmit highly sensitive information.

      “I knew hackers who could break it nearly 15 years ago,” Lewis said of the SSL protocol.

      #bug #faille #surveillance #SSL #rions_un_peu #tout_va_bien

      Avec cette confiance aveugle et irréfléchie dans les nouvelles technologies, nos « représentants politiques » ont voté pour nous, encore et toujours pour la progression moderne du désastre, pour que nos données de santé, d’éducation, d’aides sociales, bancaires ou personnelles se retrouvent sur internet, obligatoirement, sans moyen d’y échapper que le mépris ou la pauvreté, en promettant à tous les ignorants qu’ils ont maintenus en l’état, le Graal informatique. C’est juste criminel.

      touti @touti
    • @simplicissimus
      Simplicissimus @simplicissimus 12/04/2014

      La NSA dément avoir profité de la faille de sécurité Heartbleed
      ▻http://www.lemonde.fr/technologies/article/2014/04/12/la-nsa-accusee-d-avoir-profite-de-la-faille-de-securite-heartbleed_4400160_6

      La NSA a démenti vendredi 11 avril des révélations de l’agence Bloomberg selon lesquelles l’agence de surveillance américaine avait connaissance et exploité à son profit le bug « Heartbleed », une faille de sécurité découverte dans un logiciel utilisé pour sécuriser les connexions entre un site Internet et ses utilisateurs.
      (…)
      La porte-parole du Conseil de sécurité nationale (NSC, dépendant de la Maison Blanche), Caitlin Hayden, a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille.

      « L_e gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable de l’OpenSSL_ », peut-on lire dans un communiqué.

      Il faut dire que les options de comm’ sont limitées : soit la NSA est incompétente, soit elle est manipulatrice et dangereuse.
      Ah oui, il y a aussi la version « comm’ incompétente » : on savait pas, on ne l’a utilisée que sur des méchants et d’ailleurs on a rien trouvé…

      Simplicissimus @simplicissimus
    Écrire un commentaire

  • @emersion
    emersion @emersion CC BY-SA 11/04/2014

    Une bonne #vulgarisation de #Heartbleed.
    ►https://xkcd.com/1354
    #openssl

    emersion @emersion CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 11/04/2014
    1
    @severo
    1

    Information about client vulnerability against #HeartBleed (most articles only talk about the risk for the servers).

    Good analysis: ▻https://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely

    Very good Web site to test your client’s vulnerability: ▻https://reverseheartbleed.com/r

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 11/04/2014

      Test : ▻https://reverseheartbleed.com/exploit_me/cqnbn7hjb.4 « Good News ! We were unable to run the reverse heartbleed exploit on your client. » Donc, les programmes de SeenThis qui récupèrent le contenu des URL semblent OK.

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @homlett
    Hoʍlett @homlett PUBLIC DOMAIN 11/04/2014

    Heartbleed : déjà utilisé en 2013 par la NSA ?
    ▻http://d4n3ws.polux-hosting.com/2014/04/11/heartbleed-deja-utilise-en-2013-par-la-nsa

    Des captures de paquets remontant au mois de novembre dernier semblent indiquer que certaines personnes avaient déjà connaissance de l’attaque Heartbleed.
    La source de ces attaques à cette époque semble être un botnet qui surveillait de près les serveurs IRC de FreeNode… Est-ce que la NSA et/ou le FBI étaient déjà dans le coup ?

    #NSA #FBI #Heartbleed #sécurité

    • #Federal Bureau of Investigation
    Hoʍlett @homlett PUBLIC DOMAIN
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 11/04/2014
    4
    @thibnton
    @severo
    @supergeante
    @alexandre
    4

    In english, that’s the best explanation of #HeartBleed for non-technical users that I’ve found:

    ▻http://mashable.com/2014/04/09/heartbleed-nightmare

    [Besides xkcd of course ►https://xkcd.com/1354 ]

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @thibnton
      tbn @thibnton PUBLIC DOMAIN 11/04/2014
      @stephane

      @stephane n’aime pas copier les URL d’images, c’est pourtant un geste hautement satisfaisant :

      http://imgs.xkcd.com/comics/heartbleed_explanation.png

      tbn @thibnton PUBLIC DOMAIN
    • @thibnton
      tbn @thibnton PUBLIC DOMAIN 14/04/2014

      synthèse radiophonique #shameless_autopromo : ▻http://www.fluxetfixe.org/Heartbleed

      tbn @thibnton PUBLIC DOMAIN
    Écrire un commentaire

  • @monolecte
    Agnès Maillard @monolecte CC BY-NC-SA 10/04/2014
    2
    @biggrizzly
    @severo
    2
    @stephane

    Le bug Heartbleed nous met-il tous à poil sur #Internet ? | Pas de panique ! la réponse est 42...
    ►http://www.slate.fr/monde/85743/bug-heartbleed-internet-chiffrement
    Avec de vrais morceaux d’expert @stephane dedans !

    En clair donc, « vos identifiants et mots de passe peuvent être compromis, ainsi que vos échanges chiffrés », prévient NextINpact. D’autres médias avancent aussi que les numéros de cartes bancaires utilisées sur les sites d’e-commerce peuvent avoir été subtilisés.

    Alors, est-ce le moment de paniquer et de cesser toute sorte d’activité sur Internet ?

    Agnès Maillard @monolecte CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 10/04/2014

      Et la même journaliste, à la télévision, ▻http://www.canalplus.fr/c-infos-documentaires/c-la-nouvelle-edition/pid6850-l-emission.html?vid=1051103 (part 3, vers 16:58) avec son appel à ne pas faire ses courses sur le Web pendant quelques jours. S’atatquer au commerce et à la société de consommation, comment ose-t-on ?

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @fil
      Fil @fil 10/04/2014

      est-ce le moment de paniquer ?

      cette phrase me fait tripper… non, non, c’était avant-hier :)

      Fil @fil
    • @thibnton
      tbn @thibnton PUBLIC DOMAIN 10/04/2014

      #HEARTBLEED

      tbn @thibnton PUBLIC DOMAIN
    • @neurolit
      Neurolit @neurolit CC BY-SA 10/04/2014

      Pour ne plus avoir peur, j’ai décidé de n’utiliser que des sites commerçants sans SSL.

      Neurolit @neurolit CC BY-SA
    • @nicolasm
      Nicolas @nicolasm CC BY-SA 10/04/2014

      Bientôt ils feront des haikus pour nommer les failles

      Nicolas @nicolasm CC BY-SA
    • @chris1
      chris @chris1 10/04/2014

      comment ils disaient déjà dans les zannées 70
      « Turn on, tune in, drop out »

      chris @chris1
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 9/04/2014
    2
    @whilelm
    @ben
    2

    Bons conseils pratiques pour les utilisateurs (pas les administrateurs système) sur la faille de sécurité #HeartBleed

    ▻http://mathieu.agopian.info/blog/heartbleed-consequences-pour-les-utilisateurs.html

    #mot_de_passe

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 9/04/2014
    3
    @pierremetivier
    @severo
    @davduf
    3

    Quelques articles généralistes (pour public non-informaticien) en français sur la faille #OpenSSL #HeartBleed :

    PC Inpact : ▻http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm

    Slate : ►http://www.slate.fr/monde/85743/bug-heartbleed-internet-chiffrement

    Le Monde : trop d’erreurs pour être mentionné ici

    Les Échos : idem

    • #le Monde
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 11/04/2014

      L’Express est bien aussi : ▻http://lexpansion.lexpress.fr/high-tech/que-faire-face-a-heartbleed-la-mega-faille-de-securite-sur-inter

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @denisb
      denisb @denisb 11/04/2014

      et ►https://xkcd.com/1354 (pour bien comprendre...)

      denisb @denisb
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 11/04/2014
      @denisb

      @denisb Ouais, mais pas en français

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014
    2
    @emersion
    @severo
    2

    Test if you are currently attacked/probed by #HeartBleed:

    With the IDS #Suricata

    ▻http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata

    With the IDS Snort

    ▻http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog

    With Wireshark

    tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"
    • #SSL
    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @liotier
    liotier @liotier CC BY-SA 8/04/2014
    5
    @stephane
    @biggrizzly
    @tibounise
    @emersion
    @severo
    5

    Happy 0-day to you
    Happy 0-day to you
    Happy 0-day dear Internet
    Happy 0-day to you !

    Test your servers for Heartbleed (CVE-2014-0160) : ►http://filippo.io/Heartbleed

    Upgrade your servers today !

