Linux kwetsbaar voor aanval op https

[loti]

Bij Tweakers las ik het volgende bericht:

http://tweakers.net/nieuws/99080/linux-gebruikers-kwetsbaar-voor-aanval-op-https-feature.html

Misschien weten andere leden hier meer vanaf?

[Paul Matthijsse]

Zeer hypothetisch naar mijn idee. Maar ja, alles kan. En het omgekeerde dus ook. Ik maak me vooralsnog geen zorgen.

[loti]

Is het zinvol om NTP uit te schakelen en zo geen gebruik te maken van de tijdservers?

[Paul Matthijsse]

Jaja, het is zinvol om veel, zo niet alle netwerkprotocollen uit te schakelen, ook chargen bijvoorbeeld. Neem hier een kijkje:
http://fr.slideshare.net/Prolexic/chargen-baseddistributedreflectiond-dosattacks
Anderzijds: hoe vaak ben jij de afgelopen zes maanden gehackt of erger? Maw., dit blijft grotendeels theoretisch gedoe. Ik maak me vooralsnog geen grote zorgen. Vooralsnog dus.

[Vistaus]

Anderzijds: niks anderzijds. Voorkomen is beter dan genezen, zo heb ik altijd geleerd tijdens mijn opvoeding, beste Paul.

[PKing]

"Het manipuleren van de tijd bleek op Ubuntu en Fedora vrij eenvoudig: die besturingssystemen updaten de systeemtijd regelmatig via het network time protocol.

Dat protocol heeft wel ondersteuning voor beveiligde verbindingen, maar standaard is dat niet ingeschakeld"

Dit staat op tweakers onder andere, alhoewel ik mij er niet echt zorgen over maak, vindt ik het wel raar dat er niet bij staat hoe je die ondersteuning dan inschakelt.....

[DeBaas]

Ik haal ook uit het verhaal dat als eerste contact wordt gezocht met http, de server aanbied om https: in te schakelen.
Wat nu als je direct een verbinding https: opzet ?
add on voor FF en Chrome(ium) https://www.eff.org/Https-everywhere

[Pjotr]

Heeft die ssl-update van gisteren/vandaag hier iets mee te maken? Zo ja, dan is het probleem misschien al verholpen....

[Vistaus]

Tja, ik update de tijd ook via NTP op zowel Antergos als AmigaOS 4.1 Maarja, een update voor beiden hiervoor zal wel komen, neem ik aan

[Johan van Dijk]

"Het manipuleren van de tijd bleek op Ubuntu en Fedora vrij eenvoudig: die besturingssystemen updaten de systeemtijd regelmatig via het network time protocol.

Dat protocol heeft wel ondersteuning voor beveiligde verbindingen, maar standaard is dat niet ingeschakeld"

Dit staat op tweakers onder andere, alhoewel ik mij er niet echt zorgen over maak, vindt ik het wel raar dat er niet bij staat hoe je die ondersteuning dan inschakelt.....

Het probleem is dat voor die versleuteling de server en de client (jouw computer dus) dezelfde sleutels of "wachtwoorden" moeten kennen. Je kan dus alleen verbinding maken met een beveiligde server als je een wachtwoord hebt van die server. En beheerders van die servers geven die niet zomaar weg.

En het wachtwoord om de tijd op te vragen openbaar maken heeft niet zoveel zin, want dan is het weer mogelijk om die te manipuleren.

Heeft die ssl-update van gisteren/vandaag hier iets mee te maken? Zo ja, dan is het probleem misschien al verholpen....

Nee dat is een deel van de oplossing voor de "POODLE"-aanval, en het dicht een lek waardoor een denial of service mogelijk was: http://www.ubuntu.com/usn/usn-2385-1/

[Joris Donders]

Ik haal ook uit het verhaal dat als eerste contact wordt gezocht met http, de server aanbied om https: in te schakelen.
Wat nu als je direct een verbinding https: opzet ?
add on voor FF en Chrome(ium) https://www.eff.org/Https-everywhere

Ik heb voor de zekerheid deze add-on geïnstalleerd , volgens mij kan dit inderdaad die kwetsbaarheid met een work-arround oplossen voorlopig. Bedankt voor die tip !