m

Serverbug ledde till massiv informationsläcka
Dags att byta lösenord igen då

En rätt så allvarlig miss i CloudFlare-källkoden ledde till att många av de största webbplatserna på internet spottade ur sig skyddad användardata. Missen var att man hade satt ett = istället för ett > vilket ledde till problem med buffern. Kodmissen har tydligen funnits i flera år men inte skapat några problem tills CloudFlare bytte parser förra året. Det var säkerhetsexperten Tavis Ormandy från Google som upptäckte bristen som har fått namnet Cloudbleed vilket refererar till säkerhetsluckan Heartbleed från 2014. Tydligen så har Cloudbleed pågått i flera månader men upptäcktes inte förrän förra veckan. Det innebär att känslig data läckt ut i Google cachar i nästan ett halvår. Ormandy säger att han bland annat hittade hotellbokningar, lösenord, hela meddelanden från dejtingsidor på grund av denna bugg. Direkt när detta upptäcktes så satte Google igång med att försöka plocka bort all känslig informationen som läckt ut på Google, detta i samarbete med något strike team från CloudFlare. Stora sajter som 1Password, Reddit, Uber, The Pirate Bay och Patreon använder sig av CloudFlare och vill man se vilka sajter som blivit drabbade av denna massiva miss så kan man göra det borta på Cloudbleed. Hur allvarliga konsekvenser Cloudbleed har haft är fortfarande lite oklart men det får vi nog reda på inom kort när folk tittat lite närmare på kölvattnet. Tumnagel
22.7°
+
Frode Wikesjö
0
2014

Google har hittat en säkerhetslucka i SSL-protokollet
POODLE påverkar säkerheten på webben

Tre säkerhetsanalytiker på Google har upptäckt en säkerhetslucka i säkerhetsprotokollet SSL [wiki] som potentiellt låter obehöriga komma åt data på webben som egentligen ska vara krypterad. Man har döpt den nyupptäckta buggen till "POODLE" (Padding Oracle On Downloaded Legacy Encryption) och rent konkret så handlar det om att en så kallad "man in the middle"-attack kan göra att någon obehörig kan komma över och dekryptera cookies. För att skydda sig mot Poodle rekommenderas att man stänger av SSL 3.0 på sina servrar då dessa i så fall istället kommer att använda det säkrare TLS-protokollet [wiki]. Bedömare anser att Poodle-buggen bör betraktas som mindre allvarlig än buggarna Heartbleed och Shellshock (bash-buggen) som upptäcktes tidigare i år. Tumnagel
38.6°
+
Wille Wilhelmsson
0

Bash-buggen riskerar att slå ut många servrar på internet
Anses värre än Heartbleed-buggen

Linux-distributören Red Hat har upptäckt en bugg i bash, en slags textbaserad kommandotolk, för Linux som enligt säkerhetsanalytiker ska vara väldigt allvarlig. Buggen som går under namnet "bash bug" eller "shellshock" låter en obehörig användare exekvera kod på linuxdatorer vilket gör att en obehörig mer eller mindre skulle kunna ta över hela datorn om det vill sig illa. Då Bash 3.2 används i Apples OS X är även Mac-datorer för tillfället sårbara och Apple har än så länge inte kommenterat det eller släppt någon fix även om en sådan säkerligen är på gång. Linux rullar framför allt på många servrar på internet och på andra ställen vilket gör detta till en mycket allvarlig bugg och en del anser att den här buggen till och med ska vara värre än Heartbleed-buggen som härjade runt tidigare i år. Tumnagel
30.2°
+
Wille Wilhelmsson
0

Första Heartbleed-hackaren gripen
I Kanada

Kanadensisk polis har arresterat en person som uppges ha utnyttjat den så kallade Heartbleed-buggen för att komma över information från det kanadensiska skatteverket. Det handlar om en 19-årig yngling som bor i den kanadensiska staden Ontario och han anklagas för att obehörligen ha kommit över runt 900 kanadensiska socialförsäkrings-nummer, den kanadensiska motsvarigheten till våra personnummer. Exakt vad han skulle göra med dessa framgår inte. Den 17:e juli tas 19-åringens fall upp i domstol. Det är okänt vilket straff han riskerar att dömas till om han skulle befinnas skyldig till brottet. Tumnagel
42.2°
+
Wille Wilhelmsson
0

Kontrollera om din Android-enhet är drabbad av Heartbleed
There's an app for that

Den här Heartbleed-buggen har säkert gett en och annan person lite huvudvärk de senaste veckorna. Denna otroliga säkerhetslucka drabbar dock inte enbart datorer, även Android-enheter är i riskzonen på grund av hur OpenSSL är implementerat i systemet. Så om man är nyfiken på om ens Android-enhet är i riskzonen finns nu appen Heartbleed Detector som är utvecklad av Lookout Mobile Security. Med denna app kan man se om telefonen har den drabbade versionen av OpenSSL och kollar även om kodbuggen, som Heartbleed utnyttjar, finns på enheten. Appen är gratis och kan hittas via länken nedan. Tumnagel
39.2°
+
Frode Wikesjö
0

