【ネット】暗号化ソフト欠陥、ＮＳＡは２年前から認識−情報収集に利用

■暗号化ソフト欠陥、ＮＳＡは２年前から認識−情報収集に利用

　インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥
「ハートブリード（心臓出血）」について、米国家安全保障局（ＮＳＡ）は
少なくとも２年前から認識しておりながら放置し、情報収集のために
定期的に利用していたと事情に詳しい関係者２人が明らかにした。

　安全保障上の利益を優先してこれを隠ぺいしたＮＳＡの決定は、同機関の
役割をめぐる激しい議論を再び巻き起こしかねない。

　ハートブリードは世界のウェブサイトの３分の２で使われている個人情報を
暗号化する基本的な安全システムを脅かし、インターネット史上最大の脅威を
もたらすバグ（欠陥）とされている。このバグは５日前に見つかり、各社・機関は
修正プログラムを用意し、消費者にパスワードの設定変更を呼びかけた。
カナダ政府は所得税の電子申告システムを停止。シスコシステムズや
ジュニパー・ネットワークスを含むコンピューター関連各社はシステム補修に追われた。

ＮＳＡはこのハートブリードを利用して、パスワードなどの基本データを入手する
ことができた。こうした活動はＮＳＡの中心的任務である高度な情報ハッキングの礎を
成すものであるが、代償が伴った。数百万人もの一般のユーザーが外国の情報機関や
犯罪組織のサイバー攻撃を受けかねない状況が放置されていた。

http://www.bloomberg.co.jp/news/123-N3VTZQ6VDKIA01.html
http://ai.2ch.net/test/read.cgi/newsplus/1397098877/456　依頼

【新登場】２ちゃんねる快適ツール「在日」。在日とは・・

「在日」は日本で快適に生活するためのツールです。
●　税金納付回避
●　強制送還回避
●　ISP規制スルー
●　マスコミ報道がある場合それをスルー
●　これからも続々といろいろ快適になる予定

在日ホームページ
http://www.mindan.org/kr/

もちろん「在日」は多くの金で動きます。

対応専ブラ
2chA1Fox(スマホ) https://play.google.com/store/apps/details?id=com.momonga.a1
JaneXeno(PC) http://www3.ocn.ne.jp/~korwatch/janexeno.htm
Live2chで(PC) http://www8.plala.or.jp/uro/live2ch/
Respoolで使えます https://play.google.com/store/apps/details?id=com.ogsm.respool
べっかんこ(ガラケー) http://ula.cc/
びんたん(スマホ) http://2ch.bintan.me/

コリアで在日が買えます
http://www.mindan.org/08eoriniJ/photo.htm

ふーん、そーなんだ
こんなトコだめだったらサイトのっとりなんて楽勝やないけ？

ろくでもないなあ

知ったかってことで

犯罪やん

他にも腐るほどあるだろ

NASAにクレームいれてくる

まぁ、NSAだしな
個人的には許容するが、ほかがどのくらい知ってたかだよな

データ送信前にブラウザレベルで暗号化すればいいんじゃね？
と、適当に言ってみる

ああ朝鮮人に生まれなくてよかった

NSAにはすごい数学者・暗号学者がたくさんいるから十分ありえる話
すでにブレイクされてる暗号がほかにもあると言われてる

これNSAが悪いと分析するのは池沼。
一つのオープンソースコミュニティの力不足が露呈したってことジャン。
それはつまりオープンソースの思想の限界を示したってこと。

時代が変わるで。

単に発覚が増えてるだけでずっと同じ状態なんですよね

＞　インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥
＞「ハートブリード（心臓出血）」

ハートブリード（心臓出血）って、もうちょっと他の表現はないもんかね

最初のニュースがこのスレか

【技術】OpenSSLの重大バグが発覚=インターネットの大部分に影響
http://ai.2ch.net/test/read.cgi/newsplus/1396946788/

Nasaではないのか

知ってたっていうより、自ら仕込んだんだろ

他人が作ったツールを使う際の基本的なリスクだろwww
ウィンドウズでもマッキントッシュでも同じwww

>>15
heartbeat機能の脆弱性を突いたバグだから文字ってんじゃね

NSA 日本サーフィン連盟

NASAは氏ね

>>15
いやこの表現がふさわしいバグだよ。

旧版には無い欠陥だから、
こいつらが仕込んだんじゃ？

OpenSSLて知らないうちに使ってるもんなのか？

アメリカ人が銃を手放さない理由の一つがこれ。
新大陸へ渡ってきた人々は自らの所有権の保障と身の安全のために
仕方なくつくった人工国家がアメリカ合衆国。
個人の下に国家があるという考え。

