Frank Pembleton Posted April 9, 2014 Posted April 9, 2014 Ali konkretne posledice su... Послато са WЦ шоље усинг БВК
renne Posted April 9, 2014 Posted April 9, 2014 Za trideset dana posle petnaest godina gasi se free dyndns nalog. Jbg, bilo je lepo dok je trajalo
Indy Posted April 9, 2014 Posted April 9, 2014 Hm, ovde moze sad da se registruje: http://www.noip.com/free/
Indy Posted April 10, 2014 Posted April 10, 2014 Ali konkretne posledice su... Послато са WЦ шоље усинг БВК Evo imas ovde, ne moze biti jasnije. http://www.theage.com.au/digital-life/consumer-security/how-to-avoid-heartbleed-heartache-20140410-zqswp.html?rand=1397102935877 A ovo je zanimljivo: How did it get introduced? The bug was introduced into OpenSSL about an hour before New Year's Eve in December 2011 by Robin Seggelmann. There is already a conspiracy theory going around about whether it was inserted maliciously. "The real question is whether or not someone deliberately inserted this bug into OpenSSL and has had two years of unfettered access to everything," Schneier said. "My guess is accident but I have no proof."
Roger Sanchez Posted April 12, 2014 Posted April 12, 2014 Danas se pokazalo da su se digitalni certifikati definitivno mogli krasti, pa su administratori interwebsa vjerojatno malo u kurcu.. Siroti programer bugotvorac se javio, njegov code reviewer nije. Nije on to namjerno, Indy, ne zaveravaj.
Indy Posted April 12, 2014 Posted April 12, 2014 Ako je ovo sa xkcd tacan opis situacije, onda bi trebalo da moze da se utvrdi da li je neko (i tacno ko) ekslpoatisao Heartbleeda?
Roger Sanchez Posted April 12, 2014 Posted April 12, 2014 Nemoguće je utvrditi što je server poslao nekome 2012. Sve se sad mora smatrati nesigurnim, a ako je naša mila NSA uspjela poskidati nešto privatnih ključeva u ovih par dana koliko se zna za bug, sad dok mi tu piskaramo, i sve dok ne budu izdani novi, sve tim ključevima scramblano što je na veeeelikim NSA diskovima sačuvano za unscrambling moć će se dekriptirati i čitat..
Indy Posted April 12, 2014 Posted April 12, 2014 Da, sad bas procitah Heartbleed exploits don't by default show up in server logs Kazu da ceo internet moze da znatno uspori i bude pun problema ako sad svi (na OpenSSL) krenu da menjaju privatne certifikate, sto inace treba da urade.
Aion Posted April 13, 2014 Posted April 13, 2014 Nemoguće je utvrditi što je server poslao nekome 2012. Sve se sad mora smatrati nesigurnim, a ako je naša mila NSA uspjela poskidati nešto privatnih ključeva u ovih par dana koliko se zna za bug, sad dok mi tu piskaramo, i sve dok ne budu izdani novi, sve tim ključevima scramblano što je na veeeelikim NSA diskovima sačuvano za unscrambling moć će se dekriptirati i čitat.. Ima i drugih misljenja - da su znali za ovo prakticno od pocetka: http://rt.com/usa/nsa-knew-heartbleed-hacking-years-004/
Roger Sanchez Posted April 13, 2014 Posted April 13, 2014 Gluposti, vidi se pogotovo s zagolicanim promoterima bulšita koje si odlučio linkat. Uručbirano Tapatalkićem s Lumije Jeftinjare
Aion Posted April 13, 2014 Posted April 13, 2014 Okacio sam prvi link koji sam dobio na google, zaboravio sam gde sam ovo procitao. Izvor je Bloomberg News. http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
Roger Sanchez Posted April 13, 2014 Posted April 13, 2014 Dosta je nedvosmisleno demantirano. U Snowden files se spominje da je SSL/TLS nečime kompromitiran, ali još od 2010. To očito nije isto, vjerojatno je još gore i nema veze s greškama u programiranju.
Aion Posted April 13, 2014 Posted April 13, 2014 Za ovo sad, nisam ni rekao da je tacno, u mom postu sotoji "ima i drugih misljenja". Licno sumnjam da je NSA koristila ovaj bug za prikupljanje podataka, oni za to jednostavno nemaju potrebe. Iz svega sto se danas zna jasno je da sve standardne nacine kripto zastite koji se koriste na Internetu mogu da razbiju metodom grube sile potpomgnutom njihovim slabljenjem bilo preko lobiranja u telima koje se bave standardizacijom protokola, bilo potplacivanjem firmi koje ih implementiraju (zna se 10M$ placenih RSA). Ono cime se mozemo da tesimo da NSA kapaciteti nisu takvi da to mogu da rade masovno, recimo za neki bitan procenat Internet saobracaja. Ciljani napadi ovde mene bas i ne zabrinjavaju. Sto se tice SSL-a, koliko se secam, zakljuceno je da je on kompromitovan premalom duzinom kljuca jes pre podosta godina, kada su na nekom univerzitetu uspeli da na osnovu javnog kljuca dodju do tajnog jednostavnim brute force napadom. Pri tome su koristili diy superkompjuter napravljen umrezavanjem par stotina sony ps (ne znam koja je generacija u pitanju). Opet po secanju pricam, mislim da im je za to trebalo oko jednog dana. Sa svim Cray-ovima i slicnim sistemima kojima raspolazu, sada NSA ovo moze da radi neuporedivo brze (ali ponavljam, vecina analiticara misli ne i masovno).
Venom Posted April 13, 2014 Posted April 13, 2014 Gluposti, vidi se pogotovo s zagolicanim promoterima bulšita koje si odlučio linkat. Uručbirano Tapatalkićem s Lumije Jeftinjare Kakvo je sadasnje stanje stvari, bilo kakva tvrdnja da je nesto 'glupost' je ili glupost, ili naivnost ili oboje. Ili prosto spin i promocija bullshita. Sorry. Moguce je da nije slucajnost, moguce je da jeste. To ne mozemo da znamo. Ono sto je sasvim sigurno je da imaju dovoljno sredstava da cesljaju kroz svaki moguci security related software ili protokol trazeci propuste, koje onda za razliku od akademskog sveta sigurno nece dokumentovati i objaviti.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now