logo Homepage
+  NewbieContest
|-+  News» News Hacking/Cracking/Phreaking» A poil sur Internet !
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: A poil sur Internet !  (Lu 6780 fois)
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« le: 09 Avril 2014 à 16:45:17 »

Et ben, la semaine est forte en émotions !

Hier, en plus de la fin du support XP, on a eu un beau "bug" sur openssl. Une bête variable non sécurisée a permis (pendant plus ou moins deux ans apparemment) de mettre tous les sites utilisant du SSL a poil sur Internet. Quand je dis à poil, cela signifie récupération potentielle des clés privées, mais aussi les crédentials, les numéros potentiels de CB, des cookies de sessions, et j'en passe. En gros, dès qu'on a du SSL, on est virtuellement foutu !

Le truc marrant dans l'histoire, c'est que openSSL, c'est pas un petit projet, il est utilisé un peu partout,  ça pique un peu du coup. Même le FBI a été touché. Encore un coup de la NSA ?

Techniquement parlant, ce n'est pas très compliqué à comprendre, juste une histoire de mémoire non initialisée : le client envoie régulièrement des heartbeats, le serveur les recoie et répond. Le souci c'est que le serveur attend un message d'une taille définie. Si on envoie un message de taille inférieur, le serveur complète son retour avec ce qui se trouve dans la ram. Si ce qui est dans la ram contient des mots de passes, c'est gagné

La petite info qui va bien, c'est la mise à jour des sources  : en mettant la version 1.0.1g, le problème est résolu. A faire d'urgence.

Un peu plus d'explications ici : heartbleed.com ou là : pcinpact.com
Pour faire le teste, c'est par là : filippo.io/Heartbleed/


Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
tarzanlefumeur

Profil challenge

Classement : 72/54252

Membre Complet
***
Hors ligne Hors ligne
Messages: 110


Voir le profil
« #1 le: 09 Avril 2014 à 17:55:49 »

Hi !

En effet en voilà une belle faille !
Un peu plus d'infos techniques avec ce lien : http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html

En tout cas c'est cool ces petites news régulières sur le site
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #2 le: 09 Avril 2014 à 20:07:55 »

Cool, thanks pour le lien technique, ça m'évite de pondre un truc

Btw, je me suis pas rendu compte au premier coup d'oeil hier, mais cette faille est énorme, elle surpasse de loin la faille de 2008 qui permettait de chopper les clés privées, on a (virtuellement) accès à toute la mémoire du process, suffit de lancer l'attaque en boucle et tu récupères en clair plus ou moins tout le trafic d'un site, même pas besoin de MITM
Imagine un peu les banques, elles ont du pas mal se faire dessus en apprenant le truc !

Content que les news régulières te plaisent, faut pas hésiter à poster, pour peu que la news soit un minimum rédigée, avec quelques sources

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Thopajo
Profil challenge

Classement : 1487/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 12


Voir le profil
« #3 le: 09 Avril 2014 à 22:25:02 »

Petite précision c'est uniquement à partir de la 1.0.1 jusque 1.0.1f les autres ne sont pas impactées normalement.
(aussi la 1.0.2beta1 me semble t il)

Également si l'extension heartbeat id15 n'est pas activée pas de problème non plus (de ma compréhension)

Pour tester en local :

openssl s_client -connect localhost:443  -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe
Journalisée
ferbos

Profil challenge

Classement : 11/54252

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #4 le: 12 Avril 2014 à 07:40:57 »

Vachement déçu par la rubrique, je pensais à un truc plus lubrique

Du type: Hollande+Payet=(je te rejoins en scooter)

ferbos
Journalisée

"Les seules limites sont les fautes."
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #5 le: 12 Avril 2014 à 11:19:54 »

Dans ce cas, ce lien est pour toi   

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 11/54252

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #6 le: 12 Avril 2014 à 17:57:10 »

Merci. J'avais du mal à choisir entre le Carlton et le Sofitel pour cet été

ferbos
Journalisée

"Les seules limites sont les fautes."
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #7 le: 14 Avril 2014 à 07:41:41 »

C'est maintenant officiel, on PEUT obtenir les clés privées avec Heartbleed : blog.cloudflare.com/the-results-of-the-cloudflare-challenge

Avant, on était sur de la théorie, là, c'est concret !

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Thopajo
Profil challenge

Classement : 1487/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 12


Voir le profil
« #8 le: 14 Avril 2014 à 10:40:16 »

Merci pour l'info
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #9 le: 14 Avril 2014 à 13:01:53 »

Azy, j'suis vraiment sous doué avec le bbcode en ce moment.

Bref, link fixed, tu peux réessayer maintenant

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 11/54252

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #10 le: 14 Avril 2014 à 23:35:38 »

J'suis sûr que le bbcode n'est pour rien dans cette histoire. Les liens "people" sont plus facile à écrire

Amen.

ferbos
Journalisée

"Les seules limites sont les fautes."
Pages: [1]
  Imprimer  
 
Aller à: