Общественность усомнилась в адекватности разработчиков OpenSSL
Специалисты по информационной безопасности продолжают обсуждать ситуацию с уязвимостью OpenSSL 1.0.1: из-за бага в расширении Heartbeat для TLS любой человек в мире мог просмотреть содержимое оперативной памяти примерно 66% всех серверов в интернете, фрагментами по 64 КБ.
Как минимум десятая часть этих серверов уязвима и сейчас, спустя несколько дней после выхода патча для OpenSSL 1.0.1.
Недавно в публичном доступе появился эксплойт для простого считывания памяти удаленного сервера и инструменты для поиска уязвимых серверов, а вчера вышел специализированный скрипт для сканера Nmap, модуль для Metasploit.
Что характерно, вышеупомянутая уязвимость – вовсе не единственный баг в OpenSSL. Специалисты давно говорили о крайне низком качестве кода этой библиотеки. Еще в 2009 году вышла статья «OpenSSL писали обезьяны», а в твиттер-аккаунте @OpenSSLFact каждый день публикуют примеры ужасного кода из OpenSSL.
Комментарии
pomodor
10 апреля, 2014 - 15:33
Хоть я и помню о принципе, что в оупенсорсе никто никому ничего не должен, но все же хочется сказать следующее: разработчики OpenSSL — гандоны. Мало того, что целых 3 года вместо ожидаемого шифрования народ получал фуфел и очень серьезно подставлялся. Так еще по факту всем подселили трояна, через который можно было сливать пользовательские данные. Я считаю, что после такого бага имена виновных должны быть названы, чтобы ни одна контора не взяла бы «спецов» на работу. Запрет на профессию для козлов.
Texnoline
11 апреля, 2014 - 04:01
сегодня проверял все сервочки nmapом, блин засада, скриптик работает с ужасающей точностью и эффективностью....думаю что делать, и ищу альтернативу....уроды разрабы.....
Чингачгук
13 апреля, 2014 - 13:42
А вы, пользуясь чужим кодом и не проверивший его на пригодность, уродом не являетесь? Сорцы не изучали, взяли из Сети чужую работу, пользовались ею, и весь прекрасный из себя. А может, стоит пойти к МС, заплатить им деньги, у них всё чисто ;). Там не уроды сидят, там прекраснодушные ребята, никогда не ошибающиеся.
Несколько сотен тысяч придурков пользовалось, все проглядели, но виноват, оказывается, тот, кто ошибся. Во логика. Понимаю, коли так считали бы поборники закрытого ПО, но люди, пользующиеся СПО... Стыдно вам должно быть, стыдно. Ни хера так и не понимаете, что это за мир, в котором каждый, включая вас, несёт ответственность, а не только тот, кто за вас сделал эту работу, поэтому на зеркало надо пенять, только на зеркало.
pomodor
14 апреля, 2014 - 14:46
Вам когда врач диагноз ставит, вы собственноручно перепроверяете его выводы, анализы, корректность проведения диагностических процедур? Подозреваю, что нет. Потому как каждый должен заниматься своим делом. Но вот если человек чувствует, что из него хреновый врач и его лечение может обернуться смертями, он старается подыскать себе другое занятие. Этот криворукий Робин Зеггельман мог бы поступить так же.
Platon
11 апреля, 2014 - 07:44
Последствия OpenSSL HeartBleed
Заплатка
pomodor
11 апреля, 2014 - 11:39
Заплатка-то нафига? Во всех приличных дистрибутивах заштопанный OpenSSL доступен для установки через штатную обновлялку.
Кстати, любезный Debian еще выдал любопытную справку при обновлении. :)
Несколько напрягает только необходимость смены паролей.
Texnoline
11 апреля, 2014 - 17:33
Самый простой пример блокирования:
Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32:
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"
Блокируем heartbeat-запросы:
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Отслеживаем возможные атаки при помощи Wireshark:
tshark -i interface port 443 -R 'frame[68:1] == 18'
tshark -i interface port 443 -R 'ssl.record.content_type == 24'
pomodor
14 апреля, 2014 - 14:42
Нефига себе простой! Представляю тогда себе какой сложный. ;) Это скорее не блокирование, а сбор списка IP-адресов атакующих для последующей перманентной блокировки. Атаки же ведутся со всяких анонимных VPN-гадючников, которые не помешает забанить.
Чингачгук
13 апреля, 2014 - 13:37
Видимо, общественность просто тупа, раз не понимает, что ошибки были, есть и будут. Ещё в 80-ые доводилось читать, что на каждые 10000 строк кода обязательно присутствует одна ошибка. Сейчас времена изменились, программирование ушло дальше, но и ошибок накопилось уйма. Ошибиться может каждый, поэтому модель открытого программного обеспечения призвана исправлять эти ошибки. Не заметили? Ну так чего на человека-то пенять. Он исправлял чужие ошибки и не вонял о них, а тут накинулись. В сырцах лень ковыряться, нашли стрелочника. Другое дело, если есть доказательства злого умысла, но опять же — куда все эти «ментейнеры» смотрели? Крупные фирмы включили это ПО в свои устройства, и никто не увидел ошибки. Сильны задним умом, ага.
pomodor
14 апреля, 2014 - 14:51
Так никто же не спорит. Ошибки бывают. Только один программер делает 1 ошибку на 10 тыс. строк кода, а другой 100. Команду разработчиков OpenSSL неоднократно предупреждали, что пора навести порядок в своих рядах и изгнать говнокодеров. Указывались конкретные персонажи, прилагались фрагменты говнокода с комментариями. Но руководство и рядовые члены понадеялись на авось. Так почему же теперь нельзя задавать вопросы?
Чингачгук
14 апреля, 2014 - 05:24
то есть гавнокод надо лепить и коверкать код ошибками и прекрываться СПО и открытостью кода, и тогда любые ошибки будут прощаться!? Замечательно, тогда зачем и кому надо пользоваться открытым гавнокодом школьников и студентов-индусов??????:((((((
Комментировать