Heartbleed, la falla sfruttata forse già nei mesi passati

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ati_51865.html

La falla, aperta da due anni, potrebbe essere stata sfruttata ben prima della sua scoperta pubblica. In rete emerge qualche elemento a suffragio dell'ipotesi

Click sul link per visualizzare la notizia.

[matrix83]

E' da mesi che si conosce e adopera questa falla, erano gia usciti a riguardo articoli l'anno scorso e nessuno se l'è mai cacata. Ora sembra quasi che nessuno ne sapeva nulla e vogliono far credere di cascare dalle nuvole. Oppure semplicemente si sfruttano news vecchie dandole come nuove perchè è la moda del momento.

[pabloski]

Quote:

Originariamente inviato da matrix83

E' da mesi che si conosce e adopera questa falla, erano gia usciti a riguardo articoli l'anno scorso e nessuno se l'è mai cacata. Ora sembra quasi che nessuno ne sapeva nulla e vogliono far credere di cascare dalle nuvole. Oppure semplicemente si sfruttano news vecchie dandole come nuove perchè è la moda del momento.

Ne hanno parlato l'anno scorso? E non avrebbero patchato? Impossibile!!!

Forse ti riferisci a quest'altra vulnerabilità https://freedom-to-tinker.com/blog/k...n-openssl-bug/

[WarDuck]

Volevo segnalare questo articolo su ZDNet:

http://www.zdnet.com/lagging-android...ed-7000028319/

[pabloski]

Quote:

Originariamente inviato da WarDuck

Volevo segnalare questo articolo su ZDNet:

http://www.zdnet.com/lagging-android...ed-7000028319/

Non capisco perchè l'autore ha aggiunto "lagging" nel titolo. Bah!

Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza ), per cui si può solo speculare e sperare che gli interessati si diano una mossa.

[WarDuck]

Quote:

Originariamente inviato da pabloski

Non capisco perchè l'autore ha aggiunto "lagging" nel titolo. Bah!

Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza ), per cui si può solo speculare e sperare che gli interessati si diano una mossa.

Penso stia per "lagging behind", ovvero rimanere indietro, pensando a quei dispositivi che non vengono aggiornati alle nuove versioni di Android (e che quindi potrebbero rimanere vulnerabili per un certo periodo di tempo).

[san80d]

si può togliere il "forse" dal titolo

[pabloski]

Quote:

Originariamente inviato da san80d

si può togliere il "forse" dal titolo

Non è detto, perchè non si hanno informazioni su eventuali exploit usati già da mesi.

[Estwald]

Quote:

Originariamente inviato da pabloski

Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza )

OpenSSL è dual licensed ed è impossibile sapere quali software/prodotti la usano solo se questi violano alcune delle clausole presenti in entrambe le licenze, e violare la licenza è possibile anche quando questa si chiama GPL.

[pabloski]

Quote:

Originariamente inviato da Estwald

OpenSSL è dual licensed ed è impossibile sapere quali software/prodotti la usano solo se questi violano alcune delle clausole presenti in entrambe le licenze, e violare la licenza è possibile anche quando questa si chiama GPL.

No un momento. Nel caso di BSD e Apache, tu puoi legalmente usare il software e non rendere opensource il codice del prodotto derivato. Nel caso della GPL puoi ovviamente farlo ( ma puoi pure copiare windows, cambiargli il logo e venderlo come tuo sistema operativo ), ma violi la licenza.

Non credo proprio che ci siano migliaia di aziende che vanno in giro a violare licenze, soprattutto quando la BSD ti consente di non pubblicare il codice e il tutto LEGALMENTE!!!

[Estwald]

Quote:

Originariamente inviato da pabloski

No un momento. Nel caso di BSD e Apache, tu puoi legalmente usare il software e non rendere opensource il codice del prodotto derivato. Nel caso della GPL puoi ovviamente farlo ( ma puoi pure copiare windows, cambiargli il logo e venderlo come tuo sistema operativo ), ma violi la licenza.

Non credo proprio che ci siano migliaia di aziende che vanno in giro a violare licenze, soprattutto quando la BSD ti consente di non pubblicare il codice e il tutto LEGALMENTE!!!

Tu non hai parlato di codice e io nemmeno. Prendendosi la briga di leggerla una licenza BSD (quella di OpenSSL nello specifico), si scoprirebbe che nelle versioni più comuni si parla anche di copyright specificando che va riportato nella documentazione allegata al prodotto anche nel caso il software venga distribuito in forma binaria ("with or without modification"). Morale della favola è possibile stabilire se un prodotto usa OpenSSL o meno tranne quando la licenza viene violata.

