פרישער באג הארטבליעד - The Heartbleed Bug

[היפאקריט]

היינט געווארן ארויסגעסיינט פון ביטבוקוט צוליב דעם בוג Heartbleed OpenSSL vulnerability און זיי האבן מיך געשיקט ליינען מער אינפארמאציע אויף http://heartbleed.com און אויף זייער בלוג
נאך נישט מעיין געווען אבער זעט אויס לאך אין ענקריפשן און א סעקיורעטי ריסק פאר פעססווארדס קרעדיט קארדס וכדו' גענוצט אויף די וועב
א שטיקל אין די נייעס און א פדף פון ביזנעס אינסיידער

ווער עס ווייסט מער דעטאלן זאל מיטטיילן ביטע
שוין דא אשכול?

[היפאקריט]

צו בודק זיין אויב א סייט איז אויסגעשטעלט צו דעם vulnerable קען מען דא http://filippo.io/Heartbleed
למשל http://filippo.io/Heartbleed/#bitbucket.org איז פארראכטן און סעיף, איר קענט טרעפן אזעלכע וואס זענען נישט
אדער קען מען טשעקן דא https://www.ssllabs.com/ssltest

לעסט פעסס זאגט איר ברויכט נישט זיין באזארגט איבער זיי

In summary, LastPass customers do not need to be concerned about their LastPass accounts. Though LastPass employs OpenSSL, we have multiple layers of encryption to protect our users and never have access to those encryption keys

http://blog.lastpass.com/2014/04/lastpa ... d-bug.html

[היפאקריט]

איינער קאמאנטירט אז אויך gmail איז געווען וואלנערבל מתחלה
מאדנע, דער באג איז אנדעקט געווארן דורך א גוגל ריסערטשער, טא פארוואס זיי האבן דאס נישט פארראכטן בעפאר זיי האבן דאס מפרסם געווען..

[שוועמל]

וויאזוי קען מען פאררעכטן א עראר פון broken pipe ?

[פאטאקי08]

דארף איך רי-קיען מיין SSL סערטיפיקעט?

[זאכליך]

איבעי האט מיר פריער געלאזט וויסן (דורך אן אימעיל) אז זיי האבן שוין גענומען די נויטיגע שריט זיך אפצוהיטן פון דעם פרישן באג.

[משנה מקום]

#בושות פאר אופען סאורס

[ניגון עתיק]

היינט באקומען פון קרעדיט-קארמא

You may have heard of the recent internet-wide security vulnerability called Heartbleed. We want to reassure you that our security team quickly secured the site, and we have no reason to believe that any accounts were affected as a result of Heartbleed. However, as a precaution, we recommend that you reset your password for Credit Karma. You can do so by clicking this link:
https://www.creditkarma.com/auth/resetpw
If you'd like to read more about Heartbleed, please view our blog post. If you have any questions, please feel free to email us at [email protected].
Sincerely,
Ken Lin, CEO of Credit Karma

[זאכליך]

וואס מיינט vulnerable ?
קען מיר איינער מסביר זיין וואס די באג טוט?

[היפאקריט]

וואלנרבל באדייט אויסגעשטעלט צו אן אטאקע
דער באג איז נישט קיין נייער, נאר יעצט אנדעקט געווארן דורך ריסורטשער, פשט איז אז העקערס האבן מעגליך שוין זיך באנוצט מיט דעם ווער ווייס ווי לאנג
וויזוי דער באג ארבעט ווייס איך נישט, בין נישט קיין העקקער. אבער וואס דער באג טוט זעט אויס אז עס לאזט דערויסנדיגע העקער צוקומען צו גאר סענסעטיווע אינפארמאציע אויב נאר עס איז געשיקט דורך די אינטערנעט (קרעדיט קארדס יוזער נעימס פעססווארדס און וואס נישט)
ווי בעקאנט נוצט מען ספעציעלע פארזיכערטע קאננעקשן HTTPS ווען מען שיקט סענסעטיווע אינפארמאציע וואס דארף פארזיכרן אז די געשיקטע דאטא קען נישט געליינט ווערן דורך קיינעם אויסער די צוויי (דער וועב סערווער און דער באנוצער)
האט זיך ארויסגעשטעלט זייער א נישט באטעמטער בילד דהיינו אז מיט א געוויסער העקער טאקטיק קען מען ארויסנארן גאר געהיימע אינפארמאציע און צוניש מאכן דעם SSL ענקריפשן און ס'איז געווארן ישמחו... דעם נאמען -און דער לאגא- האט מען געגיבן הארץ בלוטיגונג על שם וואס דאס לאזט פשוט אויסצאפן דאס גאנצע בלוט פונעם אטאקירטן סערווער
למעשה איז שנעל ארויסגעקומען אן אפדעיט- א פעטש אבער ביז אלע האבן דאס אפלייעד זענען זיי געווען נאך מער עט ריסק ווי בעפאר (כמדומני) ווייל יעצט איז דער באג אפען צו אלעמען
דא האט איר א ציטאט פון אן אימעיל פון רעקספעיס