まだまだあるのだろうな。一般に知られるまで知らないふりだろ。

自分らが仕込んだんじゃないの

>>25
大手サイトなどでも普通に使われている
いろんなサービスの利用者全般に関係する

でも、わざわざOpenSSL1.01系使ってたところなんてあんまり無いんじゃね？
Redhat(CentOS)だって、1.01系になったのは昨年出た6.5からだし。

>1
なに言ってるンすか
対象のPC盗み見やコントロールだって余裕っすよ
問題は組織が肥大化し過ぎて戦略を見失った戦術が横行して
国益失ってる事でやンすよ

アマゾンとか知ってたんじゃないのかな？

NSAよワテの裸をみよ！

>>26
こんな政府なら信用できんから自分の身は
自衛するって考えになるのが自然だわな

>>29
そうなのか。
通販サイトとか使ってるから心配になってきたわ。

>>1
やべえっ、俺も心臓から血が止まらないわ

NSAが、そんなことできていたとはおもえん
できてたかどうかも証明できんから言ったもの勝ち

（＾ω＾）

Nandemo Saguru Agency

ASAにクレームいれてくる

鯖缶してるんだけど、Webサービスやってなければとりあえず大丈夫？

RARの暗号は大丈夫なの？

>>25
例えばこれ

JaneViewで利用しているSSLライブラリ (OpenSSL)に脆弱性が発見されました。
JaneViewフォルダにOpenSSLライブラリ(libeay32.extおよびssleay32.ext)があり、
それらのファイル更新日時が2014/4/8よりも前の日付の場合、
JaneView140411以降の書庫に同梱のlibeay32.extおよびssleay32.extに置き換えてください

うちの会社もこれの対応でてんてこ舞いだったわ

スレが伸びず、米国のポチが擁護中ってことは、
日本ではなかったことにされんだろうな

　



Heart beatなんて機能を入れようと思ったやつを吊るせよ


商用非商用なんでもそうだが、特に必要なさそうなものをドヤ顔で入れ込もうとするやつが多すぎる。


　

既にパッチは配布されてるしオープンソースじゃないと永遠に放置だったかもね

どうせＮＳＡの関係者がオープンソースに入り込んで
脆弱性を潜ませたんだろ？

オープンソースはオープンという利点と同時にそれが弱点でもある。

>>2 >>3 >>4 >>5 >>6 >>7 >>8 >>9 >>10

３億円脱税事件の犯人の顔写真　（韓国料理屋で食事している所を撮られる）
http://gazou.gundari.info/images-2ch/b1a1bdc7.jpg

３億円脱税事件の顛末
http://saigaijyouhou.com/blog-entry-281.html

>>1
つまり、

×　欠陥
○　バックドア

ってことでつか？

>>13
そうか？でも内部告発がこうも続くって、組織としてかなりやばくね？もっとエグいこと隠している気がしてならんな。

これ開発にバグ教えたのスノーデンだったりな

>>1
５日前といえば、ドネツクでデモ隊が庁舎を占拠した翌日。

ブラフ

>>51
そっとしとけよ
オープンソースの限界どうこうは置いておいても、
悪い事をしてるヤツを悪いヤツと思う事がダメだとか言ってるバカは話にならん

>>1
インターネッツは恐いでつね

この欠陥だけを針小棒大に報道するのは、どんな意図があっての事なんだろう？

>>42
大丈夫な暗号なんて存在しない
時間稼ぎ

宇宙開発のなんに利用するんだよ

暗号が不安なら、暗号に暗号を重ねるといい

効率的に見つけるアルゴリズムがない暗号を用いて、
暗号したものに更に暗号を重ねる。

OpenSSLではランダム値の生成コマンドがあるので、そのランダム文字列をパスワードにすればいい。
完璧に覚えられないが。

OpenSSLというと脆弱性ガーとか思うかも知れないが
「Heartbeat」と「ローカルのランダム値生成」に関係があると思う素人は使わないでいい。

そもそもheartbeatが何なのか知らないだろ

アメリカは、NSAの清掃員やってた奴も関係者としてでてくる国。

NSAのWebサイトにアクセスしたことのある俺も関係者ですかね

iOSでなんか仕込んでたのとは違うの？

暗号のロジックではなく、アプリの実装に問題があり、
メモリに直接アクセスすると、読めてしまうということだな

大手は既に対応済みとのこと。ただし、多くの通販サイトなどで使用されており
全てが対応するには時間がかかる、と報道されてるね。
NSAはそういう機関だから、批判しても無駄だけど、アメリカ自体への信頼性も
揺らぐことになるからマイナス面が多いと思う。当のアメリカ人だって影響がある
から議会は騒ぐだろうねえ。
アメリカ議会は、NSAに対しても監督権がある。日本と違ってアメリカ議会は
交戦権まで持っているよ。

