Nem egyszerű téma az IT-biztonság, lássuk be! Az embernek folyamatosan naprakésznek kell lennie a legújabb trendekkel és fenyegetésekkel kapcsolatban, ha talpon akar maradni, és dédelgetett rendszereink soha véget nem érő ápolásra szorulnak a virtuális világ ezer veszélyével szemben. A feladat nehézségét jól mutatja, hogy a hatalmas hírverés, és a csúcsra járatott vészcsengők ellenére még mindig több fontos, nagy forgalmat bonyolító magyar és külföldi weboldal SSL tanúsítványa érintett a majd' két hónapos OpenSSL hibában.
Legalábbis ez derül ki az Anka Márton oldalán vezetett listából, amelyet az általa fejlesztett, a tanúsítványok minőségét ellenőrző Firefox plug-in találatai alapján vezet. A listára Meister hívta fel a figyelmem, aki a Netbanknál volt kénytelen néhány hosszú kört futni, mire eljutott az illetékesek agyáig, hogy szar van a palacsintában. A levélváltás nagyon tanúlságos, már-már ijesztő látni a rendszergazda által az informatikai rendszerbe vetett korlátlan bizalmat, amely végül is - akár tetszik, akár nem - aláaknázta a rendszer biztonságát. Hibás tanúsítványt ugyanis bárki generálhat. Az azonban mindenkinek az egyéni hozzáállásán múlik, hogy egy új fenyegetés megjelenésekor gondosan ellenőrzi a rendszer védelmét, vagy lényegében egy verzióinformációra támaszkodva homokba dugja a fejét. De még ezt is elkönyvelhetnénk egy apró botlásnak: csak az nem hibázik, aki nem is csinál semmit. A segítő szándékú felvilágosítás hatására ügyvédekkel fenyegetőzni viszont egyszerűen szánalmas. Reméljük, hogy a többi érintett cég felvilágosultabban fog hozzáállni a kérdéshez!
Én megkockáztatom a dolgot, és kiküldök pár levelet. Ha gondoljátok, tegyetek így ti is! Kíváncsi vagyok a reakciókra!
Frissítés (2008.06.29):
Pénteken küldtem egy levelet többek között a MozDev csapatának is, ők válaszoltak elsőként:
"We are actually looking into purchasing a new cert in the near future and we'll ensure that the request is not generated with one of the compromised Debian SSL keys. Thanks for bringing this to our attention."
Azt hiszem ez a fajta válasz kellene, hogy az etalon legyen!
Frissítés (2008.07.01):
Tegnap, azaz hétfőn a Pannon is válaszolt. A levelüket ellátták mindenféle "Bizalmas" cimkékkel, szóval nem fogom bemásolni, de a lényeg az, hogy ők is korrektül megköszönték a jelzést, és ígéretet tettek a tanúsítványok frissítésére.
.Andrei (törölt) · http://www.andreiground.com/ 2008.06.29. 00:49:15
scripter-man 2008.06.29. 15:23:34
Meister · https://www.facebook.com/Meister1977 2008.06.30. 00:55:42
Egyébként én még most várom, hogy a netbank.hu mit fog lépni hétfőn. Jogászokkal fenyeget-e, vagy ír mindenkinek egy levelet, hogy az elmúlt 2 hónapban sérülékenység volt a weblapon, amiről értesültek, de leszarták, s hogy mindenkinek javasolják, hogy változtassanak jelszót, s a one-time-key listájukat érvénytelenítsék.
.Andrei (törölt) · http://www.andreiground.com/ 2008.06.30. 15:34:45
@Meister: dehogynem kerül pénzbe. Azaz nem pénzbe, hanem munkaerőbe. Sőt egy beismerésbe is, hogy valaki nagyon nincs képben.
BadKarma · http://netbank.hu 2008.07.01. 12:20:43
email + bizalmas. Ja
A netbank szanalmas.
A debian is. Ilyet irt a maintainer: " Since both Purify and Valgrind is unhappy with that function call, something must be wrong with it."
MUST BE WRONG? Es utana sem jar csak kivagja? Neeee
De az egeszben az openssl volt a leg. Ugyan mi a francbol meri azt gondolni, hogy inicializalatlan memoriateruletbol entropiat lehet kinyerni? Mi tortenik, ha az os kinullazza? Mert hogy openbsd-ben nem nullazta (sigh security rulez) egy idoben, de linux peldaul igen es egyebkent sem random az a memoria. Szoval kerdem en mi a kenkoves pokol utott ezekbe a szerencsetlenekbe?
BK
Meister · https://www.facebook.com/Meister1977 2008.07.03. 09:53:40
buherator · http://buhera.blog.hu 2008.07.03. 21:40:00
Nagy cég, lassan folynak keresztül a dolgok. Teljesen korrektül válaszoltak, szerintem hagyni kell neki időt. A flottáét egyébként állítólag már midnentől függetlenül cserélték.