Citat:
jablan:
Citat:
Ivan Dimkovic:O kakvoj konkretnoj ozbiljnosti se prica?
Ja sam daleko od elitnog security eksperta, ali se ne sećam da je bilo ranjivosti koja je kačila veću količinu servera, odnosno, posredno, broj korisnika (bukvalno SVI MI ovde smo moguće žrtve jer koristimo https non-stop). A posebno imajući u vidu da HB postoji već dve godine, i ne zahteva neku egzotičnu kombinaciju softvera, već se nalazio u svakom openssl libu. Što se privilegija tiče, dokazano je nakon manje od 12 sati CloudFlare izazova da napadač lako može pokupiti privatni ključ https servera. A da ne govorimo o "tričarijama" koje se nalaze po klijentskim HTTP requestovima poput ličnih podataka, šifara, brojeva kreditnih kartica itd... :)
Ni ja nisam security expert, samo laicki gledam stvar, tako da mozda gresim.
Ali samo vidim nekoliko stvari zbog kojih sumnjam da se
za sada moze tvrditi da je ovo najozbiljniji bag u istoriji covecanstva:
1. Ovaj bag kaci samo mali broj revizija OpenSSL biblioteke. Na primer, gomila embedded hardvera po ruterima i sl. koristi matore verzije i ne update-uju se cesto. Ta osobina (dug period izmedju update-a) sama po sebi nije dobra stvar, ali je u ovom slucaju ispala korisna. Primera radi, moj internet router koristi verziju 0.98. Sumnjam da ljudi cesto update-uju svoje rutere.
2. Cak i ako server ima OpenSSL biblioteku koja je zakacena propustom to samo po sebi ne garantuje uspeh u fishing ekspediciji za podacima. Uspeh zavisi od toga kako se memorija koristi i, koliko mi je poznato, ljudima koji su napravili proof-of-concept je bilo potrebno dosta pokusaja da izvuku nesto korisno.
3. Mozda zvuci smesno, ali medijski hype vezan za ovaj propust ce mozda uciniti njegovu efikasnost manjom posto je mnogo veci broj ljudi obavesten. Mislim, kad u familiji imam slucaje ne-IT ljudi koji pitaju "sta da radimo, culi smo za neki veliki problem, da li smo sigurni?" mislim da to dosta govori o tome koliko je ovaj bug poznat. Ovaj bug je izazvao trku za patch-ovanjem softvera i kod ljudi/organizacija koji normalno ne bi bili tako brzi. IMHO, mozda ce na kraju broj ranjivih sistema biti manji nego u slucaju drugih bug-ova koji nisu dobili medijsku paznju.
Nemoj pogresno da me shvatis: #2 je vrlo ozbiljna stvar, cak i ako je uspeh daleko manjii od 100% - ali bi bilo netacno reci da ovaj propust automatski znaci pokradene sertifikate i sl...
--
Zbog ove 2 stvari gore, mislim da je u ovom momentu upitno nazivati ovaj bag najvecim u istoriji covecanstva.
Bar za sada. Mozda ce ispasti na kraju, ali u ovom momentu mislim jos da nemamo podatke koji bi to potvrdili.
Mislim da ce biti potrebno bar nekoliko meseci da se vidi koliko je uspesno iskoriscen sto je, IMHO, faktor koji diktira "ozbiljnost" nekog problema.
Uzgred, konkurencija je ipak gusta:
- Conficker
- Nimda
- MS Blaster
- Adobe PDF exploit-i
- Rupe u Oracle JVM-u
Uzgred, koga zanima istorijat propusta u softveru koji su napravili dovoljnu stetu za kvalifikaciju u "hall of fame"
http://www.zdnet.com/before-he...lnerabilities-ever-7000028347/
http://www.computerworld.com/s...ures_11_infamous_software_bugs
http://archive.wired.com/softw...ws/2005/11/69355?currentPage=2
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos:
http://www.digicortex.net/node/17 Gallery:
http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! -
https://github.com/psyq321/PowerMonkey