Kunngjøring

Collapse

Info

Problemer med innlogging/registering er løst, og e-post sendt til de berørte.
See more
See less

Sikkerhetsglipp

Collapse
X
 
  • Filter
  • Tid
  • Show
Clear All
new posts

    Sikkerhetsglipp

    Vet ikke med dere, men jeg tar dette seriøst.
    Hvertfall et tips til dere som ikke leser nyhetene.


    http://www.vg.no/forbruker/teknologi...aa/a/10130428/

    #2
    Dette er faktisk enda mer alvorlig enn det VG forteller. Mange kaller det det størst sikkerhetshullet noensinne.

    Et av problemene nå er at selv om nettsidene oppdaterer programvaren sin, så kan hackere ha fått tak i informasjon som gjør at de kan utgi seg for å være den nettsiden du prøver å nå. Dette kan brukes i såkalte Man-in-the-middle attacks. For å forhindre dette må nettsidene i tillegg skaffe seg nye sertifikater (det som verifiserer at du kobler deg til riktig side) og gjøre de gamle ugyldig.

    En annen ting er at hvis du endrer passord på en nettside før feilen er fikset kan du risikere at noen får tak i det nye passordet også. Dermed har det egentlig liten hensikt å gjøre dette før nettsiden har oppdatert OpenSSL. Dessverre er det nok langt fra alle som vil si ifra om når dette er gjort.

    Det er sikkert mange som spør seg om det er sikkerhetstjenester som har visst om dette og utnyttet det lang tid. En av de mest alvorlige tingene i mine øyne er at det ikke nødvendigvis spiller noen rolle om det er tilfelle. Hvis SSL-nøkkelen til en nettside er kompromittert er dette nok til å dekryptere all trafikk som tidligere har gått til denne siden, forutsatt at det ikke er brukt en teknologi kalt PFS. Det gjør at dette er juleaften for de som har lagret trafikk i håp om å kunne dekryptere den på et senere tidspunkt.

    Hvis du er interessert i å lese mer om dette, så anbefaler jeg disse artiklene fra Ars Technica:
    http://arstechnica.com/security/2014...eavesdropping/
    http://arstechnica.com/security/2014...oulette-style/
    Og i tillegg denne nettsiden: http://heartbleed.com/

    Edit: Glemte å nevne at dette faktisk kan utnyttes andre veien også. En ondartet server kan bruke dette til å stjele data fra maskiner som kobler seg til den.

    Det er forresten sannsynligvis snakk om mange, mange millioner nettsider, ikke hundretusener slik VG skriver.
    Last edited by henbruas; DTG 092240A Apr 14, .

    Comment


      #3
      Også NSM advarer: https://www.nsm.stat.no/Aktuelt/Nytt...rbarhet-i-SSL/
      Those who beat their swords into plowshares will plow for those who don't.

      Comment


        #4
        Det er ikke mye vits i å drive og bytte alle sine passord. Hvis man allerede har hatt en fornuftig passord-bruk (f.eks. ikke bruke samme passord på nettbanken som på Facebook osv), er nøye med å gjøre programvareoppdateringer (inkludert nettleser) og kjører antivirus og brannmur, så er det ikke så mye mer for menigmann å gjøre. Det kommer nok til å komme en hel drøss med "revocation" altså tilbaketrekking av SSL-nøkler, så det er viktig å holde nettleseren oppdatert og sjekke at nettleseren faktisk mottar "key revoked"-meldinger fra sertifikatautoritetene.

        Det er jo krise for en hel rekke nettbutikker, nettsider, osv. der driftsansvarlige snarest må oppdatere og overvåke.

        Det som er typisk her er at hvis man har sittet og kjørt en gammel OpenSSL fra 2010 for eksempel, så hadde man ikke vært sårbar for denne feilen, men da hadde man jo vært sårbar for eldre feil.

        Comment


          #5
          Når er det dere anbefaler at man burde bytte da?
          Hvis man skal vente til alt er oppdatert, noe jeg tipper NSM vet, så hadde de vel ikke kommet ut med det før det var klart?

          Comment


            #6
            Det var mange patcher og fikserier til dette hullet ute i forrige uke, så mange sertifikattjenester er allerede oppdatert rundtom. Jeg ville ha oppdatert alt av pc, nettbrett og tlf og ventet til neste uke med å bytte passord, evt bytte nå og en gang til i neste uke.
            *smerte er midlertidig, ære varer evig*

            Comment


              #7
              Status for ulike tjenester pr igår:
              https://github.com/musalbas/heartble...r/top10000.txt

              (Ctrl+F for tjenesten man er ute etter - gmail og face ser ut til å være ok)
              Beidh a lá leo

              Comment


                #8
                NSM sier ikke at alle skal bytte passordene sine nå. De sier at tjenestene bør oppdatere sine systemer, og så varsle sine brukere og be dem om å bytte passord. Man kan jo gjøre dette automatisk også - sende ut passord-oppdatering automatisk når man har oppdatert.

