Heartbleed test

[skepper]

Heartbleed test

הנושא החפ ביותר היום - ללא ספק,


תוכלו להעזר באתר הבא בשביל לבדוק את המצב השרת שלכם:

https://filippo.io/Heartbleed/

 

[Expect]

גם עם nmap אפשר לבדוק

http://nmap.org/nsedoc/scripts/ssl-heartbleed.html

 

[xcalibur]

לא יודע כמה זה מומלץ להכניס כתובת אייפי של

הארגון שלך כשהיא עם פרצה כזו נוראית לתוך כלי אינטרנטי של מישהו אחר...

בייחוד כשיש כל כך הרבה דרכים לבדוק את הפגיעות בכחות עצמך.

 

[SysAdmin1]

מנסים לעשות קצת צחוק על חשבון מי שלא מבין על_

מנסים לעשות עוד קצת צחוק על חשבון מי שלא מבין על מה מדובר . רוב הבעיה היא לא בשרתי WEB מוגנים ב HTTPS בעזרת מנגנון שמשתמש במודול openssl שניתן לעדכן אותו תוך שנייה למודול תקין או שהעדכונים מותקנים אוטומטי ואפילו לא בזה שאחרי זה יש צורך להנפיק את כל המפתחות מחדש כי אם הם כבר זלגו מקודם אז מי שכבר הסיג אותם ללא הנפקה מחדש של המפתחות יכול להשתמש במפתחות שהסיג גם אם הפרצה נסגרה ( אפילו את זה הבדיקה הזו לא בודקת ) . רוב הבעיה היא במערכות אחרות כמו למשל מרכזיות טלפון לדוגמה Asterisk , שרת VPN כמו למשל OpenVPN , שרתי FireWall , שרתי RADIUS כמו למשל FreeRADIUS ועוד הרבה סוגים של שרתים שכולם משתמשים באותו מודול של openssl שחשוף לפגייה . הבעיה היא בזה שברוב המכונות האלה בכלל לא ניתן לעדכן את המודול הפרטני , אלה לחכות לחסדיהם של מפתחי המוצר , שבחלק מהמקרים הוא צרוב ב EPROM כ FIRMWARE וגם הלקוחות בכלל לא יודעים שהמוצר שהם קנו בהרבה כסף ושילמו גם על כל מני רישיונות , המוצר זה אריזה יפה של תוכנות ומודולים חינמיים שאין מאחוריהם שום אחריות ותמיכה וכל הכסף שלהם הלך לאריזה ופרסומות של המוצר . למשל גם מוצרים של CISCO וגם של JUNIPER . היחידים שכבר פטרו את הבעיה , זה דווקא אלה שנותנים את המוצרים שלהם בחינם ,כמו למשל PFSENSE .

http://money.cnn.com/2014/04/11/technology/security/heartbleed-gear/
http://www.theguardian.com/technology/2014/apr/14/heartbleed-routers-phones-at-risk-security-expert
http://www.digitaltrends.com/comput...ng-gear-safe-from-heartbleed-open-bug/#!E1WDb