【ネット】ネット史上最大級のバグを発見〜パスワードもクレカ番号も全部筒抜け−OpenSSLの脆弱性

ネット史上最大級のバグを発見
http://news.livedoor.com/article/detail/8723127/

サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、
という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。
それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。
この件に関して、セキュリティの専門家Bruce Schneier氏（Co3社CTO兼EFF理事兼ハーバード大フェロー）は
「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。
このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。
血を吹く心臓という意味です。これの何がどう怖いのか、少し説明していきます。

アップルの脆弱性の時も出たように、ネットでセキュアな取引きができるのは暗号通信プロトコルの
「Secure Sockets Layer （SSL）」とその弟分「Transport Layer Security（TLS）」があるお陰。
SSLもTLSも働きは一緒です。セキュアなサイトに行くとURLが「https://」で始まって、
アドレスバーに鍵アイコンが出るので「ああ、セキュアなサイトだな」とひと目でわかります。
こういうセキュアなサイトでは裏で暗号鍵を交換してブラウザとサーバーが互いに
相手の身元を確かめているんですが、この秘密のデジタルの握手を司るのがTLSとSSL。
これがあるから我々は人に見られたくない情報をサイトと自分の間だけに留めておくことができるのです。

幸いTLSとSSLはどちらも通常通り問題なく動いていて、今回問題なのは「OpenSSL」というソフトウェアライブラリの方。
OpenSSLは簡単に言うと、TLSやSSLの暗号化技術を迅速・簡単に装備できる
オープンソースのパッケージなのですが、ここに「Heartbleed」の穴が何年も前（正確には2年前）からバックリ開いていたのでございます。

ある特定の（結構広く使われてる）バージョンのOpenSSLのコードに
小さなエラーがあるため、攻撃者はその脆弱性を突いてTLSやSSLの保護を破り、
中の非公開の情報を見放題できるんです。秘密の握手も丸見え。

＊関連
【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響
http://ai.2ch.net/test/read.cgi/newsplus/1396946788/

>>1
これで生じる問題は何点かあります。
まず、例えばユーザーが米Yahoo.comでメールアカウントにログインする際に攻撃者に
秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。
ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、
クレジットカード情報も全部筒抜けです。
もっと怖いのは、個人情報を預かってるサイト側がどう身分証明してるのか、
そっちも見られてしまうこと。握手（要するに公開鍵と秘密鍵の鍵ペア）の片側がバレると、
攻撃者はもうなんでもできちゃいます。中間者攻撃（Man in the Middle Attack）で手と手の間に入って、
過去の決済を覗き見したり、サイトに入力した内容の傍受などやりたい放題です。
しかも窓を割って侵入するんじゃなく、鍵を使って入るので荒らされた痕跡も一切残りません。
OpenSSLとひと口に言っても、全バージョンが崩壊しているわけではありません。
穴を塞いだ修正パッチも既に出ています。
が、これまで何年間も穴は開きっぱなしだったわけで、被害の規模は予断を許さない状況です。
脆弱性があるバージョンのOpenSSLを採用している
サイトはこのリストの一番上にある45のサイト
（中略）
攻撃者は侵入の痕跡を残さないので、この中の何個が被害にあったサイトなのかは全くもって不明です。
こうなったら全部侵入されたと思う方が安全でしょう。使用するサイトがやられてる人は
認証情報がどっか外に漏れてる可能性を疑ってみることですね。

サイトがOpenSSLの穴を塞いでも、まだ解決にはなりません。
鍵を付け替える部分の作業が残ってます。鍵を挿げ替えた後でも、
その前に漏れてしまった情報は二度と回収できないので、不安が一生つきまとうことに。
幸い決済の大手は大丈夫です。例えばAmazonもGoogle*もMicrosoftも
「not vulnerable（脆弱性なし）」でセーフ。
しかし、ひょっとすると今回の脆弱性の被害は未曾有の規模かもしれませんね。確かめようもないことですが。

当面できることは限られています。とりあえず上記のリストで「vulnerable（脆弱性あり）」と
記載のあるサイトには近寄らないことです。
サイトが穴を塞ぐのを待って、パスワードは変更、という流れがいいと思います。