Heartbleed släpper visst ifrån sig krypteringsnycklar
Tidigare information tillbakavisas

I fredags gick företaget CloudFlare ut med information som sa att den nyligen offentliggjorda Heartbleed-buggen var mindre allvarligt än befarat då obehöriga ej skulle kunna komma åt privata krypteringsnycklar via buggen. CloudFlare baserade sitt uttalande på sina egna tester då man ej lyckats komma åt några krypteringsnycklar och man satte även upp en tävling där man utmanade säkerhetsanalytiker, hackers och andra att komma åt krypteringsnycklar från en av CloudFlares servrar där Heartbleed-luckan ej var tätad. Det gick sådär för CloudFlare då programmeraren Fedor Indutny, som till vardags utveckla Node.js, en mjukvaruplattform för att skriva serverside-mjukvara i Javascript, förhållandevis snabbt kom över en privat kopieringsnyckel från CloudFlare. Enligt Indutny så tog det endast tre timmar att skriva programmet som användes för att komma över krypteringsnyckeln på CloudFlares server. CloudFlare har lovat att beskriva hur Indutny kom över nycklar från deras server men kommer sannolikt att vänta något med detta så att alla systemadministratörer runt om i världen hinner uppgradera OpenSSL och oskadliggöra Heartbleed-buggen. Tumnagel
32.1°
+
Wille Wilhelmsson
0

NSA kände till Heartbleed-buggen
Sägs ha utnyttjat den under två års tid

Nyhetsbyrån Bloomberg rapporterar att den amerikanska säkerhets/spion-organisationen NSA ska ha känt till och utnyttjat den så kallade Heartbleed-buggen för att komma åt krypterad information. Enligt Bloomberg kan NSA ha utnyttjat buggen så länge som i två år innan den till slut offentliggjordes, och förhoppningsvis spärrades, tidigare den här veckan. Bloombergs uppgifter ska komma från två separata och anonyma källor. NSA har inte kommenterat dessa uppgifter själva men den amerikanska regeringens säkerhetsorganisation säger: "Reports that NSA or any other part of the government were aware of the so-called Heartbleed vulnerability before 2014 are wrong." Tumnagel
15.6°
+
Wille Wilhelmsson
0

Heartbleed kan vara mindre allvarligt än befarat
Går ej att komma åt krypteringsnycklar

Heartbleed-buggen som avslöjades för någon vecka sedan kan vara en av de allvarligaste säkerhetsbristerna någonsin på internet men nu går hostingföretaget CloudFlare ut med information som gör gällande att Heartbleed antagligen är något mindre allvarligt än vad man tidigare befarat. Enligt CloudFlare så går det inte att komma åt sajters privata krypteringsnycklar via Heartbleed-luckan, något som man tidigare trott, vilket gör att obehöriga inte kan använda sajters krypteringsnycklar även om man har tätat säkerhetshållet. CloudFlare skriver på sin blogg att man under två veckors tid utnyttjat Heartbleed-buggen för att komma över privata krypteringsnycklar men inte lyckats med det under något av sina försök. Matthew Prince, VD på CloudFlare, säger: "Heartbleed still is extremely dangerous, but some of the worst fears about it having been used by organizations like the NSA to hoover up everyonex27s private SSL keys look pretty unlikely to us based on this testing." Företaget har nu satt avsiktligt lagt upp en webbsajt som ej är skyddad mot Heartbleed-buggen och utmanar nu säkerhetspecialister, hackers och andra att försöka komma åt krypteringsnyckeln till sajten [länk]. Tumnagel
46.0°
+
Wille Wilhelmsson
0

Så här fungerar Heartbleed-buggen
Xkcd förklarar

På senare dagar så har det varit mycket snack om Heartbleed-buggen som tydligen påverkat större delen av internet och gör att hackare kunnat få tag på massor av information från alla möjliga sajter. Om du är intresserad av hur denna bugg fungerar så har xkcd gjort en serie för att förklara det hela. Tumnagel
59.1°
+
Gordon Andersson
0

Allvarlig säkerhetslucka upptäckt i OpenSSL
Kan ha drabbat många servrar på nätet

Säkerhetsforskare har hittat en allvarlig säkerhetslucka i OpenSSL [wiki] och man har döpt denna bugg till Heartbleed. OpenSSL är en open source- implementation av protokoll som hanterar kryptering på internet och Heartbleed-buggen innebär att obehöriga dels kan komma åt krypterad data på en webbsajt, dels komma åt krypteringsnycklarna som är tänkta att skydda denna data. Luckan är tätad i den senaste versionen av OpenSSL som släpptes igår men har man inte uppdaterat den så är det stor risk att servern kan vara vidöppen för en attack. Tyvärr verkar det även som om säkerhetsluckan har existerat i hela två år så det är väl inte helt omöjligt att mindre nogräknade personer redan kan ha utnyttjat buggen. Tumnagel
27.5°
+
Wille Wilhelmsson
0