[pabloski]

4-clause BSD ( la licenza in questione ) http://en.wikipedia.org/wiki/BSD_lic..._License.22.29

" Redistributions in binary form must reproduce the above copyright notice"

Ovvero Copyright (C) xxxx Pinco Pallino. In tutto questo come si fa a concludere di quale software si tratta?

[Estwald]

Quote:

Originariamente inviato da pabloski

4-clause BSD ( la licenza in questione ) http://en.wikipedia.org/wiki/BSD_lic..._License.22.29

" Redistributions in binary form must reproduce the above copyright notice"

Ovvero Copyright (C) xxxx Pinco Pallino. In tutto questo come si fa a concludere di quale software si tratta?

Quote:

* Copyright (c) 1998-2011 The OpenSSL Project. All rights reserved.

Quote:

/* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
* All rights reserved.

Quote:

Copyright 1992-2014 The FreeBSD Project. All rights reserved.

E come si presentano queste informazioni di solito:

http://www.scei.co.jp/ps3-license/

http://www.barclays.co.uk/MobileBank...P1242610562319

...

https://www.google.it/search?q=Eric+...m)%22&safe=off

...

Ma è veramente necessario proseguire?

[pabloski]

Il secondo esempio è la prova di quello che dicevo. Eric Young, quindi? Si vede che non sempre il copyright è attribuito ad una persona giuridica.

E anche nel caso di persona giuridica, esistono entità che producono software di vario tipo. Gli esempi di Openssl Project e FreeBSD Project non rappresentano la totalità dei casi ( anzi credo proprio che siano la minoranza ).

Hai postato la pagina della Sony su ps3, io ti posto quella su ps4 http://www.scei.co.jp/ps4-license/

Ma quella pagina è courtesy by Sony, nella licenza BSD non è richiesta una cosa del genere. Si chiede solo che le copyright notices siano presenti da qualche parte ( in genere le mettono nella finestra "informazioni su" ).

Prendo un software a caso da quella lista: ICU. C'è scritto "Copyright (c) 1995-2014 International Business Machines Corporation and others". Quindi? Dovrei capire che si tratta di ICU in base a quali informazioni?

Per capirci meglio, prendiamo Google chrome.

Prima "Copyright (c) 2005, Google Inc.". Dopo "Copyright (c) 2012 The Chromium Authors. All rights reserved.".

Il dopo funziona, il prima no!!!!

[Estwald]

Quote:

Originariamente inviato da pabloski

Il secondo esempio è la prova di quello che dicevo. Eric Young, quindi? Si vede che non sempre il copyright è attribuito ad una persona giuridica.

Eric Young, quindi?

Quanti Eric Young hanno rilasciato software di una minima rilevanza (OpenSSL ) in quel periodo di tempo con quella licenza? "Il secondo esempio è la prova" che può bastare una banale ricerca col solito motore per scoprire di quale software si tratta anche quando il nome riportato, di primo acchitto, non dice nulla.

Quote:

Originariamente inviato da pabloski

E anche nel caso di persona giuridica, esistono entità che producono software di vario tipo. Gli esempi di Openssl Project e FreeBSD Project non rappresentano la totalità dei casi ( anzi credo proprio che siano la minoranza ).

Che non rappresentino la totalità dei casi è solare, che siano la minoranza è sostanzialmente irrilevante come la maggior parte del software che viene rilasciato, open o closed che sia.

Quote:

Originariamente inviato da pabloski

Hai postato la pagina della Sony su ps3, io ti posto quella su ps4 http://www.scei.co.jp/ps4-license/

Ma quella pagina è courtesy by Sony, nella licenza BSD non è richiesta una cosa del genere. Si chiede solo che le copyright notices siano presenti da qualche parte ( in genere le mettono nella finestra "informazioni su" ).

Altra ovvietà. Non ho mai scritto che tutti devono fare la loro bella pagina web ma anche un banale pop-up o un file di testo sono sufficienti. Ciò non toglie che quel tipo di informazione viene riportata, anche per apparecchi hardware, su materiale cartaceo. Quindi chi vuole prendersi la briga di fare delle verifiche ne ha la possibilità.