何回同じスレ立てるんだよ

娘が号泣した

最悪だ。it関係者が血眼になってる。

＞何年間も穴は開きっぱなし

そかそか

数日前から散々見たわ
何度同じネタでスレたてんだよ

２００個成功したとか税金いくら使ってんだよ

実際に被害が出ていないなら大した問題じゃないから騒ぐ必要もない
２年前から空いてた穴ならなおさら

寄らば大樹の影

へーこわーい

通販サイトに登録してあったクレカ情報を削除すべき？

これは相当やばいな

オープンソースだからプロプラより安全なはずだって思ってる子いるけど
このとおり大穴開いてたって誰も気付かないのさ

これだからオープンソースは信用ならない
Unixにだって14年間バックドアが仕込まれてたんだぞ

所詮オープンソースは仕事でやってるわけじゃないからなあ

yahoo steamcommunity flickr 辺りで俺はアウトだな。クレカは使ってなかった気もするけど。

バグの詳細はよ

クレジットカードや個人情報が誰にも悟られることなく、このバグを利用すると入手できるのか。
事態はかなり深刻だな。

勝手に変なシール貼るのが悪い！

アナーキーの語源が穴ーキーであると錯覚するはめになることを僕達はまだ知らない

で、どうしたらいいので？？

おいおい、サーバーのメモリから秘密鍵をネット側から盗まれて、漏洩するのかw
こりゃヤバイヤバイ

ネットでクレジットカード番号を打ち込んで買い物ってなんか怖くて未だにやった事ないわ
まぁそんな事を言い始めたらクレジットカードで買い物自体が危険そうだけどｗ

やっぱり耳は聞こえてたんだ。

>>22
STAP細胞で初期化

ああどうにもならない

>>22
OpenSSLだけ更新して済ますシステム管理者がいるので、
「漏れてたら変えなきゃいけないもの」を全部変えさせる。
ユーザー側としては、SSL証明書の更新を含む対応完了の報告があるまで
アクセスしないことと、対応完了後にパスワードを変更する等が必要。

STAP細胞のせいで全く気がついてないけど
これ超ヤバイよね

>>15
オープンソースで１４年間、バックドアに気づかない方が異常。ｗ
ソース見たいたのがバカしか思えないわな。ｗ
むしろクローズドの方がややこしい。商売的な問題があるからな。

オープンソースなんだから
誰にも気がつかないようにわざとバグを仕込んだやつが犯人

謝罪と賠償を要求する二打

openssl以前に、データセンターが半島にあるようなファシリティ使ってたら、

セキュリティも糞もねぇだろ

えーっと、色んな買物のメール宛先を
ヤフーメールにしてたらかなりマズイってこと？

やばすぎんなこれは

>>24
2chもやめたら？
安全じゃないよ？

>>22
クレカ絡みなら詳細見て使ってないのはクレカ会社に連絡すれば保険でチャラだよ
クレカ会社死にかけるかも知れんがw

>>36
ここ https じゃないし

調べ方はこれでいいの？
http://www.digitaltrends.com/computing/check-favorite-websites-vulnerable-heartbleed-bug/#!DuX2i

>穴が何年も前（正確には2年前）からバックリ開いていたのでございます。

黒木香かよ

あの〜 野村證券ヤバイんですけどｗ
ＳＢＩ証券は大丈夫っぽい

何年も前ならバグじゃなく仕様だから問題ないな
パソコン通販こそ現金取引だろ

これ「バグ」でなくてスノーデンの告発で話題になったNSAのような情報機関が裏で関わってる意図的なバックドアだったとしたら！！
その方が恐ろしいし、その可能性って十分有り得そうだからまた恐ろしい。。。
少なくともNSAの様な機関はもっと早くに気づいてたはず。

楽天がやばそうだが大丈夫か

>>43
オープンソースなんだからそんなことねえよと

まず盗聴されてなきゃ関係ない。オフィスとかは気にしないといけないだろうが。

>>40
黒木香って、誰？

ここでサイトのテストできるらしい
https://www.ssllabs.com/ssltest/

>>43
オープンソースのプロジェクトには「気付かれにくいバグ」を埋め込む
どっかの情報機関の手先が紛れ込んでいてもおかしくはないよな。
……プロプライエタリの開発会社でも敷居は高いとはいえ同じか。
このコードを書いた人は各国の機関に調べられるんだろうな。
何らかの思惑があってわざとこのようにしたんじゃないかと疑われて。

>>46
>盗聴されてなきゃ

されてます。スノーデンは嘘ついてるわけじゃない。
別に知られて困る秘密はないけど気持ち悪いし、腹立つよね？

逆にオープンソースだと誰が開発に関わってるか分からんし、
この例のように、オープンソースであっても
開発して提供した人にしかバグが分からないで延々と仕込まれてる場合がある。
韓国人や中国人が匿名で顔隠して開発に関わって発見されにくい穴を仕込んでても
可笑しくないわけだ。
オープンソースのPHSやSQLなんて馬鹿デカくて玄人でもソース全部解析したやつが殆どいなくて
穴だらけなのは昔から知られてて、やたら韓国ソフトバンクが押してるから疑うべきだな

東京三菱ＵＦＪ銀行は凄いなｗ 口座持ってないから初めて行ったけどｗ
テストしたらかろうじて合格

楽天オークションテストしたら余裕の合格

うまくなだめてやらなきゃマジでやばいだろう

野村もホームトレードは合格だな
正面玄関は不合格みたいだけど

githubにこんなの
https://github.com/musalbas/heartbleed-masstest

>>39でテストしても「ー」でグレードが分からないとこが多いんだけど
ai.2ch.netはエラー出る

ネットでクレカなんか使うかよ
アホじゃあるまいし

MSのISSでも関係あるの？

これあれだな、HTMLコードを全部解析してテストしないと正直どこまで大丈夫なのかわからん気がしてきたわ

>>57
>>39でチェックすることは不正アクセス禁止法違反だから。
犯罪自慢乙

がいしゅつかもしれんけど、
>>56をcloneしてgrepしてみたら
nanapi.jp
weathernews.jp
radiko.jp
がvulnerableだった(今はどうかしらんけど)

穴がでかすぎるから、このバグで被害を受けた奴は逆に
狙い撃ちされるような何かをしてないかぎり、
下手すると宝くじに当たるよりもすごい確率かもしれんぞｗｗｗ

英辞郎は>>39でBだったけど。
>>61 どういう意味？？

>>61
どゆこと？

俺のクレジットカード会社 不合格だったｗ

ヨドバシ。コムがFだったぞ、おい。

みずほ銀行　B

ANA がF
JALがA-

>>24
別に。
何度か不正利用されたけど、カード会社が一言で処理してくれる。

正確なテストはシステムの内部までハックしないとできるとは限らないから
まぁなんとも言えないと思うわ

ロリポップ　F！
家入一真さんだめでしょ！これじゃ

１件も不正アクセスがこない・・・同じ危ない橋なら、よりガッポリ盗れる口座を狙うかｗ

途中まで記事読んだがよく分からんし確率的に問題無いだろう

いつもニコニコ現金払いが最強なんだよ
銀行がATM現金払い出しに制限つけるから面倒くさい
好きに下ろさせろや

ま、確率がどうだろうとDMMが漏れたら終わる。

dmm.com
No secure protocols supported

www.dmm.com
F


やばそう>>76

>>1
必死だなw

>>53
my楽天　Bだったけど。

>>75
よく前払いとか代引の方がよっぽど怖いわw

マーイモ

>>78
てことは、認証だけ厳しくて一度入ったらチョロいってこと？
まぁ内部がどうなってるかわからんとなんとも言えんけど

auショッピングモール　F

基本的に、漏れていたとしても悪用される心配は少ない。、
日本で普通に国内大手サイトで買い物する限り、HTTPSでアクセスしなくても
それほど危険ではない。経由するところはほぼ確実に安全だから。

まともではないISPを経由している場合のみ盗聴に多少危険性が出る。

これで被害でたら誰が責任取るんだろう？
アメリカだったら訴訟祭りになるんだろうな。

こんだけ時間があっても対応してないんだもんな。すごいよな。
現状で、攻撃用の通信をすれば、ほんとに情報が見える状態なわけだけど、
責任者に説明してもどういう脆弱性なのか理解できないんだよ。

>>84
無線LANは？
つか、この脆弱性は暗号化が無駄になるだけのものじゃないんだが。

>>84
この問題はそういう問題じゃないんですけど

団塊世代の会社の社長が「プロトルコ　プロトルコｗ」とウルセーんだよｗ

>>88
じゃあこっそりトルコプロに誘導してやれ。
みんなでやれば何とかなる

>>52
UFJのダイレクトはCでちょとやばいぞ

二年間穴が開いていても、表面化するほどの問題さえ起きてない。
まあ、そう言うこった。

＞穴が何年も前（正確には2年前）からバックリ開いていたのでございます。


村西とおるが書いたのか、この記事は

>>91
悪用しようものなら全力で捜査されて即逮捕だろうからな。
完璧に足跡残さないような技術を持ってる人もいるかもしれないけど、
そういう人は犯罪じゃなくて真っ当に金稼ぐだろうし。

この攻撃は表面化しにくい。攻撃者にはもちろん表面化しない方が得。
だから、被害が表面化しているか否かは問題じゃない。
問題は今まで被害にあっていたかどうかじゃなくて、公表された後の動きだし。
かなり特殊な人しか攻撃ができなかった脆弱性情報の公表前と違って
現状では誰でも攻撃が出来るわけだから、
まだ対応が出来ていないサイトはかなり危ない状態にあると思わないといけないし、
対応したつもりのサイトも、OpenSSLを更新しただけなら、
更新前に取られた情報を使った攻撃にはまだ何も対応できていないことになる。

>>93
この脆弱性の場合は足跡が残らないように出来てしまうようだ。

やっぱ国家機密のが怖いね


6 ：七つの海の名無しさん：2014/04/11(金) 03:24:52.60 ID:npVNjHFD
米国で販売するパソコンは、全てNSAの認可を受けているらしいな。
つまりパソコンそのものがトロイの木馬だったということ。
パソコンとOSは国産にしないといけない。
以前、フォークランド紛争のとき、アルゼンチンで使用されていた
電話網が英国製だったため、アルゼンチンの軍事機密が英国に
筒抜けだったという事件もあったしな。

知り合いのスーパーハカーが言ってたアレか。

bitcoinといいオープンソースは脆弱ですねー

ヤフー終わったなw

クレカ使ってる奴は負け組み

ほんとの金持ちは自分で支払いなんかしない

>>94
攻撃方法がどうだろうと、被害者が被害に気づかないことはあり得ない。
つまり、今まで攻撃なんてなかったんだし、攻撃者がパスワードだけ手に入れて
何ヶ月も使わずに抱えたままなんてことも考えにくいな。

>>94
そーなんだ。
情報を盗む所まではやりたい放題ってことか。
でかい会社とか国家レベルは震え上がってるだろうな。
ウィキリークスとか最近聞かないけど、情報溜め込んでたりして。

ヤフーでオークションやってるけどすげー不安

日本のヤフーは大丈夫だったよ。
>>1はyahoo.com

SSLの脆弱性をつく攻撃ていうと
「経路上でユーザーの通信内容を読み取る」
だけだと思っちゃうよな。無理もない。
システムに関わる人はとりあえず、今回はそういう問題ではない
ということだけ憶えて、関連記事を読み返して
OpenSSLを更新する、だけではない対策をしてほしい。

>>101
確率的にすべての情報をうまいこと手に入れられるかというと微妙だと思うな
まぁメモリのアロケーションがどうなってるか次第だし
特定のアカウントのメモリだけ都合よく手に入るか微妙なところもあるだろうし

>>43
今回に限っては無いな、米ちゃん政府は
以っと対象の広いそれもハードにバックドア開けたいだろうし
現に開けてるｗ

ん？ヤフーメールで送受信してた奴は筒抜けだったって事？

OpenSSLのアプデってめんどくさいんだよ、Apacheとかもコンパイルし直す必要があるから…

>>77
DMMはベリサインのマーク入ってるやん

オープンソースって国家レベルでも利用されてるんだろうか？
意図せず使いまくってそうな気はするけど。
昔、委託会社の人間の素性まで調べて、完全にブラックボックスでシステム開発してるってのを聞いたことがあったけど、
重要な部品に意図的に脆弱性埋め込んであったらそういうの全部無駄だな。

(^(工)^)

>>109
ｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>110
あちこちで使われてるよ

>>112
そうだよね
国レベルは全部オーダーメイドだ！ってなったらスーパーITバブル到来で楽しそう
まぁこれは絶対ないだろうけど、偉い人たちはどーすんだろうか

Windowsとか、ブラックボックスを使ってる時点で、
セキュリティ　なんて、無いも同然だよ。
なーにがＳＳＬだｗｗｗぷげらっちょｗｗｗｗｗｗｗｗｗｗｗｗ

ちなみにブラックボックスは宇宙系のシステム開発って言ってた。
国防とかにも関わってくるだろうし、色々想像すると深刻だな。

さっそくXP買い替え押し進め作戦か

>>100
う〜〜〜〜ん？

最近の世界情勢の変化に
ウィキリークスはかなり貢献してると思う
スノーデンとか

>>99
クレカは保証があるし
買ってもない物は請求されても支払い不要だし

>>118
同意
ロシアに移動した事でパワーバランスがかなり変わった
しかしこれが単純に良いこととは思えないが

こんなんより通販会社にクレカ情報渡す方が怖い
２ｃｈがいい例

ssltestで、yodobashi.comなんかは確かにF判定だけど
「This server is not vulnerable to the Heartbleed attack. (Experimental) 」って表示されるぞ。
今回の件では大丈夫ってことじゃないのかい？

もう最新のバージョンにはないバグなのだろ？
で、今のところたいした事件は起きてないから、
事実上、そんな大騒ぎする話ではないのじゃね？

>>120
変革期に混乱はつきものだから、仕方ない。
でも何も知らずに監視されまくりとか
国家機密ダダ漏れ危険なことを
国民が知らないままでいるより
全然いいよ。

>>99
まあクレカも持てない俺らが真の負け組だけどな

別にカード会社の保険があって不正は保障されるし

みんなが低いレベルの同類だと思い込むだけで安心できるんだから2ちゃんは優しいな。

個人はまあいいんじゃない
ほんとうに怖いのは国家機密
日本の官僚は　　ｗｗ
日本の軍事機密が中韓にだだ漏れかも

ブログやHP持ってる人は、ある朝見てみたらとんでもなく恥ずかしい内容に書き換えられてたとか
そういう不安は拭い去れませんがｗ

imgur.comはともかく
flickr使うのにyahooにリアル個人情報を登録しちゃった人はご愁傷様って事か

いつからか知らんが、Googleのトップページがhttpsになってる。
意味ね〜

>>128
バ姦僚がジョロジョロ漏らすのは飼い主の米国務省様にだから

官報情報検索サービスがＦだな

確定申告作成サイトはＣだったわ

>>128
日本の技術者が中国企業に転職しまくりなのに
何を今更

保険会社が血ヘド吐くだけじゃんｗｗｗ

鯖屋から緊急メンテで再起動のお知らせが来てたわ

スターウォーズでいうなら、デススターの弱点が発見されたぐらいか

SBIネット証券がまだイートレード証券といってゐた頃だから，十年以上前の話だけれど
ちょっと変態的な思ひつきで，Macのターミナルから株取引の注文のできる環境をつくらうと思って
ネット証券の板情報画面や注文操作画面を単にエミュレートするスクリプトをperlで書いてみたら
結構，これが実用的で，実際にそれで取引してたわ．
さう，たしか，このときのプログラムは，openSSLのライブラリを利用してたのだった（汗

握手って表現がなんか気持ち悪い

>>129
OpenSSLの脆弱性とサイト書き換えの話は近いようで別の話

僕の肛門も出血しています。

>>47
横国大の脇毛

今までは運が良かったということかな？
それとも、漏れてて気づいてないのか
大した情報持ってないけど、いい気持ちはしないなー

対策は以下

リストにあげられた
利用者にパスワードの再設定かクレジットカードの再発行を薦め、最新版に更新


リストにあげられていない
こっそりメンテして、最新版にひっそりアップデート

>>126
金銭的被害なくとも、カード番号が変わる事で
いろいろ手続きし直さなければならず、かなり面倒
再発行中は、カード使えない
保障があるから別に構わないというレスは、馬鹿にしか見えない

