OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界 56
ストーリー by hylom
変えられるなら変えたほうが良いのは確か 部門より
変えられるなら変えたほうが良いのは確か 部門より
taraiok 曰く、
OpenSSL 1.0.1/1.0.2系にて、秘密鍵などの漏えいにつながるバグが見つかったいわゆる「Heartbleed」問題を受けて、カナダ歳入庁が納税者情報の保護を目的に納税申告サイトを閉鎖した。同庁によれば、安全を期すための予備的なものだとしている(NETWORKWORLD、slashdot)。
また、個人納税者に対し申告期日の4月30日を過ぎた場合でも、オンラインサービスが中断していたのと同等時間分に関しては罰則は課せられない、という異例の発表も行われている。
そのほか、大手サイトでもこの問題を受けて対応が進められている。今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。
いっぽう、OpenSSLを採用せず、独自にSSL/TLSを実装しているWindows環境においてはこの影響は少なく、MicrosoftはMicrosoft Azure、Office 365、Yammer、および Skype について影響がないことを発表している。
また、Heartbleed脆弱性を悪用することで通信内容や秘密鍵などが窃取される可能性があるが、4月9日以降、これを狙った攻撃と思われるものが多数観測されているという(@IT)。
チェックサイト (スコア:2, 参考になる)
VeriSignからチェック用のサイトがあるから確認してね!と
先週末にもメールが来てました
https://knowledge.verisign.co.jp/support/ssl-certificates-support/inde... [verisign.co.jp]
攻撃検知 (スコア:2)
大してトラフィックのあるサーバじゃないんですが、数日前からUTMでちらほらHeartbleed攻撃が観察されてます。
UTMのパターンが更新されたタイミングから、検出される様になった、ってことなのかな。
Firefoxの拡張機能 (スコア:1)
FoxBleed :: Add-ons for Firefox
https://addons.mozilla.org/firefox/addon/foxbleed/ [mozilla.org]
被害が出始めたぞー! (スコア:1)
OpenSSLの脆弱性で初の被害、カナダや英国で発覚 [itmedia.co.jp]
でも、元記事では今回の脆弱性による攻撃とされているけど、念入りにチェックした結果過去の別の攻撃が明らかになったんじゃとか思わないわけでもない。
あのう (スコア:0)
今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。
/.Jは?
Re:あのう (スコア:3, すばらしい洞察)
さいわい、SlashdotにHTTPSのページはない。
#これはこれで問題だが。
Re: (スコア:0, すばらしい洞察)
ACで使えばなんの問題もないですよ。
アカウント持ちはしらんけど。
Re:あのう (スコア:1)
アカウントなんてテキを作るためのものだしね :)
# ふつートモダチなんていないorz
Re: (スコア:0)
AC叩いてたIDの方たち気絶中
Re: (スコア:0)
いやそんなことなくて、もともとSSLに対応してないので
今回のバグの影響はありません。
# これがノーガード戦法ってやつです
Re: (スコア:0)
Linux系が全滅 (スコア:0)
ディストリのBugzilla IDやメンテナ専用のアカウントに対して、アカウントリセットしたからとっとと再設定してくれってメールがここ最近引っ切り無しに飛んでくる。
今現在使ってるディストリビューションに関しては別に良いんだけど、昔使っててBugzilla経由でバグレポしただけとか、昔はパッケージのメンテナやってたけどもう使ってないからメンテナ共々アカウント破棄したのとか、そんなのまで飛んでくるからどれがどれやらわけがわからない。
だいたいからして、アカウント自体削除したものに関しては、どうして未だにそんなメールが来るのかもわからない。
まあ所詮はボランティアだから、アカウントの管理なんて決行いい加減な運用していたんだろうな…。
○○日以内に再設定せず、放っておけば削除されるみたいな案内が大半なので、利用してるもの以外は再設定せず放置で済ますつもり。
しかしどこも以外とOpenSSLとかは最新版使うものなんだな。
しかも皆、律儀にenable-heartbeatsして握ってたんだ…。
今回のは常に最新版を使う運用が裏目に出た形やね。
これを契機にGnuTLSやNetwork Security Servicesへの移行が増えるかもわからんね。
Re: (スコア:0)
これだけどこもかしこもパスワード変えろって言っているあたり(Googleは転ばぬ先の杖だから変えとけ程度だが)、デフォルトがそっちだったとかじゃないかとも思えますがどうなんでしょうね。
Re:Linux系が全滅 (スコア:1)
Theo 師匠大激怒 http://it.srad.jp/comments.pl?sid=628761&cid=2581261 [srad.jp] からのリンクによれば、
http://cpplover.blogspot.jp/2014/04/theo-de-raadtietf.html [blogspot.jp]
デフォルトがONだったようですね。
そしてOFFにしても誰も困らない。
Re: (スコア:0)
Theo師匠怒りのあまりOpenTLS(?)を立ち上げ、あれよあれよという間にデファクトスタンダードに…はないかな。OpenSSHがOpenSSLと縁切りしてGnuTLSやYaSSLに乗り換え…はあるかな?師匠の性格からして、このままOpenSSHがOpenSSLに依存しているのは我慢ならないんじゃない?
Re:Linux系が全滅 (スコア:1)
GnuTLSもYaSSLもライセンス的にないんじゃないかな。
ならOpenTLSかって話だけど、仕様を取捨選択した実装を作ろうとするかどうか。これはないんじゃないかって気がする。OpenNTPDが近い考え方かも知れないけど、仕様を取捨選択しているわけではなく、実装の自由の中でセキュリティを取っているだけだと理解しています。
今回の件に対する見解は、間接的とは言え仕様策定が腐ってるからだってとこ。その腐った土台の上に何を建ててもダメだってことじゃないかしらん。
Re:Linux系が全滅 (スコア:1)
名前は(まだ?)ないけど、fork して大掃除しています。
CVS [openbsd.org]を見ると、
他プラットフォームに関するものや古いハードウェアに関わる部分を消したり
インデントを統一したりして読みやすくしています (この時点で fork 確定) し、
#ifndef OPENSSL_NO_HEARTBEATS 全消しは当たり前、
「とりあえず現在時刻でエントロピー溜めとこう」みたいな頭の悪いコードを消したりと
ボッコボコにしていますね。
Re: (スコア:0)
Linuxなサイトが全滅と言うわけではないけど、Linuxなサイトはあまり更新しないところが多い。
そのため最近構築したところがアウトというパターンが多い。
古いまま放置されていたLinux利用のサイトは無事。
今回の心臓破裂バグを持つLinuxなサイトが、今後長期に渡って放置されるんじゃないかというのが一番の心配。
BHEKが長い間、広範囲で蔓延っていたのと同じか、あるいはもっと最悪な状況を生むんじゃないかと言うリスク。
皮肉なことに、今回の問題の大きさと影響範囲、それと運用者の性質(過信して、あまりアップデートしない)から、もはやLinuxはWindowsよりもセキュリティリスクが高いOSとなってしまった。
今回の攻撃は、サーバ側で自覚症状が無いのでとても怖いぞ。
Re:Linux系が全滅 (スコア:1)
この件だけでなく、SSL Server Testを見ると、日本のサイトのSSLはボロボロですねぇ。
https://www.ssllabs.com/ssltest/ [ssllabs.com]
何とかならんものか…。
Re: (スコア:0)
いくつか自分の使っている金融機関を入力してみましたが、脆弱な過去のプロトコル(SSL 2)をサポートしているために評価Fとか、そんなのばっかですね。
heartbleed以前の問題だった。
Re: (スコア:0)
評価Fとかまだいいわ。現時点でも Heartbleed attack可能な状態の金融機関多すぎ。入力したサイトの半分はいけるとかいくらなんでもひどい。
Re: (スコア:0)
とりあえず銀行でぐぐって上から順にやってったが悪いところでもBでそんなに対した事は・・・
って思いかけたら1ページめの下辺りからアウトー連発し始めた
そういうことね
Re: (スコア:0)
最初の1.0.1がでたの2011年?
RHELやDebianでも去年末リリース版で1.0.1eになってます。
最新版とはいえ、時間的に見れば十分枯れかけてると思われても仕方ないんじゃないですかね。
Re: (スコア:0)
Windows/プロプライエタリ大勝利ですな。
Re:Linux系が全滅 (スコア:1)
goto fail;
Re: (スコア:0)
こういうのでプロプライエタリだからセキュアという認識が広まるのはどうかと思う。
Re: (スコア:0)
Linuxだからなんもしなくて安全という過剰な神話は間違いというのは広まってほしい。
(アップデートはしてほしい。)
Re: (スコア:0)
影響を受けてくれればXP乗り換えの圧力になったのに…。
Re: (スコア:0)
プロプライエタリ勝利とかそういうわけではなくて、多様性が重要なことが示された気がする。
今変えるのはかえってキケン? (スコア:0)
今すぐユーザーがパスワードを変えるのはかえって危険という説があります。
変えるならサイトが「対策したよ」とアナウンスしてからにしろと。
Re:今変えるのはかえってキケン? (スコア:2)
危険な理由を書いてください。
今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
Re:今変えるのはかえってキケン? (スコア:3, 参考になる)
元コメとは別ですが、SSLが筒抜けの状態でパスワードを変えても、かえってパスワードを教えるようなものだということでは。
「未対応のサイトにはアクセスするな」の特殊化でしょう。
>今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。
上記の理由で、そうすることは危険だと思います。
Re:今変えるのはかえってキケン? (スコア:2)
ありがとう、色々と勘違いしていた。
/(^o^)\
これが最善と対応だと思う。
Re: (スコア:0)
SSL自体に未対応の/.Jへのアクセスはいいんですか?
