April 9, 201410 yr Za trideset dana posle petnaest godina gasi se free dyndns nalog. Jbg, bilo je lepo dok je trajalo
April 10, 201410 yr Ali konkretne posledice su... Послато са WЦ шоље усинг БВК Evo imas ovde, ne moze biti jasnije. http://www.theage.com.au/digital-life/consumer-security/how-to-avoid-heartbleed-heartache-20140410-zqswp.html?rand=1397102935877 A ovo je zanimljivo: How did it get introduced? The bug was introduced into OpenSSL about an hour before New Year's Eve in December 2011 by Robin Seggelmann. There is already a conspiracy theory going around about whether it was inserted maliciously. "The real question is whether or not someone deliberately inserted this bug into OpenSSL and has had two years of unfettered access to everything," Schneier said. "My guess is accident but I have no proof."
April 12, 201410 yr Danas se pokazalo da su se digitalni certifikati definitivno mogli krasti, pa su administratori interwebsa vjerojatno malo u kurcu.. Siroti programer bugotvorac se javio, njegov code reviewer nije. Nije on to namjerno, Indy, ne zaveravaj.
April 12, 201410 yr Ako je ovo sa xkcd tacan opis situacije, onda bi trebalo da moze da se utvrdi da li je neko (i tacno ko) ekslpoatisao Heartbleeda?
April 12, 201410 yr Nemoguće je utvrditi što je server poslao nekome 2012. Sve se sad mora smatrati nesigurnim, a ako je naša mila NSA uspjela poskidati nešto privatnih ključeva u ovih par dana koliko se zna za bug, sad dok mi tu piskaramo, i sve dok ne budu izdani novi, sve tim ključevima scramblano što je na veeeelikim NSA diskovima sačuvano za unscrambling moć će se dekriptirati i čitat..
April 12, 201410 yr Da, sad bas procitah Heartbleed exploits don't by default show up in server logs Kazu da ceo internet moze da znatno uspori i bude pun problema ako sad svi (na OpenSSL) krenu da menjaju privatne certifikate, sto inace treba da urade.
April 13, 201410 yr Nemoguće je utvrditi što je server poslao nekome 2012. Sve se sad mora smatrati nesigurnim, a ako je naša mila NSA uspjela poskidati nešto privatnih ključeva u ovih par dana koliko se zna za bug, sad dok mi tu piskaramo, i sve dok ne budu izdani novi, sve tim ključevima scramblano što je na veeeelikim NSA diskovima sačuvano za unscrambling moć će se dekriptirati i čitat.. Ima i drugih misljenja - da su znali za ovo prakticno od pocetka: http://rt.com/usa/nsa-knew-heartbleed-hacking-years-004/
April 13, 201410 yr Gluposti, vidi se pogotovo s zagolicanim promoterima bulšita koje si odlučio linkat. Uručbirano Tapatalkićem s Lumije Jeftinjare
April 13, 201410 yr Okacio sam prvi link koji sam dobio na google, zaboravio sam gde sam ovo procitao. Izvor je Bloomberg News. http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
April 13, 201410 yr Dosta je nedvosmisleno demantirano. U Snowden files se spominje da je SSL/TLS nečime kompromitiran, ali još od 2010. To očito nije isto, vjerojatno je još gore i nema veze s greškama u programiranju.
April 13, 201410 yr Za ovo sad, nisam ni rekao da je tacno, u mom postu sotoji "ima i drugih misljenja". Licno sumnjam da je NSA koristila ovaj bug za prikupljanje podataka, oni za to jednostavno nemaju potrebe. Iz svega sto se danas zna jasno je da sve standardne nacine kripto zastite koji se koriste na Internetu mogu da razbiju metodom grube sile potpomgnutom njihovim slabljenjem bilo preko lobiranja u telima koje se bave standardizacijom protokola, bilo potplacivanjem firmi koje ih implementiraju (zna se 10M$ placenih RSA). Ono cime se mozemo da tesimo da NSA kapaciteti nisu takvi da to mogu da rade masovno, recimo za neki bitan procenat Internet saobracaja. Ciljani napadi ovde mene bas i ne zabrinjavaju. Sto se tice SSL-a, koliko se secam, zakljuceno je da je on kompromitovan premalom duzinom kljuca jes pre podosta godina, kada su na nekom univerzitetu uspeli da na osnovu javnog kljuca dodju do tajnog jednostavnim brute force napadom. Pri tome su koristili diy superkompjuter napravljen umrezavanjem par stotina sony ps (ne znam koja je generacija u pitanju). Opet po secanju pricam, mislim da im je za to trebalo oko jednog dana. Sa svim Cray-ovima i slicnim sistemima kojima raspolazu, sada NSA ovo moze da radi neuporedivo brze (ali ponavljam, vecina analiticara misli ne i masovno).
April 13, 201410 yr Gluposti, vidi se pogotovo s zagolicanim promoterima bulšita koje si odlučio linkat. Uručbirano Tapatalkićem s Lumije Jeftinjare Kakvo je sadasnje stanje stvari, bilo kakva tvrdnja da je nesto 'glupost' je ili glupost, ili naivnost ili oboje. Ili prosto spin i promocija bullshita. Sorry. Moguce je da nije slucajnost, moguce je da jeste. To ne mozemo da znamo. Ono sto je sasvim sigurno je da imaju dovoljno sredstava da cesljaju kroz svaki moguci security related software ili protokol trazeci propuste, koje onda za razliku od akademskog sveta sigurno nece dokumentovati i objaviti.
Create an account or sign in to comment