                Comment


                  #9
                  Opprinnelig skrevet av Bestefar Vis post
                  Status for ulike tjenester pr igår:
                  https://github.com/musalbas/heartble...r/top10000.txt

                  (Ctrl+F for tjenesten man er ute etter - gmail og face ser ut til å være ok)
                  Hvis det ikke allerede er gjort burde en eller annen, f eks en norsk journalist, lage en oversikt over hvilke norske steder som er sårbare. Jeg tok et enkelt søk på ".no" på denne listen, og fikk 18 treff, som samtlige enten var 'not vulnerable' eller 'No SSL'. Bra, men neppe en komplett oversikt.
                  Those who beat their swords into plowshares will plow for those who don't.

                  Comment


                    #10
                    Beste konsekvensanalyse:

                    "Reality is that which, when you stop believing in it, doesn't go away." Philipp K. Dick

                    Comment


                      #11
                      Beste beskrivelse av feilen:

                      "Reality is that which, when you stop believing in it, doesn't go away." Philipp K. Dick

                      Comment

                       
                      • Filter
                      • Tid
                      • Show
                      • New Topics
                      Clear All
                      new posts
                      No content found
                      Show More
                       
                      • Filter
                      • Tid
                      • Show
                      • New Topics
                      Clear All
                      new posts
                      Please log in to your account to view your subscribed posts.
                      Underforum Tråder Innlegg Nyeste innlegg
                      Oppstillingsplassen
                      Tekniske driftsmeldinger
                      Tekniske driftsmeldinger.
                      Tråder: 8 Innlegg: 654
                      Nyeste innlegg: Milforum: Driftsmeldinger
                      8 654
                      Kunngjøringer fra ledelsen
                      Kunngjøringer og informasjon fra forumledelsen.
                      Tråder: 15 Innlegg: 1.086
                      Nyeste innlegg: Meldinger til/fra S-1
                      15 1.086
                      Kommentarer fra rekkene
                      Stedet for korte spørsmål og kommentarer om forumet. Faglige diskusjoner tar vi på andre tråder under fagforumene.
                      Tråder: 3 Innlegg: 450
                      Nyeste innlegg: NYE BRUKERE - POST HER!
                      3 450
                      Fagforum S-1: Personell & administrasjon
                      S-1 1. Førstegangstjeneste, opptak og trening
                      Rekruttering, opptak og trening til førstegangstjeneste. Livet som vernepliktig etter førstegangstjenesten.
                      Tråder: 2.453 Innlegg: 41.955
                      Nyeste innlegg: Livet i tjeneste
                      2.453 41.955
                      Rittmester
                      Livet i tjeneste
                      Underforum:
                      Treningsdagbøker (11/1.130)
                      S-1 2. Utdanning og tjeneste
                      Utdanning og tjeneste som offiser, befal og spesialist, herunder diskusjoner rundt OMT (Ordning for Militært Tilsatte).
                      Tråder: 66 Innlegg: 2.900
                      Nyeste innlegg: Luftforsvarets flygeskole
                      66 2.900
                      Underforum:
                      S-1 3. Ledige stillinger innen totalforsvaret
                      Se annonseringer av ledige stillinger i Forsvaret, Politiet, NSM, Sivilforsvaret og andre forsvars- og sikkerhetsrelaterte næringer.
                      Tråder: 30 Innlegg: 492
                      30 492
                      S-1 4. Utnevnelser, utmerkelser og administrative forhold
                      Alt om utnevnelser, utmerkelser og annet administrativt.
                      Tråder: 8 Innlegg: 283
                      8 283
                      Fagforum S-2: Etterretning & sikkerhet
                      S-2 1. Generelle nyheter.
                      Her følger vi det generelle nyhetsbilde, hovedsaklig sikkerhets og militærrelaterte temaer, verden over.
                      Tråder: 1.054 Innlegg: 33.842
                      1.054 33.842
                      S-2 2. Etterretning
                      Følg utviklingen i ulike deler av verden, regioner, land og konfliktområder.
                      Underinndeling og innhold er tilpasset Etterretningstjenestens fokusområder.
                      Tråder: 395 Innlegg: 28.350
                      395 28.350
                      Underforum:
                      Tema: Russland (58/6.882)
                      Tema: Asia (102/4.213)
                      S-2 3. Sikkerhet
                      Terrorisme, spionasje, sabotasje, subversjon og organisert kriminalitet.
                      Underinndeling og innhold er tilpasset PSTs trusselvurderinger.
                      Tråder: 59 Innlegg: 5.302
                      59 5.302
                      Underforum:
                      22.juli 2011 (32/4.562)
                      S-2 4. Nyhetsfeed
                      Automatiske nyhetsfeeder. NB! Slettes automatisk etter en tid, så diskusjoner bør føres videre på andre tråder.
