Mozilla ontwikkelt veilige testmethode voor Heartbleed-bug
Mozilla heeft een testmethode voor de Heartbleed-bug in OpenSSL ontwikkeld waarmee ontwikkelaars servers op een veilige manier kunnen testen. Via de Heartbleed-bug is het mogelijk om het geheugen van servers uit te lezen en zo gevoelige gegevens te achterhalen die normaliter via SSL/TLS beschermd zijn.
Vanwege de aard van het lek was het alleen mogelijk om servers op zo'n manier te testen dat er werd geprobeerd om de inhoud van het geheugen te achterhalen, waardoor mogelijk gevoelige gegevens gecompromitteerd zouden kunnen worden. Ook zou de service tijdens het testen kunnen crashen.
Mozilla-engineer David Chan ontwikkelde een test die geen invloed op de server heeft en waar er ook geen gevoelige gegevens worden gecompromitteerd. Op deze manier kunnen organisaties op een veilige manier op de Heartbleed-bug testen. Chan waarschuwt wel dat de test een grotere kans op 'false positives' heeft, maar dat de test wel voor belangrijke services gebruikt kan worden. De test is via het Metasploit framework te gebruiken.
Zoals in het bericht staat, is deze test wat minder extreem. Waardoor je services niet crashen. Daarnaast, kun je deze tests via metasploit uitvoeren, waardoor je ook je interne servers kunt testen, en niet alleen servers die aan het internet hangen.
Dit omdat apple standaard een lagere ssl versie gebruikt,waar de bug niet in zit.
Op mijn twee Mac's draait nu OSX Maverics 10.9.2
Ik gebruik ook nog eens Mullvad openvpn waar het programma tunnelclick mee gebruikt wordt,voor de tunnel versleuteling.
De nieuwste versie van Tunnelclick gebruikt nu al de gepatchte ondersteuning tegen de ssl bug.
Maar goed het programma Tunnelclick is nog steeds in beta fase,maar wel met een hoog nummer Tunnelblick 3.4beta22 (build 3789) op het moment.
Wanneer er een final versie aankomt weet ik niet.
En ook niet alle verbeteringen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
