Attenzione: Jamble non supera l'Heartbleed test

[Vigilius]

Sta scritto dappertutto sul web che la famosa connessione con il lucchetto non è più sicura, pure da un po' e quindi bisogna aggiornare procedure e password; le grandi aziende hanno già provveduto, Google, Paypal e Microsoft ad esempio, hanno provveduto.

Qui c'è un test per scoprire quali siti sono infetti e Jamble non passa il test, almeno non sempre (alcune volte va in timeout).

Onestamente non ho idea di cosa si possa fare anche perché tra l'altro la connessione al forum non avviene con l'Open SSL, per quanto ne so, però  è bene sapere che si possono leggere tutti i dati sensibili, password comprese.

[mimmo]

E quindi cosa devo fare?
Sento già grattare.

[Vigilius]

Il consiglio è di cambiare tutte le password sui siti dove ci sono dati sensibili, ma la scoperta è avvenuta adesso, ma chissà quando hanno iniziato a sfruttarla gli hacker.

Di fatto è come se avessero scoperto che c'è una serratura difettosa; se poi qualcuno sia realmente entrato in casa non è dato saperlo perché non si lascia nessuna traccia.

[Vu-meter]

Momento ...

Potete stare tranquillissimi per due motivi : noi non siamo in Open SSL e nella peggiore delle ipotesi, quello che un hacker può arrivare ad individuare sono le password di sicurezza del sistema , per cui potrebbero danneggiare il forum e/o il portale ( come già è accaduto ) , ma NON possono risalire alle vostre password.

Anche se entrassero nel db, si troverebbero le password criptate con un sistema che non le rende disponibili per cui , state sereni.

Se poi il test viene fatto utilizzando http://www.jamble.it il test dà esito positivo ( e non so perchè al contrario, senza i suffissi non lo dia ) .

Domani comunque sento da 1and1 cosa si può fare per proteggere ulteriormente il server.


Vu

[Vigilius]

Hanno decriptato anche i certificati di sicurezza quindi Jamble mi pare un problema minore; il problema è che non sanno bene chi - ma va? - e quando; cioè se ne sono accorti dopo.

[Vu-meter]

Hanno decriptato anche i certificati di sicurezza quindi Jamble mi pare un problema minore; il problema è che non sanno bene chi - ma va? - e quando; cioè se ne sono accorti dopo.

Uh, sai che non ho capito .. 

[Vigilius]

Che non solo hanno preso le password (Apple sta zitta, ma sembra che siano arrivati anche lì), ma hanno anche decriptato le chiavi di sicurezza di certi certificati (esempio quelli bancari); quando? Non si sa e quindi cambiare password è una soluzione da adesso in poi, ma cosa abbiano fatto prima non si è ancora capito.

[Vu-meter]

Adesso ho capito. Credo molto dipenda dal sistema di memorizzazione delle password. Il nostro forum ha un sistema di criptazione ottimo ed anche accedendo al db direi che è molto difficile da decriptare perchè le password degli utenti sono "salate" con dati random e senza un attacco diretto di tipo "brute force" ( e nemmeno dei più semplici ) è possibile risalire alla stringa originale. Comunque, mi occuperò di verificare di risalire alla massima protezione possibile .

Nel frattempo, il sistema automatico di 1and1 mi risponde così :

"Il tuo pacchetto non contiene domini che possono essere dotati di un certificato SSL."


Domani chiamo e sento ..



Vu

[mimmo]

"Brute force and ignorance"
cit. Rory Gallagher.

Scusa Vu se sparo cavolate, ma quando ti ho visto scrivere "brute force" non ho resistito.
Comunque mi pare di capire che posso stare relativamente tranquillo, perchè se sono già stato attaccato, perchè preoccuparmi di difendermi e se non possono nuocermi, perchè preoccuparmi.

[Vu-meter]

"Brute force and ignorance"
cit. Rory Gallagher.

Scusa Vu se sparo cavolate, ma quando ti ho visto scrivere "brute force" non ho resistito.
Comunque mi pare di capire che posso stare relativamente tranquillo, perchè se sono già stato attaccato, perchè preoccuparmi di difendermi e se non possono nuocermi, perchè preoccuparmi.

A prescindere che oltre ad usarci come bot, non siamo potenzialmente delle prede per gli hacker ( o meglio i breaker ) così "sgamati" da fare dei brute force attack . Fossi in voi starei sereno, come detto è moooolto più probabile che vogliano le chiavi del server per usarlo come bot per lanciare spam nel mondo, che altro.

