Heartbleedを巡るさまざまな議論、現実的な攻撃シナリオは?
セキュリティ・ベンダーのブログから、押さえておきたい話題を紹介する。今回は、なんといっても、オープンソースのSSL/TLS実装ライブラリー「OpenSSL」に見つかった情報漏えいの脆弱性「Heartbleed」関連だろう。4月7日に公表されて以降、メディアでも多数取り上げられている。セキュリティ・ブログにも関連の話題が多い。例えば米ウェブセンス、スロバキアのイーセット、トレンドマイクロなどだ。 ウェブセンスは、Heartbleedを悪用する現実的なシナリオについてブログで考察している。 Heartbleedを利用する攻撃は、他のいずれの組織的な攻撃とも同様に、脆弱なOpenSSLを実装しているサイトを探すことから始まる。すでにいくつものコンセプト実証(PoC)コードが広く出回っており、誰でも1行のコマンドラインとインターネット接続があればWebサーバーの探索を始められる。脆弱なWebサイト
国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か
三菱UFJニコスは2014年4月18日、同社Webサービスから894人分の個人情報が流出した恐れがあることを明らかにした。OpenSSLの「Heartbleed(心臓出血)」脆弱性が悪用されたことを特定したという。特定した方法については、「セキュリティの都合上、コメントできない」(同社広報部)としている。 三菱UFJニコスでは、同社Webサービスに対して不正アクセスが行われたとして、4月11日14時30分から4月12日7時48分まで、会員専用のWebサービスを停止していた。今回、その原因や影響範囲について明らかにした。 それによると、今回の不正アクセスによって、同社発行のクレジットカード会員の情報894人分が第三者に閲覧された恐れがあるという。閲覧された恐れのある情報は、カード番号、氏名、生年月日、住所、電話番号など。 ただし、カード番号は一部がマスクされているので、悪用される可能性は極め
インターネットを苛んでいる Heartbleed バグ発見の経緯とは | readwrite.jp
「最初の傷が一番深い(The First Cut Is the Deepest)」という歌をご存じだろうか? 残念ながら、今世間を賑わせている Heartbleed バグに関して言えば、この歌は全く当てはまらない。なぜなら、このバグでオンライン上のセキュリティが負った傷について知れば知るほど、その深さと危険度は増していく一方だからだ。 関連記事:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと グーグルのエンジニア、ニール・メヒタとフィンランドのセキュリティー企業 Codenomicon 社が個別に発見した Heartbleed は、「近代のウェブを襲う最も深刻なセキュリティー問題の一つ」とされている。Heartbleed を発見、命名した Codenomicon 社のチームを率いる CEO、デビッド・シャルティエを取材して、その経緯と今後の展開につ
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
OpenSSLはサルによって書かれた
OpenSSLの脆弱性により、OpenSSLを使っているプロセスのどこかの64KBのメモリを何度もガチャ読みし放題というニュースが流れたのは、いまさら言うでもない。この騒動を発端として、OpenSSLのような超重要なソフトウェアが、実は内部的にはいかに悲惨でずさんであるかということを書いた記事が、ネット上に浮上しつつある。 OpenSSL is written by monkeys (2009) | Hacker News Flingpoo! OpenSSLのコードが汚すぎるというお話。 インデントだけでも相当変だ。 "OpenSSL has exploit mitigation countermeasures to make sure it's exploitable" | Hacker News Re: FYA: http: heartbleed.com むかし、OpenSSLのメモリ
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない | スラド IT
諜報機関の関与も疑われているOpenSSLの「Heartbleed」バグだが、原因を作った開発者は意図的なバグの挿入を否定し、開発時のミスだと説明している(Deutsche Telekomの記事、 The Sydney Morning Heraldの記事、 PC Proの記事、 The Globe and Mailの記事、 本家/.)。 この開発者は当時ドイツ・ミュンスター大学の大学院生で、現在はDeutsche Telekomに勤務している。大学ではOpenSSLを使用した研究を行っており、研究の一環としてバグフィックスや新機能などでOpenSSLプロジェクトに貢献していた。しかし、彼がコードを書いたTLS/DTLSのHeartbeat拡張では、特定の変数に格納されたデータが正しいかどうかをチェックしていなかったという。そのため、不正な値を入力することで、メモリー上のデータを意図した長さ
Heartbleedバグのコードを解説 - Qiita
