Følg Milforum på Facebook, Instagram og Twitter!

Kunngjøring

Collapse
No announcement yet.

Sikkerhetsglipp

Collapse
X
 
  • Filter
  • Tid
  • Show
Clear All
new posts

  • Sikkerhetsglipp

    Vet ikke med dere, men jeg tar dette seriøst.
    Hvertfall et tips til dere som ikke leser nyhetene.


    http://www.vg.no/forbruker/teknologi...aa/a/10130428/

  • #2
    Dette er faktisk enda mer alvorlig enn det VG forteller. Mange kaller det det størst sikkerhetshullet noensinne.

    Et av problemene nå er at selv om nettsidene oppdaterer programvaren sin, så kan hackere ha fått tak i informasjon som gjør at de kan utgi seg for å være den nettsiden du prøver å nå. Dette kan brukes i såkalte Man-in-the-middle attacks. For å forhindre dette må nettsidene i tillegg skaffe seg nye sertifikater (det som verifiserer at du kobler deg til riktig side) og gjøre de gamle ugyldig.

    En annen ting er at hvis du endrer passord på en nettside før feilen er fikset kan du risikere at noen får tak i det nye passordet også. Dermed har det egentlig liten hensikt å gjøre dette før nettsiden har oppdatert OpenSSL. Dessverre er det nok langt fra alle som vil si ifra om når dette er gjort.

    Det er sikkert mange som spør seg om det er sikkerhetstjenester som har visst om dette og utnyttet det lang tid. En av de mest alvorlige tingene i mine øyne er at det ikke nødvendigvis spiller noen rolle om det er tilfelle. Hvis SSL-nøkkelen til en nettside er kompromittert er dette nok til å dekryptere all trafikk som tidligere har gått til denne siden, forutsatt at det ikke er brukt en teknologi kalt PFS. Det gjør at dette er juleaften for de som har lagret trafikk i håp om å kunne dekryptere den på et senere tidspunkt.

    Hvis du er interessert i å lese mer om dette, så anbefaler jeg disse artiklene fra Ars Technica:
    http://arstechnica.com/security/2014...eavesdropping/
    http://arstechnica.com/security/2014...oulette-style/
    Og i tillegg denne nettsiden: http://heartbleed.com/

    Edit: Glemte å nevne at dette faktisk kan utnyttes andre veien også. En ondartet server kan bruke dette til å stjele data fra maskiner som kobler seg til den.

    Det er forresten sannsynligvis snakk om mange, mange millioner nettsider, ikke hundretusener slik VG skriver.
    Last edited by henbruas; DTG 092140 Apr 14, .

    Kommentér


    • #3
      Også NSM advarer: https://www.nsm.stat.no/Aktuelt/Nytt...rbarhet-i-SSL/
      Those who beat their swords into plowshares will plow for those who don't.

      Kommentér


      • #4
        Det er ikke mye vits i å drive og bytte alle sine passord. Hvis man allerede har hatt en fornuftig passord-bruk (f.eks. ikke bruke samme passord på nettbanken som på Facebook osv), er nøye med å gjøre programvareoppdateringer (inkludert nettleser) og kjører antivirus og brannmur, så er det ikke så mye mer for menigmann å gjøre. Det kommer nok til å komme en hel drøss med "revocation" altså tilbaketrekking av SSL-nøkler, så det er viktig å holde nettleseren oppdatert og sjekke at nettleseren faktisk mottar "key revoked"-meldinger fra sertifikatautoritetene.

        Det er jo krise for en hel rekke nettbutikker, nettsider, osv. der driftsansvarlige snarest må oppdatere og overvåke.

        Det som er typisk her er at hvis man har sittet og kjørt en gammel OpenSSL fra 2010 for eksempel, så hadde man ikke vært sårbar for denne feilen, men da hadde man jo vært sårbar for eldre feil.

        Kommentér


        • #5
          Når er det dere anbefaler at man burde bytte da?
          Hvis man skal vente til alt er oppdatert, noe jeg tipper NSM vet, så hadde de vel ikke kommet ut med det før det var klart?