Prometto però di informarmi al meglio per verificare cosa possiamo fare per tutelarci ala massimo. Ripeto inoltre che noi siamo in SSL e non Open SSL che è più utilizzata da chi fa commercio elettronico ed ha a che fare con pagamenti, soldi, conti, ecc.. Ecco perchè banche e negozi virtuali sono sicuramente più preoccupati di noi . .


VU

[coccoslash]

Sta scritto dappertutto sul web che la famosa connessione con il lucchetto non è più sicura, pure da un po' e quindi bisogna aggiornare procedure e password; le grandi aziende hanno già provveduto, Google, Paypal e Microsoft ad esempio, hanno provveduto.

Qui c'è un test per scoprire quali siti sono infetti e Jamble non passa il test, almeno non sempre (alcune volte va in timeout).

Onestamente non ho idea di cosa si possa fare anche perché tra l'altro la connessione al forum non avviene con l'Open SSL, per quanto ne so, però  è bene sapere che si possono leggere tutti i dati sensibili, password comprese.

Come già ti ha risposto Vu non è così per Jamble..o meglio l'attacco può avvenire su un sito con cifratura Open SSL.
Prima di arrivare ai dati bisogna aver accesso all'algoritmo di decriptazione del Database (che non è scalfito da questo tipo di attacco).
Mi raccomando Vigi, attenzione a come e a cosa si scrive onde evitare allarmismi
(sto parlando unicamente per il sito di Jamble..per il resto dei siti che utilizzate ,con cifratura Open SSL, ritengo valido il consiglio di cambiare password).
Un altro piccolo cosiglio rivolto a tutti:
attenzione ai siti che offrono il TEST per vedere se un sito è sicuro.
quando emergono "problemi di sicurezza web" c'è chi cavalca l'onda e ne approfitta proprio in questo modo per SNIFFARE dati sensibili ( e magari attaccare siti che , altrimenti, sarebbero stati lasciati in pace!)

[Vigilius]

Non ho fatto allarmismo, ho solo detto che Jamble non superava il test e che il 'lucchetto' non è più garanzia al 100% almeno sino a quando tutti non applicheranno le contromisure adeguate (ho anche segnalato chi l'ha già fatto); per la cronaca io non ho cambiato nessuna delle mie password perché sono convinto che se un hacker entrasse nel mio conto bancario farebbe una donazione

Comunque qualcosa deve essere successo perché nell'ultimo mese a molti miei colleghi sono entrati nell'account Gmail e qualche danno l'hanno fatto anche se limitato; io sono fortunato dal momento che uso il PC dal 1992 e non ho mai avuto problemi, mai perso dati importanti, nonostante la rottura di due hard-disk in momenti diversi, e non ho mai visto un virus (questa è un'auto-gufata spettacolare!)

[Raffus]

A me gmail ha mandato un avviso circa un attacco dalla russia. Ho cambiato password; che faccio, mi tolgo internet per stare sereno?

[Raffus]

Ah, non so se abbiano fatto danni, non ho riscontrato nulla.

[coccoslash]

Non ho fatto allarmismo, ho solo detto che Jamble non superava il test e che il 'lucchetto' non è più garanzia al 100% almeno sino a quando tutti non applicheranno le contromisure adeguate (ho anche segnalato chi l'ha già fatto); per la cronaca io non ho cambiato nessuna delle mie password perché sono convinto che se un hacker entrasse nel mio conto bancario farebbe una donazione

Comunque qualcosa deve essere successo perché nell'ultimo mese a molti miei colleghi sono entrati nell'account Gmail e qualche danno l'hanno fatto anche se limitato; io sono fortunato dal momento che uso il PC dal 1992 e non ho mai avuto problemi, mai perso dati importanti, nonostante la rottura di due hard-disk in momenti diversi, e non ho mai visto un virus (questa è un'auto-gufata spettacolare!)

ahaha si guarda per quanto riguarda la donazione..spero che il tuo hacker passi anche dal mio conto !!
Sicuramente la situazione è seria..
Considerazione (o domanda..dato che il test non l'ho fatto)  può essere che il test, fatto con l'url di jamble, dia esito "a rischio" proprio perchè la cifratura e' diversa (SSL invece che Open SSL)!? se è un sistema di test banale potrebbe essere stato impostato col dire "non sicuro" anche per siti che proprio NON hanno cifratura..ipotesi mia nè...