Computerworld Skrevet 13. april 2015 Del Skrevet 13. april 2015 Ett år etter at Heartbleed-feilen ble kjent, er 74 prosent fremdeles sårbare.Tre av fire blør ennå Lenke til kommentar
007CD Skrevet 13. april 2015 Del Skrevet 13. april 2015 Ett stort problem er alle slike "Embedded" enheter som ligger rundt omkring som benyttes til styring av forskjellige småting, samt en god del hjemmeroutere. Men om det er noen trøst, så er det fortsatt en god del UPnP svakheter ute og går også. Lenke til kommentar
tommyb Skrevet 14. april 2015 Del Skrevet 14. april 2015 "Problemet er ufullstendig reparasjon av feilen." "For å rette opp denne feilen fullstendig trenges mer omfattende tiltak enn det som er det vanlige for sikkerhetsfeil i programvare. Det holder ikke å bare oppdatere programvaren til en versjon der feilen er rettet, i tillegg må nye krypteringsnøkler og digitale sertifikater utstedes. Disse må erstatte de gamle nøklene og sertifikatene, som deretter må tilbakekalles for å hindre at de kan tas i bruk av uvedkommende som har stjålet dem som en følge av feilen." Jeg kjenner på meg at jeg mener denne artikkelen/poenget er oppblåst. "Heldigvis" er dette formulert på en måte som gir meg et verbalt poeng. Feilen er rettet opp når man har patchet. Problemet som er beskrevet er beskrivelsen av forsinket misbruk av stjålne sertifikatdata fra et vellykket angrep fra da feilen fortsatt lå upatchet. Med mindre noen sitter på stjålede data for din server, er dette en ikke-sak. Lenke til kommentar
tommyb Skrevet 14. april 2015 Del Skrevet 14. april 2015 Ett stort problem er alle slike "Embedded" enheter som ligger rundt omkring som benyttes til styring av forskjellige småting, samt en god del hjemmeroutere. Men om det er noen trøst, så er det fortsatt en god del UPnP svakheter ute og går også. Jeg mener også dette er et kjempeproblem. Men ikke hvis man sammenligner med hvilke "muligheter" for problem man kan få dersom det kommer en billion billige ikke-oppdaterte ikke-oppdaterbare IoT-enheter direkte på nett. Lenke til kommentar
007CD Skrevet 14. april 2015 Del Skrevet 14. april 2015 Jeg mener også dette er et kjempeproblem. Men ikke hvis man sammenligner med hvilke "muligheter" for problem man kan få dersom det kommer en billion billige ikke-oppdaterte ikke-oppdaterbare IoT-enheter direkte på nett. IoT er ett sikkerhetsmareritt som kommer, embedded er ett sikkerhetsproblem vi har NÅ. Så vi får begynne å få order på alle disse embedded greiene før vi noen sinne rører noe IoT opplegg, for med dagens system så blir det vanlig å høre at banken ble hacket via en lyspære eller lignende. Lenke til kommentar
VegardBe Skrevet 15. april 2015 Del Skrevet 15. april 2015 Med mindre noen sitter på stjålede data for din server, er dette en ikke-sak. Så da er jo spørsmålet: Hvordan kan du være sikker på at noen ikke sitter på stjålne data fra din server? Hint: Det kan du ikke. Forøvrig har OpenSSL blitt gjennomgått litt i etterkant av Heartbleed, og flere andre sårbarheter er avdekket. Det er nødvendig fra et sikkerhetsperspektiv å patche til siste versjon, ikke bare den som fikset Heartbleed. Lenke til kommentar
tommyb Skrevet 15. april 2015 Del Skrevet 15. april 2015 (endret) Nei, du kan ikke det. Men andelen som har tilfeldig matet ut sertifikater gjennom denne sårbarheten er helt åpenbart mye lavere enn "tre av fire". Saken er vinklet helt ut av proposjoner. Artikkelen hevder at tre av fire ikke har lappet problemet. Det kan jeg ikke si meg enig i. Mange av disse tre av fire har også patchet til siste versjon, som du anbefaler. Tre av fire lever i uvisse om noen sitter på allerede stjålte data de kan bruke i framtiden. Det blir noe helt annet. Endret 15. april 2015 av tommyb Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå