Wat is de situatie m.b.t. Heartbleed op C'n'R?

Ideeën en wensen voor verbeteringen of aanpassingen aan het Forum
Gebruikersavatar
Rasheed
Lid
Lid
Berichten: 4711
Lid geworden op: vr 29-07-2005 1:00
Locatie: Bergen op Zoom
Contacteer:

za 12-04-2014 7:58

Er is een gat gevonden in OpenSSL, waardoor je op sommige websites je wachtwoord moet resetten, zie Mashable voor een lijst van veel gebruikte websites.

Hoe staat het ermee voor met Chat'n'Run?

1. Is de server gevoelig voor de Hartbleed bug?

2. Zo ja, is het SSL/TLS certificaat vernieuwd met een nieuwe private key en is het oude certificaat verworpen (revoked)?

Alvast bedankt voor het antwoord.
Ik heet René. Dit is mijn website en mijn GC profiel.
Gebruikersavatar
waves
Benefactor
Benefactor
Berichten: 110
Lid geworden op: ma 17-08-2009 1:00
Locatie: Anhem

za 12-04-2014 9:28

Rasheed schreef:Er is een gat gevonden in OpenSSL,
==knip==
Hoe staat het ermee voor met Chat'n'Run?
Geld (in praktijk) voor https pagina's, chatnrun is niet benaderbaar via https:// , alleen via http://.
Dus geld niet voor c'n'r. (zou ik zeggen, geen 100% zekerhijd)

Overigens is het een bug in een vrij recente open-ssl versie, het zit niet in oude versies. Dat zal ook wel een rede zijn waarom ik niet verwacht dat c'n'r hier last van heeft ;)
Rasheed schreef:1. Is de server gevoelig voor de Hartbleed bug?
Opzich kan er op de server andere sites draaien die er wel gevoelig voor zijn, maar dit heeft waarschijnlijk geen gevolgen voor cnr.
De bug geeft veel impact op het internet, maar vooral waar het echt belangrijk is dat data vertrouwelijk wordt behandelt.
De bug kan bv gegevens lekken waardoor een https sessie kan worden bekeken als het wordt afgeluisterd, maar het afluisteren zelf moet wel gebeuren, en is voor de meeste niet erg gemakkelijk.
Rasheed schreef:Er is een gat gevonden in OpenSSL, waardoor je op sommige websites je wachtwoord moet resetten
Als je het zelfde wachtwoord wat je voor c'n'r gebruikt ook op andere sites gebruik, zou ik adviseren om dat te veranderen (maar helemaal los van de nu gevonden heartbleed bug). Gebruik voor zoveel mogelijk sites unieke wachtwoorden, maar bedenk dan wel hoe je die verschillende wachtwoorden veilig bewaart.

Iemand die kwaad wil, kan 1 wachtwoord verkrijgen op een site die zwak beveiligt is, en dat dan ook op andere plekken gebruiken.
Bv: iemand steelt een wachtwoord op voorbeeld.forum.nl, en gebruik de zelfde username/wachtwoord op facebook.com.
Dat iemand jouw account op voorbeeld.forum.nl heeft vind je misschien niet erg, maar als je het zelfde gebruikt op facebook.......(of paypal)
Gebruikersavatar
Rasheed
Lid
Lid
Berichten: 4711
Lid geworden op: vr 29-07-2005 1:00
Locatie: Bergen op Zoom
Contacteer:

za 12-04-2014 9:48

Duidelijk.

Zo te zien is het wachtwoord op C'n'R niet beveiligd en gaat onbeveiligd over het Internet. Dat betekent dat je dit forum niet wilt gebruiken op openbare wifi hotspots, omdat notoire medegebruikers van dat hotspot via tools als Firesheep je gebruikersnaam en wachtwoord en je sessie cookie kunnen overnemen.

Klopt dat?
Ik heet René. Dit is mijn website en mijn GC profiel.
Gebruikersavatar
MasterRunner
Lid
Lid
Berichten: 4920
Lid geworden op: di 23-11-2004 1:00

za 12-04-2014 10:27

Kwam hem een paar dagen geleden ook tegen en vanmorgen op teletekst: zie plaatje.
het hangt er af op welke server CNR draait. ik heb hier mijn webdav server die ook van apache/OpenSSL gebruik maakt lopen op Debian 6 en die heeft een versie van voordat het gat erin kwam:
https://www.digitalocean.com/community/ ... nerability
Debian 6 is nog een geldige LTS versie... en ik houd hem up to date. No need to change..
Dus idd checken wat je gebruikt, niet alleen CNR maar ook wat je zelf hebt lopen.

En... alles wat geen https is in de openbare ruimte... blijft uitkijken. Het gevaar van gekloonde hotspots blijft reëel... waardoor je mobiel, tablet of laptop automatisch aan logt en het wachtwoord afgevangen kan worden...
Het is gewoon heel simpel: vermijdt altijd iig bankieren en zo in die open ruimte. En bij veel applicaties kun je automatisch inloggen ook uitschakelen.... ok... dan moet je dus zelf voor de wifi kiezen en zelf inloggen.. maar das wel veel veiliger dan het risico lopen automatisch op een gekloonde wifi te komen. Als je op een wifi komt test dan eerst of het punt werkelijk van de KPN oid is. Als de gateway van een ander is.. dan weet je bijna 100% zeker dat het een kloon is.

Afbeelding
Gebruikersavatar
dano
Lid
Lid
Berichten: 1166
Lid geworden op: za 24-09-2011 1:00
Locatie: haarlem

za 12-04-2014 10:45

Va mij mogen ze al mijn totaal oninteressante reacties op dit forum bewaren hoor. Nutteloos verlies van opslagcapaciteit voor data en zonde van het geld
LFC for life
Gebruikersavatar
waves
Benefactor
Benefactor
Berichten: 110
Lid geworden op: ma 17-08-2009 1:00
Locatie: Anhem

za 12-04-2014 10:52

Rasheed schreef:Duidelijk.

Zo te zien is het wachtwoord op C'n'R niet beveiligd en gaat onbeveiligd over het Internet. Dat betekent dat je dit forum niet wilt gebruiken op openbare wifi hotspots, omdat notoire medegebruikers van dat hotspot via tools als Firesheep je gebruikersnaam en wachtwoord en je sessie cookie kunnen overnemen.

Klopt dat?
Klopt, het wachtwoord en username worden in plain text verstuurd.
Met wat meer werk is het overigens ook mogelijk via beveiligde draadloze netwerken dit af te luisteren, niet alleen onbeveiligde.

Je kunt c'n'r zonder extra riso's lezen op openbare netwerken, als je maar niet ingelogd bent.
Zelf lees ik alleen chat'n'run op openbare hotstpots enzo, maar post nooit (komt ook omdat ik mijn wachtoord niet uit mijn hooft weet ;).
Overigens is het wel zo dat als iemand mijn c'n'r acount heeft, er niet direct financiële winst mee te behalen (dus niet erg interessant), alleen erg vervelend als iemand onder jouw account berichten post.
Gebruikersavatar
MasterRunner
Lid
Lid
Berichten: 4920
Lid geworden op: di 23-11-2004 1:00

za 12-04-2014 11:59

Stuur anders meteen de beheerder een mailje dat je gehackt bent. Hij kan dan wrs het account iig uitzetten. Wachtwoord veranderen kan hij niet maar als de hacker het mail adres (nog) niet veranderd heeft kun je ook zelf kiezen voor "wachtwoord vergeten" en een nieuwe opvragen.... Dan heeft de hacker het nakijken... Doe dat niet op dezelfde hotspot waar je net gehackt bent... want dan luistert/kijkt de hacker mss nog mee...
Ik vrees de dat meeste hackers meer geïnteresseerd zijn in andere identiteitsdiefstallen waarmee ze geld kunnen jatten of andere zaken tot stand kunnen brengen (op jouw naam iets kopen en elders laten bezorgen oid).
Gebruikersavatar
Rasheed
Lid
Lid
Berichten: 4711
Lid geworden op: vr 29-07-2005 1:00
Locatie: Bergen op Zoom
Contacteer:

za 12-04-2014 14:44

@MasterRunner:
Zal wel zo zijn, maar veel aanvallen gebeuren automatisch. Laatst hadden we weer een spammer op het forum. Het account was ongetwijfeld door een script aangemaakt. Het script maakt het niks uit of hoe belangrijk of onbelangrijk een website is; het doet waartoe het geprogrammeerd is.

Ondertussen ben ik alweer druk bezig geweest om wachtwoorden te wijzigen op websites die ik regelmatig bezoek of belangrijk acht. Deze website kan ik gelukkig overslaan. Ik ben blij dat ik al jarenlang een programma gebruik om wachtwoorden aan te maken. Het gaat zoveel makkelijker dan het handmatig te moeten doen.

Verder vind ik de tip van waves belangrijk om niet in te loggen op C'n'R op een openbaar wifi hotspot, maar alleen te lezen.
Ik heet René. Dit is mijn website en mijn GC profiel.
Gebruikersavatar
MasterRunner
Lid
Lid
Berichten: 4920
Lid geworden op: di 23-11-2004 1:00

za 12-04-2014 16:01

Scripts voor nieuwe accounts zal altijd lastig blijven... het is een soort race...
Mijn verhaal ging over accounts van gebruikers hier, das nog vervelender.
Lezen en niet inloggen als je op een hot spot zit zal altijd veiliger zijn... prima tip voor wie het nog niet wist.
Ik kan de thuis pc ook nog benaderen via Teamviewer en via dit het net op gaan; die verbinding is compleet versleuteld.
Gebruikersavatar
LazyD
Benefactor
Benefactor
Berichten: 6990
Lid geworden op: za 22-10-2005 1:00
Locatie: vrij centraal
Contacteer:

za 12-04-2014 17:52

ik denk dat er behoorlijk wat lezers zijn die denken... huh, waar gaat dit over? ut zal wel!
[tot het misgaat]

(ik vrees dat ik tot deze categorie behoor... telebankier zelfs wel eens via free-wifi netwerken, terwijl ik onlangs een artikel las hoe fout dat kan zijn :oops: )
10361820382159406440852219646


Lefty rulez!

