[Driftstörning] Information about the Heartbleed vulnerability

Hasse S G Freij hazze at chalmers.se
Fre Apr 11 20:08:59 CEST 2014 

Hej / Hi (This letter in English below the Swedish text)

Detta brev skickar jag ut för att ge lite information om det nya hotet Heartbleed som upptäcktes i veckan. Det är ett betydligt längre brev än normalt men vi har fått många frågor om detta idag och jag vill ge lite information om hotet samt informera att vi på IT-service är medvetna om problemet och jobbar med hög prioritet för att möta detta hot.

Buggen finns i OpenSSLs kryptografiska bibliotek, vilket används av uppskattningsvis 2 tredjedelar av alla webservrar på internet och det har därför blivit väldigt uppmärksammat i media. Detta har har hänt:


-          Vi har sökt igenom hela Chalmersnätet efter datorer som har eller kan ha denna bug och vi uppdaterar alla system vi hittar.


-          Det verkar som om det inte är så många maskiner på Chalmers som är sårbara. Jobbigt men ingen katastrof.



-          Speciellt bör alla som är administratörer på servrar byta alla lösenord som används, naturligtvis efter att man först säkerställt att servern inte är sårbar.



-          Med stor sannolikhet kommer det att dyka upp bedrägliga email som uppmanar till att omedelbart byta lösenord med hänvisning till denna bug. DESSA ÄR FALSKA. Vi skickar inga email med länkar i. Vänligen ignorera dessa e-brev.



I korthet är problemet att man med en speciellt utformad begäran kan be en server att skicka en liten bit information men specifiera att svaret skall vara väldigt långt, vilket servern då svarar med den begärda informationen PLUS allt en stor bit av innehållet som råkar ligga i minnet på servern. Detta extra "skräp" kan innehålla mycket information av hemlig natur, exvis lösenord.

Vi har genomsökt hela vårt nätverk efter datorer som har detta problem och funnit några stycken (dock relativt få).  Vi kommer naturligtvis att fortsätta scanna efter detta för att fånga upp maskiner som varit avstängda under den första genomsökningen.
De funna maskinerna är antingen åtgärdade, åtgärd pågår eller maskinen är avstängd i väntan på åtgärd. De som är angivna som administratörer på de drabbade maskinerna är kontaktade.

En lista på de typer av system som är drabbade (dock inte en komplett lista!) finns
på  http://www.circl.lu/pub/tr-21/


Vi förväntar oss att de kommer snart (om det inte redan har börjat) falska email som hänvisar till buggen och uppmanar till att omedelbart byta lösenord via någon obskyr websida som pekas ut i brevet. ALLA SÅDANA UPPMANINGAR ÄR FALSKA!
Vi skickar ALDRIG ut brev med länkar i (undantaget brev via Driftstörning eller där du har kontaktat oss och begärt ett svar).
Det är visserligen redan väldigt vanligt med Phishing mail men i detta fallet är det troligt att det kommer att öka betydligt och att det är lättare att bli skrämd att reagera pga all uppståndelse kring Heartbleed.

För att göra det lättare för er som mottagare av information från IT-service så har vi tagit fram en föreskrift gällande hur våra email ser ut i de fall vi måste skicka ut brev allmänt.  Dessa skrivregler hittar man på
http://www.chalmers.se/insidan/SV/arbetsredskap/it/aktuellt-och-driftinfo/emailutskick-its

Gällande privata maskiner som anslutits till Chalmers nätverk via NOMAD eller Eduroam så har vi detekterat anslutna maskiner som är sårbara för denna bug, men ansvaret för att rätta till dessa maskiner faller på respektive ägare. Vi kan åtminstone uppmärksamma på att det förekommer på (privata) maskiner tillhörande elever och anställda.


//signature is found below the English text//



[IN ENGLISH]

This letter is intended to give some information about this new threat named "Heartbleed"

The Heartbleed bug causes a vulnerability in the OpenSSL cryptographic library, which is used by roughly two-thirds of all websites on the Internet, and we want to give some information on how this bug may have impacted us at Chalmers.

- We have scanned all computers at Chalmers for this vulnerability and are updating all affected system we've found.

- It seems that not that many of our computers and servers are affected

- Especially administrators on affected servers should change all passwords he/she use (after securing that the server are up to date).

- Expect to receive FALSE EMAILS that says you must change your password to protect yourself. THESE ARE FAKE! We do not send any emails with links in! Please just ignore these emails.


In short, by sending a specially formatted request to a server asking for a short piece of information, the attacker can trick the server to give a very long answer, filling out the extra space in the answer with whatever content that is stored in the servers memory at that moment

We've scanned our entire network for servers with this vulnerability. We will continue to scan for machines that may have been disconnected during our first scan.

A list of some of the system types affected can be found at http://www.circl.lu/pub/tr-21/

We did not find that many machines that had this bug and the administrators of all these have been informed and the systems are fixed or currently being fixed and in some cases just turned off until we can fix them.


Expect FALSE Emails (phishing) that will try to use the hype around this bug to trick people to share their passwords.
Of course there are already a lot of phishing letters going on but we expect that this Heartbleed incident will be used a lot since it have been so many talking about it.

To help you to figure out if an email "from it-services" are real or a fake we have regulated how mails from us will look like. See http://www.chalmers.se/insidan/SV/arbetsredskap/it/aktuellt-och-driftinfo/emailutskick-its (use the "This page in English" above text if needed).


We've detected some privately owned machines that are connected to Chalmers network via Eduroam and NOMAD that are vulnerability for this bug, but the responsibility to correct the problem are up to each owner. We can at least inform that we have
detected some machines with this problem that belongs (privately) to students and employees.


Med vänlig hälsning / Kind Regards

Chalmers ServiceDesk / Chalmers Datorincidentgrupp

//Hasse Freij

Tel: 031-772 6600 (031-772 6500 for students) Servicedesk
Tel. 031-772 8450 Chalmers Datorincidentgrupp (IRT)

-------------- next part --------------
En HTML-bilaga skiljdes ut...
URL: http://lists.chalmers.se/pipermail/driftstorning/attachments/20140411/7508d377/attachment.html

More information about the driftstorning mailing list