    • #command-line tool
    • #test tool
    liotier @liotier CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Other test tool online: ▻http://possible.lv/tools/hb

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      And a command-line tool, to run locally (warning: only HTTPS and SMTP currently) ▻https://gist.github.com/takeshixx/10107280

      import socks
      ...
      socks.setdefaultproxy(socks.PROXY_TYPE_HTTP, "proxy.server", 8080, True)
      socket.socket = socks.socksocket

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      And to see if you are attacked/probed ▻http://seenthis.net/messages/245316

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Another command-line tool, in Go ▻https://github.com/titanous/heartbleeder

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      #HeartBleed

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      The excellent online site ▻https://www.ssllabs.com now also tests the HeartBleed vulnerability.

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @fil
      Fil @fil 8/04/2014

      « A- » car on n’a pas la forward-secrecy

      Fil @fil
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 9/04/2014
      @fil

      @Fil SeenThis en HTTPS a bien d’autres problèmes : The certificate is not trusted because it is self-signed. The certificate is not valid for any server names. The certificate expired on 01/12/12 16:37. The current time is 04/09/14 10:01.

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 9/04/2014

      Test your server with nmap : ▻https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @fil
      Fil @fil 9/04/2014

      pardon, je ne parlais pas de seenthis — de fait, personne ne s’occupe du https de seenthis [volontaires bienvenus]

      Fil @fil
    • @ben
      Ben @ben CC BY-NC 9/04/2014

      A- pareil , ouf :) pec si pas trop de jardinage - seenthis ssl

      Ben @ben CC BY-NC
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 10/04/2014

      A collection of tools : ▻http://hack-tools.blackploit.com/2014/04/collection-of-heartbleed-tools-openssl.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @liotier
      liotier @liotier CC BY-SA 11/04/2014

      http://imgs.xkcd.com/comics/heartbleed_explanation.png

      ►http://xkcd.com/1354

      liotier @liotier CC BY-SA
    • @liotier
      liotier @liotier CC BY-SA 12/04/2014

      Et la démonstration pratique : récupération de la clé privée SSL d’Nginx...
      ▻https://www.youtube.com/watch?v=BdQTnysDnjA

      liotier @liotier CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014
    13
    @homlett
    @biggrizzly
    @fil
    @james
    @7h36
    @nhoizey
    @la_taupe
    @thibnton
    @b_b
    @severo
    @whilelm
    @erratic
    @ari
    13

    Très sérieuse faille de sécurité dans la bibliothèque #OpenSSL. Elle permet à un client de lire la mémoire du serveur et, donc, notamment les clés privées. (C’est une faille d’une mise en œuvre, pas une faille générale de #TLS.)

    Comme 50 % du travail d’un chercheur en sécurité, aujourd’hui, se passe à trouver un nom qui claque pour la vulnérabilité découverte, celle-ci est « le cœur qui saigne ».

    Outre l’habituelle mise à jour urgente des logiciels, il est sans doute nécessaire de changer toutes ses clés privées (et donc de refaire signer ses certificats). Bon, dans le cas de SeenThis, ce n’est pas trop difficile :-)

    Le site officiel : ▻http://heartbleed.com

    Bon article de synthèse : ▻http://www.zdnet.com/heartbleed-serious-openssl-zero-day-vulnerability-revealed-7000028166

    L’article de CloudFlare, apparemment publié avant tout le monde, pour frimer, au risque de révéler la faille avant que les mises à jour soient prêtes : ▻https://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities

    La faille porte l’identificateur CVE-2014-0160. Encore rien sur le site CVE : ▻http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

    L’alerte de sécurité de OpenSSL : ▻https://www.openssl.org/news/secadv_20140407.txt

    #HeartBleed

    • #Google
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Pour l’extension à l’origine de la faille : ▻http://seenthis.net/messages/56010

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Pour tester vos serveurs Web (mais attention, la faille ne concerne pas que HTTPS) : ▻http://seenthis.net/messages/245091

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Un article détaillé d’analyse, qui est sceptique quant à la gravité de la faille ▻http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

      Le patch lui-même ▻https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Un exemple de l’utilisation de la faille pour voler des mots de passe, chez Yahoo : ▻https://twitter.com/markloman/status/453502888447586304

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      L’avis (très court et pas très utile) du CERT gouvernemental français : ▻http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Comment se servir de HeartBleed pour voler des cookies et les manger (non, je rigole, pour se loguer à la place de l’utilisateur légitime) ▻https://www.michael-p-davis.com/using-heartbleed-for-hijacking-user-sessions