>>57
OpenSSL使用者数を減らしたいからだろ。

>>60
前半は同意だが、後半は極論だろ。
せめて1.0.1と.1.0.2を使ってるヤツは気を付けろと。

ちなみに、0.9.8を使い続けている俺に死角はなかった。

>>24
そう思われる罠

DMMでエロDVDをたくさん借りたことが
誰かにばれてるってことなんでしょうか　(;_;)

Torとかも漏れてたの？
暗号化じゃなくて匿名化にOpenSSLが使われてたか知らないが。

それより、もう大体対応しただろうから、2年前から数日前までに穴が空いてたサイトを公表してくれ。
その期間に漏れたのは仕方ないから、パスだけ変えとく。

>>10
暗号は単にかけるだけでなく正しい相手には解いてもらわえないと意味がない
暗号化を解除するためのキーはどうやってやりとりするつもりだね？

というか最終的には共通鍵でお互い暗号化し複合するがそのためのキーを
やりとりするためにSSLを使っているのだが

ああ。それで最近リクナビがYahooと切った訳か。

こりゃ、漏れてるな。

>>46
まーそこがオプソの欠点でもあり利点でもあるからな。
ソース管理者のガバナンスによるな。あとはどれだけの人間がチェックしてるか。

プロプライエタリならバグパッチで終わってたか、セキュリティ情報で小出しにして終わってた話。
新バージョンにアップデートしてね♪だけ。

GeoTrustからメール来たわ　アウトだわ orz

Torの何が影響を受けるかについて
android坂の orbotは現状はPC坂より危ないことは確定しており、修正版の1.0.1gテストビルドがあるが最新は逆に1.0.1fに戻ってしまっている。

　クライアント:
　　　Torブラウザのブラウザ部分はOpenSSLではなくlibnssを用いているため影響はないと思われる。
　　　しかしTorクライアントにおいては "このセッションでどこのサイトを訪れたか" というような情報は知られる可能性はある。
　　　もしTorブラウザバンドルを使っているなら新しいものがすぐにリリースする予定なのでアップデートされたい。
　　　Torクライアント使用者は、OpenSSLのバグ修正版をインストールしてTorを再起動してほしい。
　リレー及びブリッジ:
　　　Torリレーおよびブリッジは中期間オニオンキー(週に一度切り替えられるキー) と 長期間リレー身元証明キー が漏れる可能性がある。
　　　身元証明キーを手に入れることができた攻撃者は、あなたの居場所を示す情報を書き換えることができる (これは攻撃が容易になる危険はない)
　　　身元証明キーに加えてオニオンキーを得られた場合は、あなたのIPアドレスに向けた通信制御に割り込むことで
　　　あなたのリレー拠点そのものに成りすますことが可能となる (しかしながらTorの複数ホップ設計においては1つのリレー拠点だけを攻撃してもほとんど意味を持たない)
　　　とりあえずはどのような場合でもOpenSSLをアップデートすることが最良と言え、すべてのキー及びデータディレクトリ内の全てを破棄しTorを再起動して新たなキーを生成して欲しい。
　　　(もしあなたが複数同時リレーを行っているならMyFamily torrc行を編集する必要があるだろう)　　　
　hiddenサービス:
　　　Tor hiddenサービスは "ついこの前起きた大きなOpenSSLバグ"と同じく 長期間hiddenサービス身元証明キーがガードリレーに漏れやすいが
　　　これではhiddenサービスの位置を知ることはできない (追記: あなたがキーを展開する入口ガードを担っているならば知られてしまう)
　　　また、身元証明キーが知られるとhiddenサービスの成りすましが行われる可能性がある。
　　　取り得る対策はhiddenサービスアドレスを、どこか都合のいい場所へ移すことである。

そりゃ自分で仕込んだんだから知ってるわな(´･ω･`)