>>131
検索キーワードで、個人情報に近いデータが得られるんだけど
本当に意味ないと思うの？

>>146
Google自体が、最大のデータ盗用者だ。

オープンソースでも2年も誰も気が付かねえんだから、ハードウェアに
バックドア仕掛けてあったらお終いだよな。
インテルのチップとかさ。もう仕掛けてあんだろうな。
こないだはサムチョンのSoCに仕込んでんのバレたな。

だから早くおれを踏み台に使ってくれよ

>>146
今回はシステム側にログ残らないから保険対象外だよん

つまりハニーポッドを用意してスヌープしとけって事だろ？

なんだよXPでも変わらなかったんじゃねぇかよ

>>50 どこのレベルでの盗聴を想定してるんだ？
ISP が丸ごと盗聴されてるとかでなければ普通の利用者はほぼ LAN しか盗聴されないが。

>>131
データをまとめて転送することでWebブラウジングを高速にする
SPDYという技術をGoogleが中心になって作ってる
SPDYを利用するにはSSLでの通信と対応ブラウザが必要

Googleは自社サービスにSPDYを投入してるのでChromeやFirefoxなどの
対応ブラウザだと速くなるよ
FacebookやTwitterもSPDYに対応してでSSLをよく使うようになった

他のユーザーも接続できる無線LANで通信するということは
通信内容を他のユーザーに知らせているのと同じ事です。
SSLで守られていれば通常は、保護された通信データを長期間保存して
今回のような脆弱性が発覚して秘密鍵を取得できるか、
実用的な時間で解読できるぐらい計算機が発達するのを待つような
根気がある人に狙われない限り問題は起きませんが、
たった今この脆弱性に未対応のサービスは、
SSLで守られていないのと同じ状態です。

>>155
同じLANを使っていたら盗聴できる。
そんな風に思っていた時期が俺にもありました。

>>156
多くの人のセキュリティに関わる事なので混乱を生むことは書かないように。
同じ有線LANに接続しているだけでは（いわゆるバカハブを使っていない限り）
他のクライアントには自分が送受信している情報は行かないけど、
無線LANなら他のクライアントでも内容を取得できるよ。

>>157
> 無線LANなら他のクライアントでも内容を取得できるよ。

　　　　 /: : : : : __: :/: : ::/: : :／/: : :/l::|: : :i: :l: : :ヽ: : :丶: : 丶ヾ　　　　＿＿＿
　　 　 /;,, : : : //::/: : 7l,;:≠-::/: : / .l::|: : :l: :|;,,;!: : :!l: : :i: : : :|: : ::､　 ／　　　　 ヽ
　　　 /ヽヽ: ://: :!:,X~::|: /;,,;,/: :／　 ﾘ!: ::/ﾉ　 l｀ヽl !: : |: : : :l: :l: ﾘ /　そ　そ　お　＼
　　　/: : ヽヾ/: : l/::l |／|||llllヾ,､　　/ |: :/ , -==､　l＼:::|: : : :|i: |　/ 　 う　う　 前　　|
.　　 /: : : //ヾ ; :|!: ｲ､||ll|||||::||　　　 ﾉノ　 ｲ|||||||ヾ､ |: ::|!: : ｲ: ::|/　 　な　思　が
　　 /: : ://: : :ヽｿ::ヽl |{ i||ll"ﾝ　　　 ´　　　i| l|||l"l　｀|: /|: : /'!/l 　 　 ん　う
　∠: : : ~: : : : : : : :丶ゝ-―-　　　　　 , 　ｰ=z_ｿ　　 |/ ﾊﾒ;, :: ::|.　　　だ　ん
　　 i|::ﾊ: : : : : : : : : : : ､ﾍﾍﾍﾍ　　　　 ､　　ﾍﾍﾍﾍﾍ /: : : : : ＼,|.　　　ろ　な
　　 |!l　|: : : : : : : : :､: ::＼　　　　､-―-,　　　　　　/ : : :丶;,,;,:ミヽ　　 う　 ら
　　　　　丶: :ﾊ､lヽ: :ヽ: : ::＼__　　｀~　"　　　　　 /: : ﾄ; lヽ）　　　ゝ
　　　　　　 ﾚ　｀|　｀､l｀､＞=ﾆ´　　　　　　　 ,　　_´ : :}　｀　　　／
　　　　　　　　 ,,､r"^~´"''''"t-｀r､ _　　-､　´ヽノ　＼ﾉ　　　／　　　　お ・
　　　　　　　,;'~　　_r-- ､__　　　　　~f､_>'､_　　　　　　　　 |　　で　　前 ・
　　　　　　f~　　,;"　　　　　~"t___　　　　ﾐ､ ^'t　 　 　 　 　|　　は　　ん ・
　　　　　 ,"　　,~　　　　　　　　　ヾ~'-､__　ﾐ_ξ丶　　　　　|　　な　　中 ・
　　　　　;'　　,ｲ　.. 　　　　　　　　　ヽ_　　 ヾ､0ヽ丶　　　　l　　　　　　　　　/
　　　　 （　;":: |:　:: ..　　　　　　　　　 .｀,　　 ヾ　丶 !　　　　＼＿＿＿＿／
　　　　　;;;; :: 入:: :: :: 　 　　　l｀ｰ-､　　 ）l　　 ヾ　丶
　　　　　"~､ｿ:: :い:: :　　　　　＼_　　ノ　,　　　 ヾ　丶