As you may have heard, a major security vulnerability; dubbed "Heartbleed," was recently discovered in OpenSSL
OpenSSL enables SSL and TLS encryption, which governs HTTPS—the secure communications between your computer and the servers on the Internet. It is used by about 2/3 of the web servers in the world. This vulnerability was the result of a programming error (or bug) in several versions of OpenSSL
Due to the scope of this vulnerability, out of an abundance of caution, we are recommending an email password change for all users as soon as possible

Details
At its worst, Heartbleed allowed potential access to a private key for an SSL certificate as well as the encrypted communication itself
This basically means that any individual with the knowledge and skills required to exploit this vulnerability, had a window to grab your user names, passwords and any private information you may have accessed with practically any of your online services that utilize the affected versions of the OpenSSL toolkit

Mitigation
Upon learning of this exploit, Rackspace Email engineers took immediate action. After a full system audit, we concluded that no public-facing web servers were exposed. We did, however, find a single SMTP end-point which was intermittently vulnerable. We immediately removed this server from rotation, applied the proper updates and proceeded to insulate all remaining servers from potential exploit
We are confident that these actions eliminate any further vulnerability associated with your Rackspace Email & Apps Services and Heartbleed

Next Steps
At this time we have no reason to believe any sensitive user information was accessed, however, out of an abundance of caution we recommend that all end users change their email passwords at their earliest convenience
Users can easily update their password using our Webmail application at apps.rackspace.com (or their respective private label website). And remember, it is unsafe to use the same username & passwords across multiple online services
Again, out of an abundance of caution due to the sheer scope of this issue, we are recommending a password change for all users as soon as possible

אז איר ליינט אביסל אויף http://heartbleed.com וועט איר כאפן מער וואס דא גייט פאר. שרייבער מיט מער יסודית'דיגע פארשטאנד אין SSL ענקריפשן און בעסערע שרייבן סקילס וווערן געבעטן צו בעסער צונעמען די זאך

[פאטאקי08]

@BreakingNews: Sources: NSA knew for at least 2 years about Heartbleed bug, used it to gather intelligence - @BloombergNews http://t.co/6IbEbpthWr

[קנאפער ידען]

@BreakingNews: Sources: NSA knew for at least 2 years about Heartbleed bug, used it to gather intelligence - @BloombergNews http://t.co/6IbEbpthWr

עס קומט עכט נישט אין דעם אשכול, אבער אינעם לינק האט בלומבערג ניוס א שמועס מיט א אדווייזער פאר א סערוויס מיטן נאמען Ghostery, וואס לפי דבריו האט דאס עדווארד סנאודן רעקאמענדירט צו זיין פרייוועט ביים בראוזן דער געוועב.
וואלט'ך געוואלט וויסן איז דאס טאקע א פארלעסליכע און רעקאמענדירטע זאך?

[קנאפער ידען]

[אויפן אמ"ג האט איינער היינט געפרעגט וואס איז דאס Heartbleed, 'תרגום יונתן' האט אים קודם געענפערט, און פאלגענד איז מיין תגובה צו אים:]

א באג אין OpenSSL

עס עס על ווערט באנוצט בעיקר צו פארמיידן נעטווראק פראוויידערס, למשל ווערייזאן, קעיבל, דזשעינעט אי טי סי, צו זען די נעטווארק טרעפיק. אין אנדערע ווערטער עס בלאקירט זיי צו זען די וועב סייסט וואו זייערע קאסטומערס גייען.

