<div dir="ltr"><div>Heartbleed extracted whatever happened to be in memory at the time. That can be passwords or hashes or anything else.<br><br></div><div>It is non-specific, but a determined attacker can potentially glean some info with persistence.<br>
<br></div><div>Also, because the attacker does not need to complete a connection that would be logged (e.g. HTTP, ...etc.), this makes the attacks untraceable with the usual logs (e.g. web server).<br><br></div><div>This is what makes it scary: potential information disclosure, and non traceablility.<br>
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Apr 12, 2014 at 4:29 AM, unsolicited <span dir="ltr"><<a href="mailto:unsolicited@swiz.ca" target="_blank">unsolicited@swiz.ca</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That's over simplistic.<br>
<br>
You can't extract a password that isn't there.<br>
<br>
*IF* it is even in the packet you get.<br>
<br>
*IF* it was being exploited at the time.<br>
<br>
*IF* you are of interest to them.<br>
<br>
*IF* they are interested in doing damage to that provider of services.<br>
<br>
Lot of IFs. Lot of FUD.<br>
<br>
What's being protected?<br>
<br>
Will you know?<br>
<br>
Will you care?<br>
<br>
Not saying now that exploit known they wouldn't run with it.<br>
<br>
But patching is simplistic.<br>
<br>
I take your point about SSL keys - IF it was in the data returned.<br>
<br>
But with properly isolated systems, it should only be the front end impacted. On the assumption that nobody inside your firewall is exploiting it.<br>
<br>
Lots of IFs all around.<br>
<br>
But I take your point.<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
On 14-04-11 05:44 PM, Bob Jonkman wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
If your router is accessible from the WAN port via http then you have<br>
more urgent problems than Heartbleed.<br>
<br>
If a site has both http and https then there's no (new) vulnerability<br>
with http, but a Heartbleed attack on https can still extract<br>
passwords and other info.<br>
<br>
To extract a password from an http session a bad guy needs to be a<br>
man-in-the-middle, or sniffing the network (remember Firesheep?). To<br>
extract a password with Heartbleed an attacker only has to initiate an<br>
https session.<br>
<br>
- --Bob.<br>
<br>
<br>
<br>
On 14-04-11 05:35 PM, Khalid Baheyeldin wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
But, wouldn't Heartbleed be an issue, only if you use SSL on the<br>
site? For example, if you have OpenWRT/Tomato/DD-WRT and logging<br>
via http (not https), then there is no exploit via OpenSSL?<br>
<br>
<br>
On Fri, Apr 11, 2014 at 3:26 PM, Bob Jonkman <<a href="mailto:bjonkman@sobac.com" target="_blank">bjonkman@sobac.com</a>><br>
wrote:<br>
<br>
If you're using a tool to check for Heartbleed vulnerabilities, be<br>
sure to check the Web interface on your router and/or modem as<br>
well.<br>
<br>
I'm not sure if router vendors are on top of this, but according<br>
to ssltest.py my Tomato/MLPPP Version 1.25-mp3alpha6 (from<br>
<a href="http://fixppp.org" target="_blank">http://fixppp.org</a> ) is not vulnerable, nor my Thomson Speedtouch<br>
modem with firmware 6.1.0.5<br>
<br>
Also, somebody asked me how safe these vulnerability checking<br>
tools are, especially the online and Javascript-based ones. What's<br>
to say they're not merely displaying "all is well", and actually<br>
compiling a list of vulnerable sites for later exploitation?<br>
<br>
--Bob.<br>
<br>
<br>
On 14-04-08 12:06 PM, Khalid Baheyeldin wrote:><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

You can use this python tool ssltest.py to check if your<br>
servers are vulnerable:<br>
<br>
$ wget -O ssltest.py "<a href="http://pastebin.com/raw.php?i=WmxzjkXJ" target="_blank">http://pastebin.com/raw.php?<u></u>i=WmxzjkXJ</a>"<br>
$ python ssltest.py <a href="http://example.com" target="_blank">example.com</a><br>
</blockquote></blockquote></blockquote>
<br>
<br>
On 14-04-11 10:51 AM, CrankyOldBugger wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Mashable has a list going of sites affected by Heartbleed:<br>
<br>
<a href="http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/" target="_blank">http://mashable.com/2014/04/<u></u>09/heartbleed-bug-websites-<u></u>affected/</a><br>
<br>
<br>
<br>
</blockquote></blockquote></blockquote></blockquote>
Don't forget to add Canada Revenue (and most other government<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
sites) to your list of passwords to change!<br>
</blockquote></blockquote></blockquote>
<br>
<br>
<br>
Bob Jonkman <<a href="mailto:bjonkman@sobac.com" target="_blank">bjonkman@sobac.com</a>>          Phone: <a href="tel:%2B1-519-669-0388" value="+15196690388" target="_blank">+1-519-669-0388</a><br>
SOBAC Microcomputer Services             <a href="http://sobac.com/sobac/" target="_blank">http://sobac.com/sobac/</a><br>
<a href="http://bob.jonkman.ca/blogs/" target="_blank">http://bob.jonkman.ca/blogs/</a>    <a href="http://sn.jonkman.ca/bobjonkman/" target="_blank">http://sn.jonkman.ca/<u></u>bobjonkman/</a><br>
Software   ---   Office & Business Automation   ---   Consulting<br>
GnuPG Fngrprnt:04F7 742B 8F54 C40A E115 26C2 B912 89B0 D2CC E5EA<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
______________________________<u></u>_________________ kwlug-disc<br>
mailing list <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
<br>
</blockquote>
<br>
<br>
<br>
<br>
<br>
______________________________<u></u>_________________ kwlug-disc mailing<br>
list <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
<br>
</blockquote>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.14 (GNU/Linux)<br>
Comment: Ensure confidentiality, authenticity, non-repudiability<br>
<br>
iEYEARECAAYFAlNIYh8ACgkQuRKJsN<u></u>LM5erCjgCfZAuLyG8v83bORUxPxTvs<u></u>14m+<br>
r8kAoInhKmR99uQBN2cIt+<u></u>2KY3xq4KMl<br>
=6dTX<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
______________________________<u></u>_________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
<br>
</blockquote>
<br>
<br>
______________________________<u></u>_________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>
Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>

</div>