もう見たわーってやつは事の重大さがわかってないな
まぁ一般的にはわかりにくいけど

>>123
起きたかどうかすらわからないからヤヴァイ

アナーキー

その締りの悪い穴は今俺の横で寝てんぞ？

【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響
http://ai.2ch.net/test/read.cgi/newsplus/1396946788/
これも含めて、ニュー速スレが全然伸びないことも怖いが
一般紙でほとんど報道されないことの方が、日本のITリテラシを象徴してるようで愕然とする

>>158
わざわざ自分の無知を晒さなくてもいいのに
パケットキャプチャとかでググってみたらいいさ

インストールしてるOpenSSLは更新しておいた

>>154
サンキュー。
個別には聞いていても、SPDYにSSL使ってるのは知りませんでした。
勉強になりました。m(__)m

油断してると、進化してるもんですね。

それにしても、Googleは使って便利だけど、今一信頼性が低いんだよな。

アマゾンと楽天は入っていないようだな
ヤフオク使ってるやつザマァwww
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com（←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました）
wettransfer.com
usmagazine.com
500px.com

yodobashi.comもレベルFだな。
>This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
>Insecure Client-Initiated Renegotiation Supported INSECURE (more info)
って出るが、中間者攻撃の脆弱性の詳細はよく分からない。
管理者にメールすれば直してくれるのかな。

Heartbleed attackでアウトなのは、確認できたのはinter7.jpくらいか。
あそこは元々オレオレ証明書だし、既に漏れてたけど漏れっぱなしなんだろう。
管理者が対応する気0なだけだな。

該当するサイトで使用している証明書も再発行してもらう必要があるから、
再発行の手続きが混んで時間がかかりそうだな。

>>162
パケットキャプチャわろた。

専用サーバを借りてるんだけど、いつもはセキュリティアップデートは自分でやれよって感じなのに今回はパッチ当ての手順まで書いたメールが来た。
公式サイトでは自分で出来ないやつは別料金でやってやるよって書いてたのに気が変わったのか。

Symantecから該当バージョンなら証明書再発行してねのメールがきていた

>>162
暗号化ソフトＳＳＬに欠陥、悪用狙い攻撃相次ぐ
http://www.yomiuri.co.jp/it/20140411-OYT1T50132.html

一般メディアではこれが最初の記事か？

SSLで通信中のデータが見られるかもってことでしょ
そうやってクレカ番号見られても毎月チェックしているし、
住所も電話番号も晒しまくっているから別に平気

クレカの金銭的な被害は補償されるけど、ここで慌ててる奴は購入履歴がやばいんだと思われる。

>>103
損禿げの妄言は誰も信用しないよｗ

オープンソースだからみんなで監視するので穴がすくない
とか、ネット上でオープンソースのメリットいってるアホｗ

ぽまえら ffftp　古いヤツ使ってるとヤバイみたいやで

何がやばいの？

よくわからんが　起動するとopenSSLを読み込みましたとか出るので
秘密のファイル隠し倉庫がヤバイと思った

緊急版が出ているようだ

http://sourceforge.jp/projects/ffftp/releases/60944

信用無くして電子のデータがゴミになるだけ
金が惜しい奴は現金化しとけよｗ

つまりニュースで知ったニワカハッカーがこれから活躍するってこと？

誰か俺の口座にハッキングして間違って大金入れてくれないかなあ…

ネット決済系を扱うサイトでも、この件に関して声明を出してるところってほとんどないな。ユーザが自分で調べて問い合わせるしかないって、、、。

今回の脆弱性は、比較的新しいバージョンのOpenSSLにだけあるんだよね。
だから、ひっかかってるサイトは、実は真面目にバージョンアップしてるところかもしれない。w
まぁ、昨今のWEBの入り口なんて、大抵アプライアンス機器だろうから、OpenSSLだけバージョンアップとか出来ないけど。

カードの番号とか、パスワードとか、口座番号とかとっくに漏洩してるからな。
何年か前に銀行やカード会社からお詫びの手紙来てたよ。
悪用された後の対応をちゃんとしてくれるものなら何ら問題はない。
金使うとこは大抵は大丈夫だろう。
個人だと、twitterなんかでの、なりすましの方がダメージでかいかもしれない。
法人はやばそうなとこ結構有りそうだけど。

もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトの一覧を公表してくれ。
PFSに対応してたTwitterとかなら、仮に脆弱だったとしても鍵が毎回違うから狙われてないと思うけど。
その期間に漏れたのは仕方ないから、パスだけ変えとく。

公表されないなら、Amazonを筆頭にアカウント登録したとこは全部変えとこうかな。
他に穴が空いてそうなSSLサイトは退会したほうが良さそうだが。

Qualys SSL Labs:
https://www.ssllabs.com/ssltest/analyze.html?d=www.yodobashi.com
>SSL Report: yodobashi.com (211.120.8.208)
>Overall Rating　F
Heartbleedとは別の、MITM(中間者攻撃)の脆弱性持ちと出てるが。