今回バグってたのはheartbeat extension という機能の実装。 RFCはこちら https://tools.ietf.org/html/rfc6520 Heartbleedバグに対する修正コミット http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 バグ解説 4. Heartbeat Request and Response Messages The Heartbeat protocol messages consist of their type and an arbitrary payload and padding. struct { HeartbeatMessageType type; uint16 payload_length
ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 | readwrite.jp
インターネット上での買い物や財産管理、電子メールの送受信などにおけるプライバシーを守ってくれるはずのセキュリティ・ソフトに関する重大なバグ、「Heartbleed」が最近発見された。今のところ、このバグによる実際のファイナンス情報やアカウント情報その他に関する傍受や盗難に繋がるような被害は報告されていないが、恐らくそれは時間の問題だ。 良いニュースは、こうした傍受や盗難から自分の情報を保護する方法があるということ。悪いニュースは、それらの対策は単純だが必ずしも簡単ではないということだ。 なぜ Heartbleed は深刻なのかまず簡単に背景を説明しよう。ハッカーなどの攻撃者が Heartbleed バグを悪用した場合、サイト上のウェブ・コミュニケーションを保護してくれるはずの、OpenSSLと呼ばれるオープンソースの暗号化セキュリティ技術を迂回できてしまう。このバグによって攻撃者はウェブサ
NSA、「Heartbleed」脆弱性をデータ収集活動に利用と報じられる--声明で否定
米国家安全保障局(NSA)は、「Heartbleed」バグを少なくとも2年前から把握しており、NSAはそれを秘密にした上で機密情報の収集に利用していたことが報じられている。このニュースは、NSAによるスパイ活動があらゆる人のために存在するインターネットの安全性を脅かすという批判を煽ることになるかもしれない。 Bloombergが「本件に詳しい」2人の匿名情報筋の話として報じたところによると、NSAはHeartbleedを利用することで、「パスワードなどの基本データを取得することができた。これらは、NSAの中核的任務でありながら、代償を伴う洗練されたハッキング操作に欠かせないものだ。その結果、何百万人もの一般ユーザーが、他国の諜報機関や悪意のあるハッカーによる攻撃にさらされた状態になっていた」という。 NSAは当初、Heartbleedのバグに関して「知っていた、あるいは使用していた」のかど
エフセキュアブログ : 管理者達へ:Heartbleedの修正するときに設定基準を見直そう
管理者達へ:Heartbleedの修正するときに設定基準を見直そう 2014年04月09日18:39 ツイート fsecure_corporation ヘルシンキ発 by:ジャルノ・ネメラ とにかくSSLの更新は必要なので、設定が最近の基準に沿っているかについても確認しようではないか。 Heartbleedについてたくさんの大騒ぎがあったから、管理者ならすでに何をすべきか知っているだろう。 1. 脆弱なバージョンのOpenSSLを使っているものをすべて特定する 2. 最新バージョンのOpenSSLに更新する 3. 古いプライベートキーとSSL証明書は漏えいした可能性があるので、新しいものを作成する 4. 古い証明書を失効にする だがサーバの設定を触って、新しいSSL証明書を作成しなければならないのなら、証明書生成の設定やサーバの設定にも手を伸ばすことをお勧めする。HeartbleedはS
エフセキュアブログ : Openssl Heartbleed 攻撃の検知について
Openssl Heartbleed 攻撃の検知について 2014年04月11日18:08 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 ここ数年で最悪の脆弱性と言われているOpenSSL Heartbleedですが、そろそろ脆弱性への対応を終え、ホッと一息いれている組織も多いのではないでしょうか。 #Shodanで確認する限りでは対応が追いついていないところがあるようですが・・・ また、個人レベルではSNSやクラウド・ストレージなどのパスワード変更も忘れずに実施しておきたいところです。 参考: The Heartbleed Hit List: The Passwords You Need to Change Right Now Heartbleed Bug Health Report [追記] さて、既に報道などでの報告の通り、今回の攻撃はサーバ上のログなど
OpenBSD、怒りのコミット
OpenSSLのheatbeatバグの対応のため、OpenBSDはOpenSSLのheatbeatを無効にするコミットをした。ただし・・・ src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 このコミットは、Makefileの中で、OpenSSLでheatbeatを無効にするマクロを定義するよう、コンパイラーオプションを指定するものだ。ただし、無効にするマクロは、OPE
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
「わたしは不幸にも見逃した」:壊滅的バグ・Heartbleedを追加した人物へのインタヴュー
/blog/2014/04/microsoft-opensslheartbleed/