ווען א וועב אדרעס הייבט זיך אן מיט https: מיינט עס די טראפיק איז פארזיכערט פון פרעמדע אויגן וואס קאנטראלירן די נעטווראק.

אן עס עס על וואלט די אינטערנעט נישט געקענט זיין אזא סוקסעס ווי עס איז.

OpenSSL איז א שטיקל סאפטוועיר וואס טוט צושטעלן עס עס על מעגליכקייטן פאר וועבסייטס. פארשטייט זיך די סאפטוועיר דארף זיין גאר זיכער אן קיינע באגס. יעצט איז מען געוואויר געווארן אז אין געוויסע ווערסיעס פון די סאפטוועיר איז פאראן א גאר שעדליכע באג וואס טוט ממש עפענען דעם גאנצן סערווער צום פובליק.

עס דרייט זיך ארום אן עקזעמפל וואו א פראגרעמער האט באוויזן צו ארויסדערווישן פרעמדע יוזערנעימס און פעסווארדס פון יאהו'ס וועב סערווערס.

מייקראסאפט'ס איי איי עס, אויך א וועב סערווער סאפטוועיר, איז נישט אפעקטירט.

​​תרגום האט שוין מער ווייניגער אלעס געזאגט איבער דער לעצטענס אנדעקטע מאסיווע וואונערעביליטי [ד.ה. שוואכקייט וואס אן אטאקירער קען אויסנוצן] וואס רופט זיך הארץ-בלוט [Heartbleed בלע"ז], אויפן וועלטל איז שוין אויכעט געווען א שטיקל אשכול דערוועגן קוק דא: [פרישער באג הארטבליעד - The Heartbleed Bug].

דער באג איז שוין אין קראפט פאר ארום צוויי גאנצע יאר און איז ביז יעצט נישט דעטעקטעד געווארן [הלוואי עס זאל טאקע נישט האבן דעטעקטעד געווארן דורך די בייזוויליגע פארשוינען, אבער עטליסט די ריסערטשערס האבן עס נישט געכאפט]. 'אפען עס.עס.על.' [Open SSL] ווערט גענוצט דורך כמעט איעדעם אריינגערעכענט גוגל יאהו פעיסבוק ועוד ועוד..., עס איז דער סאפטווער אינעם וועבזייטל וועלכער מאכט זיכער אז אלע דאטא געשיקט פונעם קלייענט [דער מענטש'ס צד] צום סערווער [דער וועבזייטל'ס צד] זאלן זיין פארדרייט און ענקריפטעד, כדי איינער וואס האט - דורך סייוועלכע וועג - צוטריט צו דיין אינטערנעט זענדונגען זאלן נישט קענען ליינען די אינפארמאציע וועלכער ווערט אויסגעטוישט.

עס איז געטראפן געווארן דורך א גוגל ריסערטשער אין צוזאמערארבעט מיט נאך עפעס א סעקיורעטי פירם, געוויסע טענה'ן אז גוגל האט שוין געוואוסט דערפון א חודש פאר זיי האבן עס פארציילט פארן פובליק, און זיי האבן קודם געוואלט פאררעכטן זייערע זאכן [נאך דעם וואס דער באג איז מפורסם איז עס מיליאן מאל מער סכנה, ווייל אויב די בייזוויליגע פארשוינען האבן ביז יעצט ישט געוואוסט דערפון ווייסט שוין יעצט יעדער].