>>88
プエルトリコに旅行だな

俺がここ2年でカード使って買い物したのは
アマゾン
ケンコーコム
iherb（アメリカのサプリ通販）
ヨドバシ

くらいのはずなんだがやばいのだろうか？

ちなみに 128bit SSL は、数年前にイスラエルで
たった3台のPCで破られてる（手法は公開されていない）

この手のニュースが出ると、攻撃と対処が同時に行われるのが通例で
狼狽してIT詐欺にはめ込まれることになる

自分のサイトの重要度に応じて対応するように

>>187
本当にやばかったらとっくに被害にあってるよ。

だから俺が株買うと下がり
手放すと騰がるんだな


絶対誰かに筒抜けだと思ってたよ

我々ユーザー側の対策はあるの？

>>185
ヨドバシ.comでカードで買い物してたらやばいの？

>>192
大丈夫かどうかなんて誰にも解らないから、
今後クレジットの使用履歴は必ず確認する、
しばらくして騒ぎが収まったらパスワードを変えるをやろう。

今、既に安全になっているという確信があるサイトは、今パスワードを変えても可。

午後に2chのサーバー一時おかしかったのってこの修正だっけ

>>194
OpenSSLの修正はもう終わってて、証明書の入れ替えが今日だったっぽい。
その前に2ch.net関連の何かにログインした人はパスワードを変更しておくのがお勧め。

クレカに関してはネット決済してるのiTunesだけなんであんまり心配してない。
林檎が下手を打ってるかどうか、確かめてはいないけどな。

ネットで大きな買い物しないし、アマゾンで本買うにしたってedyでやってるしな。

ネットとクレカを最大限に使いこなしてる奴は心配かもな。

>>1
金融機関は特に早くセキュリティを最新の状態にしてほしいな

担当者を殺せよ。

ふざけんな。業務サイトをオープンソースで作った奴は自殺しろ。

委託うけて設計したＳＩerも全員死ね。無責任クソどもが。

おまえらクレカ会社の人件費や損害賠償分の金払えないだろ。
なめんなよ。甘え杉だろクソが。

webの取引とかで
各証券会社とかは関係ないんだよな

まあ、あまり一般人は関係ないと思うぞ。
一般人が直接被害を受けるとしてもクレカの情報を盗まれて不正利用されるくらいだけど、
実際そのような被害は報告されていないし、不正利用に対してはクレカ会社が補填するからな。

ソフトウェアにこうしたバグは付き物だし、あまり大騒ぎするほどの問題でもないと思うよ。

この穴が二年間開きっぱなしでもそれを利用した被害はなかったと
正直、フィッシングサイトに引っかかる奴がたくさんいるのにわざわざ手間かけて足がつきやすい
盗聴やらせん罠w
ベランダの窓に鍵をかけてない家がたくさんあったら、ピッキングの練習をする泥棒はいなくなる。

>>198
オープンソースで作らなかったら誰かが損害賠償してくれんのけ？

>>200
金銭的被害なくとも、カード番号が変わる事で
いろいろ手続きし直さなければならず、かなり面倒
再発行中は、カード使えない
保障があるから別に構わないというレスは、馬鹿にしか見えない

>>202
これでカード番号変わったやつなんていないからｗ

公表されてからの対応が問題だな
誰でもが穴知ってるわけだから

>>198
オープンソースを信用したクレカ会社にも責任あるとは思わないか？
ていうか、オープンソースじゃなかったら
もっと長期間、穴空いたままだったかもしれない
有料のクローズドは穴空いてるなんて公表しないかもしれない

>>202
> 再発行中は、カード使えない
一枚しかクレカ持ってないのか
それは不便でしょうね（棒

paypalとか大丈夫なんだろか？

個人輸入とかやったりしてる連中で、あそこの世話になってる人けっこう居るだろ。

>>206
他人の心配するなら
その前に自分が使ってる、例えばプロバとか確認したほうがいいよ

>>6
＞　ここに「Heartbleed」の穴が何年も前（正確には2年前）からバックリ開いていた

自分で2年前からと言いながら何年間もですか？
2年間と言わない理由は？

>>203
毎月不正使用されてないかビクビクしながら暮らすことになるじゃん。
そういうのがスリリング〜とかで好きなのかな

>>205
そんな何枚も持って個人情報を方方にばら撒いて、紐付けさせて、嬉しいの？

実は二段構えで、こっちでパスワードの変更を促し
もう一つの明らかにされていない穴で、変更後のパスワードを
取得するトラップだったりな

>>209
カード再発行手続きの手間を心配して毎日ビクビクしていられるなんて、
よっぽど暇なんですねっ！

>>51
オープンソースだから穴埋めも迅速なんだけどな。
プロプラだといつまでも放置されるバグもあるわけで。
あと基本的にオープンソースは著作権は守られる。

>>211
まあ釣りだと思うけどｗ、
ビクビクして暮らすのは、ハッキングされた後もカード番号変えないお花畑のヒトたちですよｗ

弊社のサイトは全てＦ判定でしたｗｗｗ

マイクロソフト談

だから、とにかく、何しろXPは危ないんですよ(ｷﾘｯ)

まあ、IT技術者をドカタとかで奴隷扱いしてた報いかもな
高額報酬すら出さずに、ドヤ街連中みたいな扱いしてるからよ

>>209
万が一の時にはカードの保険があるんだよ。

>>209
2流カードだと再発行に時間がかかるがAMEXだと翌日には旅行先であっても手元に届けてくれる。

もちろん従来のカード番号もそのまま使える。
オープンソースを全く使わずにショッピングカートシステム構築とか無理。
それくらいよくだきてる。
ちょっと流用する程度でも2千万円くらい開発費がかかる。