GasGeben!
Gebruikersavatar
dano
Lid
Lid
Berichten: 1166
Lid geworden op: za 24-09-2011 1:00
Locatie: haarlem

za 12-04-2014 18:12

ik maak nooit gebruik van free wifi netwerken. Helemaal niet beveiligd. Ik heb me ook niet opgegeven voor het gebruik van de UPC-wifispots. Maak er toch nooit gebruik van
LFC for life
Gebruikersavatar
boco
Mister Chat'n'Run 2005
Mister Chat'n'Run 2005
Berichten: 18841
Lid geworden op: di 11-11-2003 1:00
Contacteer:

za 12-04-2014 18:42

Iemand belangstelling voor mijn wachtwoord?
Je kunt 'm krijgen (maak ik meteen even een nieuwe)
8)

Alles wat met geld, betalen, bestellen en wachtwoorden te maken heeft moet je extra voorzichtig mee zijn natuurlijk. Mocht het op sites als Chat'n'Run misgaan dan kan dat even vervelend zijn; meer ook niet schat ik zo in.
't Giet oe goed, bi'j al wa'j doet!
If you've reached your goals, you haven't set them high enough.
Robisrunning
ChatnRunCircuit
ChatnRunCircuit
Berichten: 5151
Lid geworden op: ma 14-05-2007 1:00
Locatie: Westervoort
Contacteer:

zo 13-04-2014 2:01

Ik dacht dat dit een hardloopforum was?
Wat is er zo erg aan dat mijn account hier gehackt zou kunnen worden.
Vraag me af wie daar energie in gaat stoppen 8)
Laat de IT-specialisten en liefhebbers maar rechtstreeks met elkaar en eventueel met de beheerders communiceren over de technische ins&outs.
Houden wij het lekker bij meer of minder hardlopen in welke vorm dan ook.
Uiteraard kunnen de niet-geïnteresseerde lopers dit topic ook gewoon negeren.
The trail is the thing, not the end of the trail.
If you travel too fast you miss all you are travelling for.... ;-€

Weblog
Gebruikersavatar
Rasheed
Lid
Lid
Berichten: 4711
Lid geworden op: vr 29-07-2005 1:00
Locatie: Bergen op Zoom
Contacteer:

zo 13-04-2014 7:02

Robisrunning schreef:Laat de IT-specialisten en liefhebbers maar rechtstreeks met elkaar en eventueel met de beheerders communiceren over de technische ins&outs.
Houden wij het lekker bij meer of minder hardlopen in welke vorm dan ook.
Laat ik nu geen IT-specialist zijn, noch een liefhebber van IT. Ik vroeg dus niet naar de bekende weg, als je dat suggereerde.

Voor het geval je het niet wist, de Heartbleed bug is een serieuze aangelegenheid, die zelfs consumenten kan treffen, achter een router. Die router gebruikt namelijk ook dezelfde technologie om dataverkeer te versleutelen. Je kop in het zand steken is niet de juiste oplossing, denk ik.

Verder heb ik het onderwerp in het juiste deelforum gezet, forumwensen, waar het thuis hoort, denk ik. Mijn zorg was dat gegevens gestolen konden worden. Die zorg was terecht*, want als je berichten plaatst terwijl je verbonden bent met het Internet via een openbaar wifi hotspot, kan iedereen je wachtwoord achterhalen. Als dat gebeurt en er wordt ontamelijke taal gebezigt naar hardlopers op naam van een gebruiker die gehackt is, is het forum te klein voor de stormvloed van boze tegenreacties door mede-forumgebruikers.

Dus nee, dat je gehackt wordt kan wel degelijk schadelijk zijn voor dit forum.

Opm.:
* Maar terecht vanwege een heel andere reden dan ik aanvankelijk dacht.
Ik heet René. Dit is mijn website en mijn GC profiel.
Eide
Lid
Lid
Berichten: 910
Lid geworden op: zo 03-11-2013 1:00
Locatie: Arnhem
Contacteer:

ma 14-04-2014 9:44

In een tijd waar computers steeds belangrijker worden is een bug als Heartbleed natuurlijk een serieuze aangelegenheid. Tegelijkertijd is het geen doen om overal voor te waken. Dat is voor ons normale stervelingen onmogelijk. Daarom is het enige dat mogelijk is voor jij en ik een stukje risico management.

Dus stel jezelf de vraag: waar zouden internet criminelen bij mij in geïnteresseerd zijn. En dan kom ik even simpel gedacht op de volgende zaken.
- Betaalgegevens (online bankieren, creditcard, etc.)
- Identiteitsgegevens
- Capaciteit (botnets, malware, mail wachtwoorden, etc)

Verder ben je als normale sterveling niet zo'n belangrijk doelwit omdat je verder niet veel oplevert. Verander dus je wachtwoord als je aan internet bankieren doet, wees niet te kwistig met een identiteit online en zorg dat je goede anti-virus, anti-malware en een firewall op je computer hebt (dat mag best een paar euro kosten).

----

Gelukkig kunnen ze m'n schoenen niet hacken dus :lol:
Plaats reactie