דער טעכנישער הסבר פונעם באג איז בערך ווי פאלגענד: אינעם Open SSL איז דא אן עקסטענטשאן וואס רופט זיך דאס הארץ-קלאפעניש [Heartbeat בלע"ז], דער אויפגאבע פון דעם איז צו אנהאלטן א קשר מיט דער צווייטער צד פונעם קאננעקשאן, אנשטאט אז דער וועבזייטל זאל כמו אפשטעלן דער קאננעקשאן נאך יעדע אינפארמאציע שיקונג און זיך ברויכן פון פריש ריפרעשן ווען ער ווערט געבעטן פאר נאך עפעס, שיקט דער סערווער - ווי אויכעט דער קלייענט - יעדע שטיקל צייט ארויס אזעלכע הארץ-קלאפונגען צו ווייזן אז זיי זענען נאך דא. די הארץ-קלאפענישן גייען צו בערך אזוי, איינער פון די צדדים שיקן ארויס א ווארט למשל 'אייוועלט' און דער צווייטער צד ענפערט אים מיטן זעלבען ווארט - אין אונזער משל איז עס 'אייוועלט', אזוי ארום ווייסן ביידע אז מ'איז נאך אינמיטן דעם סעסיע.

דער פראבלעם איז אבער געווען, אז דער צד א' וועלכער שיקט ארויס דער גרוס צום צד ב' שיקט אויכעט מיט די אינפארמאציע וויפיל אותיות דער ווארט איז וכדו', און דער צד ב' טשעקט נישט אליין איבער וויפיל אותיות עס האט נאר קאפיט פון זיין אינפארמאציע די סכום אותיות וואס יענער בעט מיינענדיג אז דאס איז דאך די לעצטע פאר אותיות וועלכער ער האט אריינבאקומען פון גרוס שיקער. און וואס וועט זיין אויב דער וואס שיקט דער גרוס שרייבט אריין אין די אינפארמאציע אז ער איז צען טויזענט אותיות [אדער מער] ווען אינ'אמת'ן איז ער בלויז צען? דא שטעקט דער פראבלעם, דער צווייטער צד וועט צוריקשיקן דער ווארט פון צען אותיות, און מיט אים נאך ניין-טויזענט-ניין-הונדערט-און-ניינציג אותיות וועלכע ליגן דארט אינעם סערווער, וואס שטייט אין די אותיות? דאס קען אינהאלטן סיי וועלכע טרעפיק וועלכער איז געשיקט געווארן דורך דעם סערווער, און נאך ערגער קען דארט ליגן די שליסלעך צו מפענח זיין בכלליות די ענקטריפטעטע דאטא אויטויש פון דעם סערווער!

אויף למעשה איז עס זייער א גרויסע פראבלעם, ווייל עס ליגט גארנישט אין אונזער הענט צו פאררעכטן, מ'ברויך נאר ווארטן פאר די וועבזייטלעך זאלן עס פאררעכטן [דורך אריינבויען א נייער ווערסיע פון Open SSL וועלכער פארמאגט שוין א פעטש דערפאר]. גלייך נאכדעם וואס מ'ווייסט אז דער וועבזייטל איז שוין פארראכטן איז רעקאמענדירט ווי אמשנעלסטן צו טוישן די פעסווארד, אויכעט איז וויכטיג נישט אריינצולייגן סענסעטיווע אינפארמאציע אין וועבזייטלעך וועלכע זענען נאך יא אינפעקטירט. מ'קען טשעקן א וועבזייטל צו עס איז נאך וואונערבעל אויפן פאלגנדן לינק: http://safeweb.norton.com/heartbleed.

[יעצט ליין איך פונקט אז איינער פון די אינפעקטירטע זאכן מיט דעם וואונערעבעל ווערסיע פון OpenSSL, איז דער ענדרויד דזשעלי-ביען 4.1.1 אפערעטינג סיסטעם. גוגל זאגט אז זיי האלטן שוין אינמיטן צאמשטעלן א פיקס, און זיי האפן אז די פראוויידערס וועלן עס ווי אמשנעלסטן שיקן אויכעט צו זייערע קאסטומערס].

[למעלה משבעים]

יישר כח.

[לכתחילה אריבער]

יישר כח.

[זאכליך]

קנאפער, שכוח!

[פאטאקי08]

עס עס על ווערט באנוצט בעיקר צו פארמיידן נעטווראק פראוויידערס, למשל ווערייזאן, קעיבל, דזשעינעט אי טי סי, צו זען די נעטווארק טרעפיק. אין אנדערע ווערטער עס בלאקירט זיי צו זען די וועב סייסט וואו זייערע קאסטומערס גייען.