          Kommentér


          • #6
            Det var mange patcher og fikserier til dette hullet ute i forrige uke, så mange sertifikattjenester er allerede oppdatert rundtom. Jeg ville ha oppdatert alt av pc, nettbrett og tlf og ventet til neste uke med å bytte passord, evt bytte nå og en gang til i neste uke.
            *smerte er midlertidig, ære varer evig*

            Kommentér


            • #7
              Status for ulike tjenester pr igår:
              https://github.com/musalbas/heartble...r/top10000.txt

              (Ctrl+F for tjenesten man er ute etter - gmail og face ser ut til å være ok)
              Beidh a lá leo

              Kommentér


              • #8
                NSM sier ikke at alle skal bytte passordene sine nå. De sier at tjenestene bør oppdatere sine systemer, og så varsle sine brukere og be dem om å bytte passord. Man kan jo gjøre dette automatisk også - sende ut passord-oppdatering automatisk når man har oppdatert.

                Kommentér


                • #9
                  Opprinnelig skrevet av Bestefar Vis post
                  Status for ulike tjenester pr igår:
                  https://github.com/musalbas/heartble...r/top10000.txt

                  (Ctrl+F for tjenesten man er ute etter - gmail og face ser ut til å være ok)
                  Hvis det ikke allerede er gjort burde en eller annen, f eks en norsk journalist, lage en oversikt over hvilke norske steder som er sårbare. Jeg tok et enkelt søk på ".no" på denne listen, og fikk 18 treff, som samtlige enten var 'not vulnerable' eller 'No SSL'. Bra, men neppe en komplett oversikt.
                  Those who beat their swords into plowshares will plow for those who don't.

                  Kommentér


                  • #10
                    Beste konsekvensanalyse:

                    "Reality is that which, when you stop believing in it, doesn't go away." Philipp K. Dick

                    Kommentér


                    • #11
                      Beste beskrivelse av feilen:

                      "Reality is that which, when you stop believing in it, doesn't go away." Philipp K. Dick

                      Kommentér

                      Fremhevede emner

                      Collapse
                       

                      Forsvarets jobbsøkerregister

                      Militær kompetanse tar lang tid å skape og koster forsvaret masse. I løpet av de siste 4 årene så har det vært gjort test på et jobbsøkeregister. Disse testene har vært vellykket og rulles nå ut i større skala. Ønsker du deg tilbake i Forsvaret igjen så er det bare å registrere seg.



                      https://forsvaret.no/jobb-i-forsvaret/jobbregister...
                       

                      Luftforsvarets organisering

                      Har tilbrakt noe tid på Wikipedia og prøvd å skrive om bl.a Luftforsvarets organisering.

                      Sjekk gjerne ut her, og kom med med tilbakemeldinger om det er noe som bør endres:
                      https://no.wikipedia.org/wiki/Luftfo...derlagte_baser

                      For øyeblikket jobber jeg med 132. Luftving (lenke), og da spesielt Baseforsvarsskvadronen. Og nå lurer på hvor Nasjonal Innsatsstyrke (lenke)...
                       

                      Sikkerhetsloven


                      (Illustrasjonsfoto: Denne posten er ikke gradert.)


                      Vi fikk ny sikkerhetslov 1.januar 2019: https://www.nsm.stat.no/publikasjone....-januar-2019/


                      Det ble utgitt en serie veileder utover høsten i fjor: https://www.nsm.stat.no/publikasjone.../veiledninger/...
                       

                      UD 2-1 Forsvarets sikkerhetsbestemmelser for landmilitær virksomhet

                      UD 2-1 Forsvarets sikkerhetsbestemmelser for landmilitær virksomhet har kommet ut med en ny utgave:

                      https://forsvaret.no/fakta_/ForsvaretDocuments/UD%202-1%20(norsk).pdf

                      ...
                       

                      Fokus: Etterretningstjenesten


                      Etterretningstjenesten


                      Etterretningstjenesten er ​Norges militære og sivile utenlandsetterretningstjeneste. ​​​​​​​​​​​​​​​​​​​​​​​​​​​​ ​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​HVE M ER ETTERRETNINGSTJENESTEN, OG HVA GJØR VI?

