Nieuws:

We zijn er weer.

Na lange tijd van afwezigheid zijn we er weer  :laugh:
We hebben alle wachtwoorden gereset, je oude wachtwoord werkt niet meer.Je moet via het "wachtwoord vergeten"-linkje je wachtwoord resetten. Je krijgt hiervoor een mailtje op het adres dat je bij ons geregistreerd hebt.

De komende tijd zijn we nog druk bezig om de rest van de site op te bouwen, dus het kan zijn dat sommige onderdelen (tijdelijk) niet werken.

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Linux kwetsbaar voor aanval op https  (gelezen 566 keer)

Offline loti

  • Lid
  • Steunpunt: Nee
Linux kwetsbaar voor aanval op https
« Gepost op: 2014/10/16, 22:04:30 »
Bij Tweakers las ik het volgende bericht:

http://tweakers.net/nieuws/99080/linux-gebruikers-kwetsbaar-voor-aanval-op-https-feature.html

Misschien weten andere leden hier meer vanaf?

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanval op https
« Reactie #1 Gepost op: 2014/10/16, 23:11:29 »
Zeer hypothetisch naar mijn idee. Maar ja, alles kan. En het omgekeerde dus ook. Ik maak me vooralsnog geen zorgen.

Offline loti

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #2 Gepost op: 2014/10/16, 23:26:03 »
Is het zinvol om NTP uit te schakelen en zo geen gebruik te maken van de tijdservers?

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanval op https
« Reactie #3 Gepost op: 2014/10/16, 23:42:28 »
Jaja, het is zinvol om veel, zo niet alle netwerkprotocollen uit te schakelen, ook chargen bijvoorbeeld. Neem hier een kijkje:
http://fr.slideshare.net/Prolexic/chargen-baseddistributedreflectiond-dosattacks
Anderzijds: hoe vaak ben jij de afgelopen zes maanden gehackt of erger? Maw., dit blijft grotendeels theoretisch gedoe. Ik maak me vooralsnog geen grote zorgen. Vooralsnog dus.

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #4 Gepost op: 2014/10/17, 00:25:48 »
Anderzijds: niks anderzijds. Voorkomen is beter dan genezen, zo heb ik altijd geleerd tijdens mijn opvoeding, beste Paul.

Offline PKing

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanval op https
« Reactie #5 Gepost op: 2014/10/17, 07:20:44 »
"Het manipuleren van de tijd bleek op Ubuntu en Fedora vrij eenvoudig: die besturingssystemen updaten de systeemtijd regelmatig via het network time protocol.

Dat protocol heeft wel ondersteuning voor beveiligde verbindingen, maar standaard is dat niet ingeschakeld"


Dit staat op tweakers onder andere, alhoewel ik mij er niet echt zorgen over maak, vindt ik het wel raar dat er niet bij staat hoe je die ondersteuning dan inschakelt.....
Hoofdmachine AMD t1055 6core 8gb mem 1333DDR3 Xubuntu 14.04 64bit/HP SFF desktop Xubuntu 14.04 32bit/HP Pavilion 2 core 2GB Xubuntu 16.04

Offline DeBaas

  • Lid
  • Steunpunt: Ja
Re: Linux kwetsbaar voor aanval op https
« Reactie #6 Gepost op: 2014/10/17, 08:52:24 »
Ik haal ook uit het verhaal dat als eerste contact wordt gezocht met http, de server aanbied om https: in te schakelen.
Wat nu als je direct een verbinding https: opzet ?
add on voor FF en Chrome(ium) https://www.eff.org/Https-everywhere
Ik beantwoord GEEN hulpvragen via PB en/of MAIL

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #7 Gepost op: 2014/10/17, 10:33:39 »
Heeft die ssl-update van gisteren/vandaag hier iets mee te maken? Zo ja, dan is het probleem misschien al verholpen....

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #8 Gepost op: 2014/10/17, 11:32:15 »
Tja, ik update de tijd ook via NTP op zowel Antergos als AmigaOS 4.1 Maarja, een update voor beiden hiervoor zal wel komen, neem ik aan :)

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #9 Gepost op: 2014/10/17, 11:50:49 »
"Het manipuleren van de tijd bleek op Ubuntu en Fedora vrij eenvoudig: die besturingssystemen updaten de systeemtijd regelmatig via het network time protocol.

Dat protocol heeft wel ondersteuning voor beveiligde verbindingen, maar standaard is dat niet ingeschakeld"


Dit staat op tweakers onder andere, alhoewel ik mij er niet echt zorgen over maak, vindt ik het wel raar dat er niet bij staat hoe je die ondersteuning dan inschakelt.....

Het probleem is dat voor die versleuteling de server en de client (jouw computer dus) dezelfde sleutels of "wachtwoorden" moeten kennen. Je kan dus alleen verbinding maken met een beveiligde server als je een wachtwoord hebt van die server. En beheerders van die servers geven die niet zomaar weg.

En het wachtwoord om de tijd op te vragen openbaar maken heeft niet zoveel zin, want dan is het weer mogelijk om die te manipuleren.

Heeft die ssl-update van gisteren/vandaag hier iets mee te maken? Zo ja, dan is het probleem misschien al verholpen....
Nee dat is een deel van de oplossing voor de "POODLE"-aanval, en het dicht een lek waardoor een denial of service mogelijk was: http://www.ubuntu.com/usn/usn-2385-1/

Offline Joris Donders

  • Lid
  • Steunpunt: Nee
Re: Linux kwetsbaar voor aanval op https
« Reactie #10 Gepost op: 2014/10/17, 15:05:24 »
Ik haal ook uit het verhaal dat als eerste contact wordt gezocht met http, de server aanbied om https: in te schakelen.
Wat nu als je direct een verbinding https: opzet ?
add on voor FF en Chrome(ium) https://www.eff.org/Https-everywhere

Ik heb voor de zekerheid deze add-on ge├»nstalleerd , volgens mij kan dit inderdaad die kwetsbaarheid met een work-arround oplossen voorlopig. Bedankt voor die tip !  :D
Gubuntu 17.04 wegens verdwijnen Unity binnenkort