Quote:

Originariamente inviato da pabloski

Prendo un software a caso da quella lista: ICU. C'è scritto "Copyright (c) 1995-2014 International Business Machines Corporation and others". Quindi? Dovrei capire che si tratta di ICU in base a quali informazioni?

In base alla mai troppo decantata capacità di usare il solitissimo motore di ricerca che date le considerazioni fatte in precedenza ti porterà pressoché dritto dritto sul sito di ICU così come del Mersenne Twister e altri. Provare per credere.

Quote:

Originariamente inviato da pabloski

Per capirci meglio, prendiamo Google chrome.

Prima "Copyright (c) 2005, Google Inc.". Dopo "Copyright (c) 2012 The Chromium Authors. All rights reserved.".

Il dopo funziona, il prima no!!!!

Questo è l'unico esempio in cui, forse, hai un minimo di ragione. Copyright generico di una grossa azienda che potrebbe aver rilasciato molti sofware diversi (nel caso di Chrome però The Chromium Authors si trova in circolazione minimo dal 2008 con data iniziale 2006). Ma è un aspetto che va valutato caso per caso e che cdo non riguarda OpenSSL, alla faccia dell'impossibilità di stabilire quali prodotti la usano ...

[pabloski]

Quote:

Originariamente inviato da Estwald

Quanti Eric Young hanno rilasciato software di una minima rilevanza (OpenSSL ) in quel periodo di tempo con quella licenza?

Eric Young potrebbe aver rilasciato tantissimi software. Siccome c'è solo il suo nome, come faccio a stabilire di quale software si tratta in quello specifico caso?

Quote:

Originariamente inviato da Estwald

Altra ovvietà. Non ho mai scritto che tutti devono fare la loro bella pagina web ma anche un banale pop-up o un file di testo sono sufficienti. Ciò non toglie che quel tipo di informazione viene riportata, anche per apparecchi hardware, su materiale cartaceo. Quindi chi vuole prendersi la briga di fare delle verifiche ne ha la possibilità.

Appunto. Lo si può specificare dove pare, anche nel manuale d'istruzioni, con le scritte in piccolo e in fondo all'ultima pagina!!

Quote:

Originariamente inviato da Estwald

In base alla mai troppo decantata capacità di usare il solitissimo motore di ricerca che date le considerazioni fatte in precedenza ti porterà pressoché dritto dritto sul sito di ICU così come del Mersenne Twister e altri. Provare per credere.

Proviamo allora. Perchè IBM certamente non ha scritto solo ICU!

Quote:

Originariamente inviato da Estwald

Questo è l'unico esempio in cui, forse, hai un minimo di ragione. Copyright generico di una grossa azienda che potrebbe aver rilasciato molti sofware diversi (nel caso di Chrome però The Chromium Authors si trova in circolazione minimo dal 2008 con data iniziale 2006). Ma è un aspetto che va valutato caso per caso e che cdo non riguarda OpenSSL, alla faccia dell'impossibilità di stabilire quali prodotti la usano ...

La fai troppo facile. Sono andato a leggermi un pò di cose sulla BSD e ho trovato degli spunti interessanti.

Innanzitutto l'interpretazione della clausola 2 è tutt'altro che univoca "I think you are confused as to what is meant by 'redistribution in binary form'. As far as I'm concerned it only applies if you're providing the library in binary form for others to link with"

Primo problema.

Secondo problema è relativo ai lavori derivati, ovvero i fork. In nessuna delle 4 clausole è specificato cosa fare in caso di fork.

Un caso emblematico è Apple con il suo XNU ( parte Mach, parte FreeBSD ). Tuttavia non vedo da nessuna parte le relative copyright notices.

[Raghnar-The coWolf-]

Mah io ho gia' constatato che senza doppia autenticazione non c'e' password che tenga, una volta che si e' nel mirino dei botnet giusti...

E ho provato anche a usare password uniche di 16 caratteri alfanumerici per vedermele fregate dopo poco...

[pabloski]

Quote:

Originariamente inviato da Raghnar-The coWolf-

Mah io ho gia' constatato che senza doppia autenticazione non c'e' password che tenga, una volta che si e' nel mirino dei botnet giusti...

E ho provato anche a usare password uniche di 16 caratteri alfanumerici per vedermele fregate dopo poco...

Ti riferisci a dei test "interni" che hai effettuato, o a servizi di pubblico dominio? Se è la seconda, direi che siamo nella cacchina fino al collo!!