オプソ厨によると目玉の数さえあれば云々の理論でこんなバグでるはずないのだが・・・

クレカの心配ばかりされてるけどパス漏れのが深刻なんじゃ

>>206
パス変更しなくても大丈夫みたい
http://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/

Ｇｏｏｇｌｅとかは、発表前にコソッと対応ｗ

>>198
オープンソースで業務サイトつくったらダメなら

Linuxサーバーもだめ、ApachのWebサーバーもだめ
Postgesqlやmysqlなどのデータベースもダメ

大変だなww

通販サイトも早くセキュリティ対応してほしい

今回の致命的なバグが2年前から、
XPのセキュリティーホールは10年前から未だにせっせと穴埋め。
今更心配するなってｗ

OpenSSLでSSL通信するソフトを利用していた場合は、
そのOpenSSLがheartbeatの脆弱性のあるバージョンだったら、

暗号化された通信の内容が誰にも気づかれない内に漏れてしまうな。

この脆弱性は暗号化の脆弱性じゃないから、いくつか手順を踏まないと
暗号化された通信が見られる状態にはならない。

不正なHeartbeatsパケットを送るとサーバーが適当なメモリ領域を
送り返してくる。

その中に暗号化の秘密鍵が含まれているかもしれないし、いないかもしれない。

何度も何度も繰り返してるうちに当たりを引いたら、その秘密鍵を使用して
暗号の復号ができるっていう脆弱性。

>>222
Googleが脆弱性を見つけたのだから当然だと思われ

>>196
「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全--米CNETが回答入手 - CNET Japan

japan.cnet.com/#story,35046433

今回のは問題ない

>>229
安全安全と言いながら、電話帳読み取りの権限も放置し続けたアップルさんに言われても

>>229
goto fail; なアップルさんに言われても

証明書再発行してインスコした
無料で良かった

>>188
SSL自体は暗号化アルゴリズムじゃないよ
それは128bitのどんなアルゴリズムかが問題になる

どうか、お願いです、なにとぞ、私の切実なる要望を、お聞き下さいませ。
アマゾン様。どうか、私の購入履歴を、一旦抹消仕りますよう、なにとぞ平にご容赦のほど。
よろしくお願い申し上げます。

>>231
Heartbleed.comに行ってみろよ。gotoよりもヤバイから

>>203
穴が見つかって数日じゃ、まだ不正使用されているかどうか
判断できんだろうに。請求が来て初めてわかる話なんだから。

Googleアカウントのパス変更って必要？

ざっと見たところ、必要と不要と分かれててはっきりしない。

GoogleもヤフーもFacebookもTwitterも変えておけとLastPassに言われたから変えた。
あとTumblurからもパス変えろってメール来て、Tumblurだけじゃなくて他のサイトも
変えておきなさいとか余計なお世話くらった

2段階認証してるなら大丈夫だろ
たぶん・・・

まあ、普通に電話回線を通してあるんだから、その経路の途中で送信データはインターセプトされているんだな。
どんなに衣を厚くしても払えば豚肉が出てくるのと同じだ。

>>235
> gotoよりもヤバイから
それはない（マジ顔で

>>241
いいから黙ってHeartbleed.comをGoogle翻訳にかけてみろ

>>242
自動翻訳の文章なんて頭が痛くなるだけだから普通に原文読むだろ
それと正直、Appleのgotoより酷いものがあるとは思えないなw

2chでクレカ漏れたのより少しヤバい

>>242
Heartbleedの穴が開いてるサイトは少数派な上にそんなサイトでも機密情報パスワードが
盗めるとは限らないが、Apple gotoで中間者攻撃すればどんなサイトでも確実に盗むことが可能になる。

せっかくなんでgoogle翻訳にかけてみたが、相変わらず意味不明な「訳」が
出てくるね。頭の中で一度原文に戻した上で解釈するという無駄な作業を
するくらいなら、普通に原文を読んだ方がまだ楽だ。
「ここの原文はきっとこうなんだろうから、こういうことが書いてあるんだろう」
という謎解きをやるのも、ネタとしては悪くないこともあるけどね。

Yahooにログインまだしないほうがええのんかいな。

>>245
OpenSSLが少数派とか冗談きつい

gotoはiOSは即アプデ、OS Xも数日後にアプデかつ中間者攻撃 ゼロデイ攻撃の報告も特にないんだが

Heartbleedは大半のLinuxなどは数日後でアプデしたもののAndroid4.1やHeratbeatを使ってるアプリはどうすんだ？
クライアントは中間者攻撃やフィッシングに気をつければいいがサーバーはユーザー側で対処しようがない。しかも日本のWebサービスは完全沈黙で対応状況も不明

脅威の度合いが違う

>>248
OpenSSLの特定バージョンな
ttp://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/

10分の1も無い様に見えるな
そしてHeartbleedを悪用した被害報告も特に無いんだが

一方、Apple gotoは半年ほど放置されてたが、携帯会社の中やプロバイダの中で中間者攻撃を
されていなかったとなぜ言えるんだ？

>>249
それを言ったらHeartbleedは2年放置だろうw

影響を受けた主なサービス

Google
Facebook
Yahoo.com
AWS

少数派とはとても言えないな

クレカはネットで使わない
当たり前だよ