Re:今変えるのはかえってキケン? (スコア:2)
どうでもいいんです!
Re: (スコア:0)
で、星の数ほどもあるサイトの中で
・未対応のサイト(脆弱性あり)
・脆弱性があったが対応済みのサイト
・影響がなかったサイト
をどうやって知ればいいのでしょうか?
Re: (スコア:0)
サーバーが対応済みか、ホスト名からチェックできるサイトがいくつかある。
自分がよくアクセスするサイトはチェックするよろし。
https://filippo.io/Heartbleed/ [filippo.io] とかね。
スラドをチェックしたら、そもそも443ポートふさがってた\(^o^)/
Re: (スコア:0)
そのサイトでapp.cocolog-nifty.comとかslashdot.jpとかやってみたんですが、うちの環境では全然画面がかわりません。
あとそれは正常に動いたとしても現在穴があいているかどうかがわかるだけだと思うんですが、
・現在穴があいている→しばらく使うな
はいいとして
・穴があいていない
→最初からあいていなかった(パスワード変更不要)
→あいていたが塞いだ(要パスワード変更)
のどちらであるのかが本当に知りたいことなんですが。
Re: (スコア:0)
漏洩したかどうかは誰にもわからない。
だから、わかるのは、今パスワードを変更してもいいかだけ。
でパッチあたってたら変更してもOK。未パッチなら今変えてもそれも漏洩するかも。
変更が必要かどうかより、今変更してもいいか、だけ。必要かどうかは誰にもわからない。
だから、変更するにしても、ただ念のためということ。
自分は変更しない予定。めんどい。
Re:今変えるのはかえってキケン? (スコア:1)
そのチェッカーは「ふさがった」と見なすけど通信内容はダダ漏れかもしれない、
つまり、変えても駄目な可能性もあると思う。
ふさがっている上で証明書を確認して有効期限の開始がごく最近(脆弱性発見以降)になっていれば大丈夫かしら。
Re: (スコア:0)
玄関の鍵を植木鉢の下に置いておいたら泥棒に入られたのに、
せっかく交換した玄関の鍵をまた植木鉢の下に置いておく、みたいな?
# ちゃんと隠せるようにならないと
アカウント管理は増えるばかり (スコア:0)
OpenIDが広まって楽にアカウント管理が出来る時代は、この先来るのだろうか?
Re:アカウント管理は増えるばかり (スコア:1)
楽かもしれないが、IDをひとつに集約することで生じるリスクはやばいよ。
OpenIDが盗まれたら全部盗まれるんだから。
なので、自分はfacebookログインやtwitterログインがあっても、絶対メールアドレスから新規登録を選ぶ。
当然、パスワード使い回しもなしで。
Re: (スコア:0)
まあ無理でしょうな。対応は縮小する一方 [tdiary.net]だし。
Browser ID (Mozilla Persona)もコミュニティ移管という名の死亡宣告が出されたし。
Facebook ConnectとTwitter OAuthには勝てなかったよ…。
Re: (スコア:0)
というか、そこらも含めて整理してOpenID connect(接続プロセスはOAuth、データがOpenIDみたいなカンジ)になってってる気がするんだが。
# Googleとか二要素認証やってるところに集約するほうが、多数管理よりはマシかなぁ?
Googleはどっち? (スコア:0)
Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。
Googleは結局、変えた方がいいのか、そうでもないのか、どっちだ?
変えときゃ間違いはないんだろうけど。
一方、スラッシュドットは (スコア:0)
SSLを使わなかった。
日本語情報いくつか (スコア:0)
■ OpenSSLの脆弱性で想定されるリスク
http://d.hatena.ne.jp/nekoruri/20140410/heartbleedrisk [hatena.ne.jp]
オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた
http://d.hatena.ne.jp/Kango/20140414/1397498442 [hatena.ne.jp]
脆弱性「Heartbleed」、モバイルアプリにも影響
http://blog.trendmicro.co.jp/archives/8945 [trendmicro.co.jp]
OpenSSLの脆弱性で初の被害、カナダや英国で発覚
http://www.itmedia.co.jp/enterprise/articles/1404/15/news035.html [itmedia.co.jp]
RHEL5もまだ現役 (スコア:0)
割合はどの位あるのかな?
企業のサーバー用途として、常に最新版に移行するユーザーの割合を知りたい。
Re: (スコア:0)
EL5のパッチが流れてくるCentOS5系なら
かなりの率じゃないかと