NSA al 2 jaar op de hoogte van Heartbleed
Volgens het Amerikaanse Persbureau Bloomberg was de NSA al 2 jaar bekend met de Heartbleed bug en heeft ze de kwetsbaarheid in OpenSSL regelmatig gebruikt om informatie te verzamelen. Bloomberg beroept zich op bronnen die “op de hoogte van de situatie” zijn.
De beslissing van de NSA om de bug in het kader van nationale veiligheidsbelangen geheim te houden zal de discussie over de rol van de computerexperts van de Amerikaanse overheid weer flink doen oplaaien.
Heartbleed lijkt een van de grootste lekken in de geschiedenis van het internet te zijn. Maar liefst tweederde van de websites wereldwijd wordt er door geraakt. De ontdekking en de advisory die 5 dagen geleden door onderzoekers werd gepubliceerd heeft er toe geleid dat consumenten massaal hun wachtwoorden hebben gewijzigd, dat de Canadese overheid de elektronische belastingaangifte heeft uitgesteld en dat grote technische bedrijven zoals Cisco Systems en Juniper Networks patches voor hun systemen hebben uitgebracht. Ook worden er enorm veel nieuwe SSL certificaten uitgegeven.
Door de Heartbleed bug stilletjes aan het arsenaal toe te voegen is de NSA in staat geweest om wachtwoorden en andere belangrijke gegevens te verkrijgen. De prijs hiervoor was hoog. Miljoenen gewone gebruikers zijn aan hun lot overgelaten en al die tijd kwetsbaar geweest voor aanvallen door geheime diensten en cybercriminelen.
Jason Healey, directeur van het “cyber statecraft initiative at the Atlantic Council“ en een voormalige luchtmacht officier verklaart: “De security community zal geen spaan van ze heel laten na deze onthulling."
De NSA heeft zojuist op twitter ontkend van Heartbleed op de hoogte te zijn geweest voordat de kwetsbaarheid afgelopen week openbaar werd.
En wie gelooft de NSA nu nog? Die hebben nog nooit de waarheid vertelt. En dit keer dan ineens wel.....
Dat valt, denk ik, wel heel erg mee, omdat het lek alleen in de laatste versies van OpenSSL zat.
Iedereen die nog jaren ondersteunde distributies als RHEL5, SL5 of CentOS5 (en zelfs de versies 6.1 tot 6.3) als basis voor zijn webservers draaide, gebruikt een OpenSSL-versie die dit lek NIET bevat.
Het is blijkbaar niet zo verstandig om altijd meteen de nieuwste versies te installeren, of versies buiten de distributie om (-;)
Dat valt, denk ik, wel heel erg mee,
...
Dat valt, denk ik, wel heel erg mee,
...
Ja, en mijn is gebaseerd op simpele wiskunde (die van jou blijkbaar op de mening die in de media wordt verkondigd)
Lees het artikel op http://heartbleed.com/. Daar staat
"tweederde van de websites draait op Apache en Nginx !! Apache en Nginx maken gebruik van OpenSSL."
Conclusie in bovenstaand bericht: twee op de drie websites wordt erdoor geraakt.
MAAR: Lange niet alle Apache en Nginx servers draaien de laatste, kwetsbare, versie van OpenSSL.
En bovendien bieden niet alle webservers ssl-functionaliteit aan, want niet overal noodzakelijk.
DUS: Het probleem is heel wat kleiner dan 2 op de 3.
Inderdaad in de NSA range
http://pastebin.com/1zYdCiSw
Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Mensen die verbijsterd raken van dit soort nieuws, willen echt niet weten hoe de wereld werkelijk in elkaar zit en dat is maar beter ook :D
None are more hopelessly enslaved than those who falsely believe they are free.
:p
Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Forse uitspraken? Dat valt toch wel mee. Of wil je beweren dat de Amerikanen superieur zijn en dat bijvoorbeeld de Chinezen niks van dit lek af wisten?
Geheime diensten hebben miljarden tot hun beschikking, dus als er een geheime dienst in de wereld niet op de hoogte was van dit "heartbleed" lek, dan moet er gewoon radicaal gereorganiseerd worden op de desbetreffende IT R&D afdeling.
En als je de media een beetje gevolgd hebt de afgelopen decennia, had je geweten dat sommige lekken/achterdeurtjes pas na 5+ jaar gedicht werden.
En over bronnen/bewijzen gesproken? Snowden heeft ook nooit bewijzen geleverd, maar iedereen neemt het wel aan als bewijs, terwijl geen rechter op deze wereld dat knip en plakwerk van Snowden als bewijs zal erkennen. Dus als er iets speculaties/fantasietjes zijn, dan is dat wel het gekeuvel van Snowden.
Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Forse uitspraken? Dat valt toch wel mee. Of wil je beweren dat de Amerikanen superieur zijn en dat bijvoorbeeld de Chinezen niks van dit lek af wisten?
Geheime diensten hebben miljarden tot hun beschikking, dus als er een geheime dienst in de wereld niet op de hoogte was van dit "heartbleed" lek, dan moet er gewoon radicaal gereorganiseerd worden op de desbetreffende IT R&D afdeling.
En als je de media een beetje gevolgd hebt de afgelopen decennia, had je geweten dat sommige lekken/achterdeurtjes pas na 5+ jaar gedicht werden.
En over bronnen/bewijzen gesproken? Snowden heeft ook nooit bewijzen geleverd, maar iedereen neemt het wel aan als bewijs, terwijl geen rechter op deze wereld dat knip en plakwerk van Snowden als bewijs zal erkennen. Dus als er iets speculaties/fantasietjes zijn, dan is dat wel het gekeuvel van Snowden.
Ik beweer niet dat de Chinezen er niets vanaf wisten, ik ben gewoon verstandig en ga geen twijfelachtige uitspraken doen waarvan ik niet zeker weet dat het zo is.
Wel hilarisch eigenlijk dat u Snowden beticht van geen echt bewijs te leveren, terwijl u zelf sensatie beluste verhalen de wereld in slingert, zonder enige concrete vorm van bewijs.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