                      Selv om tjenesten er en integrert del av Forsvarets organisasjon og virksomhet, løser tjenesten oppdrag for hele myndighetsapparatet og arbeider...
                       

                      100 ÅR ETTER

                      100 år etter Forrige århundre er fullt av dramatiske begivenheter som har formet verden helt opp til vår tid. Mange grenser i Europa er direkte resultat av de to verdenskrigene, og også i resten av verden hører vi fortsatt gjenklangen fra den svunne kolonitiden, med land som ble skapt av vinnerne fra den første krigen, og som ble selvstendig i tiden etter den andre. Denne tråden dekker gapet mel...
                       

                      Et nytt forsvarskonsept?

                      I to artikler Sverre Diesen har hatt i Norsk Militært Tidsskrift avslutter den tidligere forsvarssjefen med å etterlyse et nytt, helhetlig forsvarskonsept for landet. Et komplett, detaljert konsept vil helt sikkert være gradert, men det forhindrer oss ikke i å føre en overordnet diskusjon her. I og med at jeg regner med at Diesen har tilgang til relevant gradert materiale, og han altså etterlyser...
                       

                      Beskikkelser på Milforum

                      Det er flere brukere som de siste dagene har fått sine velfortjente befalsgrader på milforum for god innsats. Siden ordningen nettopp er innført, er det litt for mange som har blitt sersjant (OR-5) eller sersjant klasse 1 (OR-5+) til at vi kan gi en individuell vurdering av hver enkelt, men samtlige er gode og solide bidragsytere over tid. Dette gjelder også mange av de som nå har grader mellom menig...
                       

                      NSM: Årlig risikovurdering


                      Ole Gunnar Onsøien
                      NTB scanpix

                      – Betydelig risiko for spionasje, sabotasje og terror


                      Nasjonal sikkerhetsmyndighet (NSM) med ny, nedslående vurdering av IKT-trusselbildet i Norge.

                      – Både store og små virksomheter i offentlig og privat sektor er utsatt. Den grunnleggende sikkerheten er ikke på plass, sier direktør Kjetil Nilsen i Nasjonal sikkerhetsmyndighet...
                       

                      Fokus - Etterretningstjenestens årlige vurdering



                      Etterretningstjenestens rapport kan lastes ned fra lenken til høyre på siden:
                      http://forsvaret.no/aktuelt/publisert/n ... pport.aspx

                      Rapporten dekker hovedpunktene:
                      Kode:
                          Globale utviklingstrekk
                          Nordområdene / Arktis
                          Russland
                          Afghanistan
                          Pakistan
                          Kina
                          Midtøsten og Nord-Afrika
                          Iran
                          Sudan
                          Somalia
                          Terrorisme
                          Spredning av
                      ...
                       

                      Jente i kongens klær? Dette er tråden!

                      Oppfordring mottatt og iverksatt. Som jente i førstegangstjenesten er det ofte en del spørsmål som dukker opp før oppmøtedagen og under året i grønt, og en del av disse kan ikke alltid mannfolka/guttungene svare på- nettopp fordi de ikke kan sette seg inn i situasjonen. I denne tråden kan man stille spørsmålene, komme med tips og råd, eller bare dele erfaringer man har gjort seg underveis. Jeg har...
                       

                      Tema: Luftforsvaret

                      Snublet over denne siden med masse bilder av Luftforsvarets maskiner, helt fra perioden med dobbeltdekkere og til dagens F16. Anbefaler alle med flyinteresse å sjekke det ut! http://airforcephotos.luftkrigsskole...3/Default.aspx
                       

                      Forsvarets veterantjeneste (FVT)

                      Forsvarsnett: Forsvaret vil ha veteransenter Katrine Gramshaug, SDV, 2007-06-06


                      – Forsvaret trenger et rekreasjonssenter for veteraner. Det er viktig at vi nå får på plass et fast sted hvor vi kan tilby tjenester til veteraner, sier forsvarssjef Sverre Diesen.

                      Av Katrine Gramshaug, Personell-, økonomi- og styringsstaben

                      http://www.mil.no/veteraner/start/aktue...

                      Donasjoner

                      Collapse
                      Working...
                      X