なるほど、筒抜けなのはこれを利用してたからだな。
ウィキリークとなんちゃらって奴はなぜゲロっとかないんだ！

恐怖！ 日本は今、◆心不全パンデミック◆ by 心不全学会 「東北大震災後に増加」

【訃報】６４　町田市の昭和薬科大学・増田和夫教授が心筋梗塞で急死
【訃報】６２　ジャンボ秀克さん急死＝路上で倒れ心停止―札幌
【訃報】４９　鳥越泰彦氏が就寝中に心臓が急に停止
【訃報】４９　南木顕生氏が急性大動脈解離で突然死　遺作「ニート・オブ・ザ・デッド」
【訃報】４４　御堂岡啓昭さん、お店で倒れているのを発見、突然死の疑いが強い模様
【訃報】４４　日大芸術学部の熊谷保宏教授が心不全
【訃報】３８　水樹奈々作品を手がけた作詞家の園田凌士さんが急性心筋梗塞
【訃報】３７　東進ハイスクールの吉野敬介講師の親戚が心筋梗塞
【訃報】２７　井伊準氏（東京交響楽団。）心臓疾患

これほど連日連夜、膨大な突然死（大半が心筋梗塞）が起きているのに、マスコミは一切報道しない
チェルノブイリ事故の夏、日本で「扇風機の心筋梗塞死」が大宣伝された
一晩中扇風機をかけて寝れば心筋梗塞起こすと警報
首都圏だけで数十名の若者が死んだ
だが、この年だけだった
https://twitter.com/tokai ama/status/454131629129072640

渡辺謙さんが急性骨随性白血病になって闘病生活に入ったのが1989年、
松田優作さんが膀胱がんで亡くなったのが1989年、
勝新太郎さんが急性心不全で亡くなったのが1992年…。
チェルノ事故と無関係とは言えないと思います。1988年から私もアトピーになりました。
https://twitter.com/TIMER_RAINBOW/status/454483718703308800

川島なお美も癌になり、つんくも癌、TMの宇都宮隆も膵臓腫瘍。。。
昨年から「骨髄性白血病」で闘病中だった小室哲哉さんの父親が病死した

べつに愛国者法使えば情報提出強制できるし
面倒なことしなくていいでしょNSAは

>>74
ありがとう。
とりあえず最新版のTorブラウザバンドルを、安全に真正なのを手に入れられるようにしてみる。
これだって米軍の技術の払い下げなんだから、アメリカに逆らうような真似は素人には難しいのだろうが。

2年？
もっと前からでしょ？

もう危ないからxpは
使わない

俺のOki Dokiポイントが盗まれちゃうのか

>>78
ヒントー国外

>>43
JaneView更新しといた
こんなところでも関わってくるんだね

チェック方法まとめ：

OpenSSL の 「Heartbleed」 脆弱性は 2年前から存在、
　　　　「最悪のケースを想定して対処を」 と専門家
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html

>>2
色々考えるんだなw

>>46
Heartbeats機能自体は　RFC6520 でTLS/DTLSのヘッダー拡張として
正式に定義された規格だから個人の思いつきで実装したわけではないんだけどな。

その実装にバグがあったと。

>>87
で、こんないらない規格を制定したやつらがバカだという話がこれ

http://cpplover.blogspot.jp/2014/04/theo-de-raadtietf.html

だからバグじゃなくて仕込まれた穴だったんだって、誰でも分かることだわ。
んで、
今回、バグが公開されたってことは、アメリカは別の穴を既に確保･利用しているってことだ。
これも馬鹿でも分かる事。

windowsがなぜあんなに特権乗っ取りばっかりのバグが続くのか、それも同じ理由だよｗ

>>46
テオ君乙

Googleのオンラインセキュリティブログ（googleonlinesecurity.blogspot.com）によると、
Android 4.1.1ジェリービーンは、ハートブリードセキュリティの脆弱性を持っている。

>>91
jailbreakしたいカスタム泥端末があるから期待してる

穴は、突破口でもある

素数の規則性もわかってんの?

具体的に heartbeat 利用してどんな状態が問題あって、どうやって漏れるのか、詳しく書いてあるものあったら教えてください

vrt-blog.snort.org/2014/04/heartbleed-memory-disclosure-upgrade.html

あーあ
救いようの無い馬鹿

なんだ？
もし公開したら悪用されるじゃないか、なんて腑抜けたことならアホまるだしだぞ？

ciscoが公開してるし、普通の技術者ならこれ読めばもちろん悪用もできるが、対処も一目瞭然だぞ？