                      Tråder: 206 Innlegg: 261
                      206 261
                      Fagforum S-3: Operasjoner & avdelinger
                      S-3 1. Forsvarets avdelinger, øvelser og operasjoner
                      Forsvarets ulike forsvarsgrener, våpengrener og avdelinger.
                      Tråder: 2.549 Innlegg: 62.550
                      Nyeste innlegg: FN Mali: Operasjon MINUSMA
                      2.549 62.550
                      93A
                      FN Mali: Operasjon MINUSMA
                      av 93A
                      Underforum:
                      Hæren (41/1.518)
                      Sjøforsvaret (36/1.959)
                      Luftforsvaret (62/1.285)
                      Heimevernet (564/17.509)
                      S-3 2. Totalforsvaret
                      Diskuter totalforsvaret unntatt Forsvaret, herunder Sivilforsvaret, Redningstjenesten og Politiet.
                      Tråder: 584 Innlegg: 19.529
                      Nyeste innlegg: Rettssaken mot Erik Jensen
                      584 19.529
                      Underforum:
                      Politiet (235/12.996)
                      S-3 3. Ledelse
                      Diskuter ledelse, strategi, operasjonskunst og taktikk.
                      Tråder: 9 Innlegg: 179
                      Nyeste innlegg: Ledelse
                      9 179
                      93A
                      Ledelse
                      av 93A
                      S-3 4. Militære fag og stridsteknikk
                      Stridsteknikk, skyting, feltarbeider, sprengning, vintertjeneste og andre militære fag.
                      Tråder: 21 Innlegg: 2.271
                      Nyeste innlegg: Den store PI-tråden
                      21 2.271
                      pioff
                      Den store PI-tråden
                      av pioff
                      Fagforum S-4: Logistikk & materiell
                      S-4 1. Kjøretøy, fartøy og fly
                      Alt om militære kjøretøy, fartøy og flymaskiner.
                      Tråder: 109 Innlegg: 10.281
                      109 10.281
                      S-4 4. Forsvarets anskaffelser, annet materiell
                      Analyser og diskusjoner om ulike anskaffelser av militært materiell til Forsvaret i Norge, samt generelle diskusjoner rundt materiell som ikke er dekket andre plasser.
                      Tråder: 65 Innlegg: 827
                      65 827
                      Underforum:
                      Landsystemer (28/624)
                      Sjøsystemer (4/5)
                      Luftsystemer (6/41)
                      INI-systemer (23/128)
                      Fagforum S-5: Planer & policy
                      S-5 1. Forsvarsbudsjett, planer og doktriner
                      Forsvarsbudsjett og langtidsplaner, doktriner og militærmakt. Debatt rundt politiske føringer for Forsvaret, samt Forsvarets egne strategier og planer.
                      Tråder: 93 Innlegg: 6.070
                      93 6.070
                      S-5 3. Militærhistorie
                      Her diskuterer vi norsk og internasjonal militærhistorie, avdelingstradisjoner og militaria.
                      Tråder: 411 Innlegg: 10.512
                      411 10.512
                      Underforum:
                      S-5 4. Veteranforum
                      Informasjon om veteraner og reservister og aktiviteter landet rundt. FN-tjeneste, NATO-Veteraner, NROF etc.
                      Tråder: 89 Innlegg: 1.564
                      Nyeste innlegg: Team Rubicon.
                      89 1.564
                      magskor
                      Team Rubicon.
                      av magskor
                      Fagforum S-6: Samband & IKT
                      S-6 1. Fagforum Samband
                      Dette formet skal være for alle innlegg om sambandsmidler, relaterte systemer, erfaringer, utdanning, avdelinger og historikk samles. Tråden vil være ugradert, noe som er en selvfølge på dette forumet.
                      Tråder: 119 Innlegg: 1.706
                      Nyeste innlegg: Alternativ til kontorkasse
                      119 1.706
                      Underforum:
                      01 Fagområder (16/297)
                      02 Felttriks (23/301)
                      S-6 2. Tekniske forum
                      Her diskuterer vi tekniske saker innenfor IKT og data, som ikke er dekket av fagforum samband.
                      Tråder: 170 Innlegg: 3.017
                      170 3.017
                      Markedsplassen
                      Kjøp og salg
                      Her kjøper og selger du utstyr. Kun for privatpersoner.
                      Buy and sell kit. Non-commercial use only.
                      Tråder: 537 Innlegg: 2.182
                      537 2.182
                      Milforums testarena
                      Tester med terningkast på forskjellige typer utstyr. Det forutsettes at tester ikke har noen tilknytning til produsent eller forhandler av utstyret.
                      Tråder: 3 Innlegg: 16
                      3 16
                      Bedriftspresentasjoner
                      Bedrifter som mener de har noe å tilby Milforums lesere, enten i form av produkter eller jobb, kan her legge inn en tråd med informasjon og relevante lenker.
                      Tråder: 2 Innlegg: 2
                      2 2
                      Working...
                      X