עס נישט זעהן די יו אר על אויך נישט? דאן וויאזוי ווייסט ווערייזאן צו וועלכע אייפי אים צו שיקן?

[היפאקריט]

פאטאקי, איר זענט גערעכט (לפי ידיעתי) אזויווי דער טעלעפון פראוויידער קען זען צו וועלכן נומער איר רופט, אבער נישט הערן וואס איר זאגט (אויב איר רעדט ענקריפטעד)- קען מען נישט לע"ע באהאלטן צו וועמען אויף די אינטערנעט איר רעדט, נאר וואס איר רעדט- אויב נוצט איר SSL

[derech eretz]

וועלכע סייטס איז רעקאמענדירט צו טוישן פעסווארדס יעצט? דזשימעיל אויך?

[משנה מקום]

פאטאקי, איר זענט גערעכט (לפי ידיעתי) אזויווי דער טעלעפון פראוויידער קען זען צו וועלכן נומער איר רופט, אבער נישט הערן וואס איר זאגט (אויב איר רעדט ענקריפטעד)- קען מען נישט לע"ע באהאלטן צו וועמען אויף די אינטערנעט איר רעדט, נאר וואס איר רעדט- אויב נוצט איר SSL

נאופ די יו אר על ווערט אויך ענקריפטעד

[משנה מקום]

עס עס על ווערט באנוצט בעיקר צו פארמיידן נעטווראק פראוויידערס, למשל ווערייזאן, קעיבל, דזשעינעט אי טי סי, צו זען די נעטווארק טרעפיק. אין אנדערע ווערטער עס בלאקירט זיי צו זען די וועב סייסט וואו זייערע קאסטומערס גייען.

עס נישט זעהן די יו אר על אויך נישט? דאן וויאזוי ווייסט ווערייזאן צו וועלכע אייפי אים צו שיקן?

דאס איז נישט די איירבעט פין ווערייזען דאס איז די איירבעט פין די די ען עס סערווער

[היפאקריט]

פאטאקי, איר זענט גערעכט (לפי ידיעתי) אזויווי דער טעלעפון פראוויידער קען זען צו וועלכן נומער איר רופט, אבער נישט הערן וואס איר זאגט (אויב איר רעדט ענקריפטעד)- קען מען נישט לע"ע באהאלטן צו וועמען אויף די אינטערנעט איר רעדט, נאר וואס איר רעדט- אויב נוצט איר SSL

נאופ די יו אר על ווערט אויך ענקריפטעד

איר רעדט פון די סערווער יו אר על אדער די ריקוועסטעד\געשיקטע דאטא חלק פונעם יו אר על? געמיינט האב איך אז בכלל ווערט נישט די URL ענקריפטד אפי' נישט די וועריעבלס, אבער לפחות דער ערשטער קאננעקשן צום סערווער איז נישט ענקריפטעד און קען ווערן געליינט אויב ווערט איר געטעיפט (אזוי מיין איך נאך דערווייל..)

When using SSL/TLS correctly, all an attacker can see on the cable is which IP and domain you are connected to, roughly how much data you are sending, and what encryption and compression is used

http://security.stackexchange.com/quest ... 0847#20847

[משנה מקום]

די יו אר על ווערט אינקריפדעט די אייפי נישט
און פארשטייט זיך די ריקוועסט צי די די ען עס סערווער ווערט נישט ענקריפדעט

[ולא מיין]

יעדער דארף טוישן פעסווארדס אדער נאר די וואס זענען אפעקטירט געווארן?

[קנאפער ידען]

יעדער דארף טוישן פעסווארדס אדער נאר די וואס זענען אפעקטירט געווארן?

יעדער איז אפעקטירט! ווייל אויב האסטו אמאל [אין די לעצטע צוויי יאר וואס דער באג גייט שוין אן] ריינגעלייגט דיין פעסווארד אין א וועבזייטל וואס איז געווען אפעקטירט [וואס דאס איז בעיסיקלי אלע!] האט עס איינער געקענט דערשנאפן.