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 9/04/2014

      Et bien sûr du #XKCD ▻http://xkcd.com/1353

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @thibnton
      tbn @thibnton PUBLIC DOMAIN 9/04/2014

      http://imgs.xkcd.com/comics/heartbleed.png

      #cybersécurité

      tbn @thibnton PUBLIC DOMAIN
    • @whilelm
      WhilelM @whilelm CC BY 10/04/2014

      Une liste de liens plutôt intéressante
      ▻http://blogs.gnome.org/markmc/2014/04/10/heartbleed

      comme :
      – le patch à l’origine de la faille, commité pendant le réveillon de la nouvelle année 2012. ▻http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4817504

      – la réalisation de la place critique d’openSSL dans l’architecture du net, même là où on ne l’attendait pas ▻http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

      How our perception of a vulnerability like this has changed now that we know just how aggressive intelligence agencies (the NSA and others) are in their approach to population surveillance and monitoring. This FOSDEM talk is rather prescient in describing OpenSSL as the “crown jewels” for the NSA.
      ▻http://ftp.belnet.be/FOSDEM/2014/Janson/Sunday/NSA_operation_ORCHESTRA_Annual_Status_Report.webm

      WhilelM @whilelm CC BY
    • @whilelm
      WhilelM @whilelm CC BY 10/04/2014

      Comme 50 % du travail d’un chercheur en sécurité, aujourd’hui, se passe à trouver un nom qui claque pour la vulnérabilité découverte, celle-ci est « le cœur qui saigne ».

      Et ils s’en félicitent: ▻http://www.kalzumeus.com/2014/04/09/what-heartbleed-can-teach-the-oss-community-about-marketing

      I want to take a moment to point at the marketing aspects of it: how the knowledge about Heartbleed managed to spread within a day and move, literally, hundreds of thousands of people to remediate the problem.

      Heartbleed is much better marketed than typical for the OSS community, principally because it has a name, a logo, and a dedicated web presence.

      WhilelM @whilelm CC BY
    • @erratic
      schrödinger @erratic 10/04/2014

      Bruce Schneier
      ▻https://www.schneier.com/blog/archives/2014/04/heartbleed.html

      Mashable lists some popular affected sites who suggest changing your password
      ▻http://mashable.com/2014/04/09/heartbleed-bug-websites-affected

      *Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry.

      Buzzfeed
      The Real Threat From The Heartbleed Security Flaw Is The NSA
      ▻http://www.buzzfeed.com/charliewarzel/the-nsa-and-the-real-problem-behind-the-heartbleed-security

      schrödinger @erratic
    • @klaus
      klaus++ @klaus 10/04/2014

      Yeah !
      ►http://filippo.io/Heartbleed

      All good, monserveur .de seems fixed or unaffected!

      thx anyway :-)

      klaus++ @klaus
    • @whilelm
      WhilelM @whilelm CC BY 15/04/2014

      Heartbleed disclosure timeline: who knew what and when
      ▻http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html

      Tuesday, April 1: Google Security notifies OpenSSL about the flaw it has found in OpenSSL, which later becomes known as “Heartbleed”. Mark Cox at OpenSSL says the following on social network Google Plus: “Original plan was to push [a fix] that week, but it was postponed until April 9 to give time for proper processes.” Google tells OpenSSL, according to Cox, that they had “notified some infrastructure providers under embargo”. Cox says OpenSSL does not have the names of providers Google told or the dates they were told. Google declined to tell Fairfax which partners it had told. “We aren’t commenting on when or who was given a heads up,” a Google spokesman said.

      Saturday, April 5 15:13 - Codenomicon purchases the Heartbleed.com domain name, where it later publishes information about the security flaw.

      WhilelM @whilelm CC BY
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 8/02/2012

    RFC 6520 : #TLS and #DTLS Heartbeat Extension

    Le protocole de cryptographie TLS ne disposait pas en standard de mécanisme de « battement de coeur », permettant de tester qu’une connexion est toujours vivante. C’est désormais chose faite. Grâce à la nouvelle extension de TLS, normalisée dans ce #RFC, deux pairs TLS peuvent s’assurer, par un mécanisme standard, que l’autre pair est bien là, et répond.

    ▻http://www.bortzmeyer.org/6520.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 8/04/2014

      Et cette extension est à l’origine de la faille #HeartBleed d’OpenSSL : ▻http://seenthis.net/messages/245060

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

Thèmes liés

  • #heartbleed
  • #heartbleed
  • #openssl
  • #tls
  • #rfc
  • #dtls
  • #tls
  • #nsa
  • currency: usd
  • #bug
  • #security