Ensin oli HeartBleed.
Ja nyt uudempana havaintona DROWN-hyökkäys.
Linkkejä:
Kyberturvallisuuskeskus:
https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2016/haavoittuvuus-2016-030.html
Testisivu:
https://drownattack.com/#check
The Register:
http://www.theregister.co.uk/2016/03/01/drown_tls_protocol_flaw/
IL: Netin salausprotokollasta paljastui vakava haavoittuvuus - miljoonat nettisivut vaarassa:
http://www.iltalehti.fi/digi/2016030221204404_du.shtml
Iltalehden artikkeli ainakin sotkee asiat tehokkaasti.
Iltalehti kun väittää, että *salausprotokollasta* olisi löytynyt vakava haavoittuvuus!
JOS tuo olisi totta, niin esim. verkkopankit jouduttaisiin turvallisuussyistä sulkemaan pitkäksi aikaa, vähintään useiksi kuukauksiksi !
Todennäköisempää kuitenkin on, että (jälleen kerran) paljastui, että OpenSSL -toteutuksesta löytyi haavoittuvuus. Eli jos et käytä OpenSSL:ää, vaan esim. jotain kaupallista ratkaisua tai talon sisällä OIKEIN tehtyä ratkaisua, niin palvelimesi ja sen käyttäjät ovat edelleen turvassa.
Ilmeisesti OpenSSL:n kehittäjät joko eivät ole ammattitaitoisia tai sitten periaatteena on ollut, että koska kyse on ilmaistuotteesta, niin ei ole edes haluttu taata 100% turvallisuutta, vaan ehkä samat tekijät ovat tehneet toisen, erinimisen SSL -ratkaisun, jota myydään ihan rahalla, ja joka on turvallinen, mutta ilmaisversio OpenSSL ihan tarkoituksella ei ole.
Itse ainakin kyseenalaistaisin koko OpenSSL:n turvallisuuden, koska toistuvat haavoittuvuudet osoittavat, ettei kehitykseen ole panostettu riittävästi ja/tai onpanostettu väärällä tavalla.
Mikä sitten olisi paras tapa arvoida jonkun salausohjelmiston tai salauskirjaston (joka siis on tarkoitettu toimimaan jonkin toisen ohjelmiston osana) turvallisuutta ?
Miten löytää KAIKKI mahdolliser heikkoudet, tai saada varma tieto siitä, ettei heikkouksia ole ?
Kannattaa muuten miettiä, mikä jenkkien NSA:n mielestä olisi paras mahdollinen salausjärjestelmä.
Käsittääkseni paras salaus olisi NSA:n mielestä sellainen, joka:
* aukeaa salauksenomistajan salausavaimella (tarkemmin ns. avausavaimella, jos kyse on ns. julkisen avaimen salauksesta).
* aukeaa NSA:n oman "takaoven" avulla helposti, nopeasti ja varmasti
* EI AUKEA lainkaan millään muulla kuin kahdella ylläolevalla tavalla.
* ns. Brute force -hyökkäyksella salaus joko ei aukea, tai ainakin avaaminen vaatisi yli miljardi vuotta sekä kaiken maailmankaikkeuden energian.
Haluaisitko sinä tällaisen salauksen käyttöösi, jonka voi avata:
1) sinä itse
2) se/ne henkilöt, joille olet antanut avausavaimen
3) jenkkien NSA
mutta kukaan muu ei voi avata salaustasi mitenkään eikä koskaan.
NSA:n mukaan tuollainen salaus olisi täydellinen, koska sivulliset eivät sitä voi avata lainkaan, mutta jos esim. terroristit salaavat suunnitelma-asiakirjojaan tuollaisella, niin NSA itse kykenee helposti ja nopeasti avaamaan salauksen, ja näin pääsemään perille terroristien suunnitelmista jo ennen suunnitelmien toteuttamista.
Haluatko sinä luottaa 100% siihen, että NSA ei missään olosuhteissa käytä takaoveaan mihinkään muuhun tarkoitukseen, kuin terrorismin ehkäisemiseen ?
Tiesitkö muuten, että rikkaiden jenkkien (jotka omistavat merkittäviä määriä hallitsevien suuryritysten osakkeita) mielestä esim. musiikin tai elokuvien piraattikopiointi ja -jakelu on täysin rinnastettavissa terrorismiin.
ko. toimet ovat toki lainvastaisia ja niistä voidaan tuomita rangaistukseen, mutta onko siltikään oikein pitää musiiki- ja elokuvapiratismia terrorismina ?
Toituus SSL -haavoittuvuudesta ?
Ammattitaitoa_Salaukseen
1
54
Vastaukset
- Jklrk3yu
Katsoin miten Debianissa oli asiaa hoidettu. SLOTH ja DROWN jutut oli eliminoitu EXPORT ja LOW salaukset oli poistamalla. Ilmeisesti ne ovat olleet taaksepäin yhteensopivuuden takia siellä.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset
"Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-27399286Johan tuli oikea aivopieru Britti Lordilta
Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir3748179Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa
https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/84070681646019William ja Sonja Aiello ERO
Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!542453Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."
Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun62159Se siitä sitten
Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy821795Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"
Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan201738Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista
Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt81595Ihastumisesta kertominen
Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi921519Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon
Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.4411418