[Raghnar-The coWolf-]

Quote:

Originariamente inviato da pabloski

Ti riferisci a dei test "interni" che hai effettuato, o a servizi di pubblico dominio? Se è la seconda, direi che siamo nella cacchina fino al collo!!

la seconda.
Ho avuto diversi accessi non riconosciuti sui miei account Google, Facebook e Hotmail (che fortunatamente ti avvisano se c'e' un accesso "sospetto") sebbene io abbia aumentato progressivamente la difficolta' delle password (prima era pure lettere 6/7 caratteri, poi alfanumerica 10 lettere, ora ce l'ho a 16 caratteri alfanumerica e ho ricevuto comunque qualche "intrusione" se non fosse che ho messo la doppia autenticazione).

Ho controllato di non avere Keylogger o roba simile.

Probabilmente sono un bersaglio sensibile dato il lavoro che faccio e la presenza internet che per qualche tempo non e' stata cosi' secondaria (il mio blog aveva 2/3000 accessi al giorno), ma credo oramai le password abbiano fatto in ogni caso il loro tempo.

[Estwald]

Quote:

Originariamente inviato da pabloski

Eric Young potrebbe aver rilasciato tantissimi software. Siccome c'è solo il suo nome, come faccio a stabilire di quale software si tratta in quello specifico caso?

Premesso che si parla sempre principalmente di OpenSSL che ha anche una licenza con una copyright notice inequivocabile, dove sono gli altri, tantissimi, "cryptographic software" scritti da Eric Young in quel lasso di tempo e così diffusi da essere stati presi in pancia da una moltitudine di altri progetti sparsi per il globo?

Quote:

Originariamente inviato da pabloski

Appunto. Lo si può specificare dove pare, anche nel manuale d'istruzioni, con le scritte in piccolo e in fondo all'ultima pagina!!

Certo, manca solo l'inchiostro simpatico.

Quote:

Originariamente inviato da pabloski

Proviamo allora. Perchè IBM certamente non ha scritto solo ICU!

Tuo link di partenza:

http://www.scei.co.jp/ps4-license/

Link che si apre cliccando su ICU:

http://www.scei.co.jp/ps4-license/icu.html

Nota copyright riportata (tra le altre diversa da quella che hai riportato e che sempre tra le altre non comprende solo IBM):

"Copyright (c) 1995-2009 International Business Machines Corporation and others All rights reserved."

Ricerca col solito amico:

https://www.google.it/search?q=Copyr...m=122&ie=UTF-8

Secondo risultato dall'alto. Un'impresa veramente ostica ...

Quote:

Originariamente inviato da pabloski

La fai troppo facile. Sono andato a leggermi un pò di cose sulla BSD e ho trovato degli spunti interessanti.

Anche la tua frase di partenza era un "farla troppo facile". Scontento che si scenda al tuo livello?

Quote:

Originariamente inviato da pabloski

Innanzitutto l'interpretazione della clausola 2 è tutt'altro che univoca "I think you are confused as to what is meant by 'redistribution in binary form'. As far as I'm concerned it only applies if you're providing the library in binary form for others to link with"

Primo problema.

Innanzitutto quello è il parere di un singolo sviluppatore (json-framework, visto che manco ti degni di mettere un link), d'altra parte se effetivamente fosse così Sony, Barclays, etc. (con i loro baldi uffici legali) non avrebbero motivo per riportare la licenza dei software BSD che utilizzano in nessun dove. Chiaramente IANAL e mi sto appellando al principio di autorità visto che come dovrebbe sapere soprattutto ogni amante della GPL e dei cavilli certe diatribe si chiariscono solo nelle aule di un tribunale anche quando le clausole da rispettare sono poche e relativamente semplici.

Quote:

Originariamente inviato da pabloski

Secondo problema è relativo ai lavori derivati, ovvero i fork. In nessuna delle 4 clausole è specificato cosa fare in caso di fork.

Un caso emblematico è Apple con il suo XNU ( parte Mach, parte FreeBSD ). Tuttavia non vedo da nessuna parte le relative copyright notices.

Io non so dove e cosa tu stia guardando però una cosa sicura è che nelle note legali accessibili dall'apposita voce di menù in un qualsiasi iPad Mini sono riportate una sfilza di licenze e copyright notice tra cui quelle relative a FreeBSD, DragonFly, lo stesso json-framework e via a cascata.

Detto questo, continua pure a perdere tempo da solo ...