neprihlásený Utorok, 1. decembra 2020, dnes má meniny Edmund
NSA mala zneužívať OpenSSL roky, zmena hesla odporúčaná u 15 služieb

Americká tajná služba NSA mala podľa tvrdení agentúry Bloomberg poznať a zneužívať chybu Heartbleed v knižnici OpenSSL implementujúcej protokol SSL minimálne dva roky. Zároveň v piatok bolo prvýkrát úspešne demonštrované praktické získanie privátnych kľúčov k SSL certifikátu cez Heartbleed. Užívateľom je tak odporúčané v službách, ktoré používali zraniteľnú verziu, pristúpiť minimálne z preventívnych dôvodov k zmene hesla.

Značky: HeartbleedbezpečnosťOpenSSLútokyhackovanieNSA

DSL.sk, 12.4.2014


Americká tajná služba NSA mala poznať a zneužívať chybu Heartbleed v knižnici OpenSSL implementujúcej protokol SSL minimálne dva roky.

Tvrdí to agentúra Bloomberg na základe informácií dvoch ľudí oboznámených so situáciou, ktorých identitu nezverejnila.

NSA sa najskôr pre agentúru odmietla k informácii vyjadriť, následne NSA aj americká vláda v stanoviskách pre americké média popreli, že NSA alebo iné vládne agentúry o zraniteľnosti Heartbleed vedeli pred zverejnením informácií o tejto zraniteľnosti v utorok tento týždeň.

Zraniteľnosť Heartbleed

Protokol SSL je používaný na šifrovanie prenášaných dát po Internete a využíva sa napríklad aj pri prístupe k zabezpečeným HTTPS stránkam. OpenSSL je najvyužívanejšou implementáciou SSL.

Zraniteľnosť prítomná vo verziách OpenSSL od marca 2012 umožňuje útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie tzv. heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL. Útok, ktorý nezanecháva stopy v štandardných logoch, je možné opakovať a potenciálne tak získať podstatnú časť pamäte daného procesu.

Heartbeat rozšírenie umožňuje jednej strane SSL spojenia zaslať druhej strane požiadavku na okamžitú odpoveď, za účelom udržania spojenia respektíve overenia jeho funkčnosti. Odosielateľ posiela v požiadavke dáta ľubovoľnej veľkosti do maximálne 64 KB, pričom druhá strana má ako odpoveď zaslať tieto dáta naspäť.

Chyba v OpenSSL spočíva v absencii kontroly odosielateľom uvádzanej veľkosti zaslaných dát a skutočnej veľkosti zaslaných dát. Keď tak útočník poslal v skutočnosti iba jeden bajt ale v hlavičke uviedol zaslanie 64 KB, zraniteľná verzia nakopírovala do odpovedacieho paketu 64 KB dát z pamäte susediacej s umiestnením spracovávanej správy s požiadavkou.

Chybu v predchádzajúcich týždňoch objavili nezávisle na sebe Neel Mehta z Google a fínska bezpečnostná spoločnosť Codenomicon.

Autor a pôvod Heartbleed

Chybu do kódu OpenSSL zaniesol nemecký programátor Robin Seggelmann pri rozšírení OpenSSL o implementáciu úplne novej funkčnosti, rozšírenia SSL protokolu Heartbeat. Toto rozšírenie, popísané v RFC 6520, sám navrhol.

Chyba sa vo vývojových verziách objavila na konci roku 2011, v stabilnej verzii sa prvýkrát objavila v marci 2012 vo verzii 1.0.1. Prítomná bola až do verzie 1.0.1f a opravená bola vo verzii 1.0.1g vydanej v noci z pondelka na utorok.

Ak NSA skutočne poznala a zneužívala chybu viac ako dva roky, musela mať o nej vedomosť už krátko po jej pridaní do OpenSSL. Keďže NSA evidentne chyby takéhoto typu aktívne hľadá, nie je vylúčený ani scenár že chybu NSA skrátka nezávisle identifikovala pri preverovaní novej pridanej funkčnosti do OpenSSL.

Podľa svojho tvrdenia Seggelmann chybu nevložil úmyselne a išlo skrátka o chybu, ktorú si nevšimol ani Stephen Henson preverujúci nový kód.

Zneužívanie Heartbleed

V prípade najčastejšieho použitia SSL na Internete, webového servera poskytujúceho zabezpečené stránky, je cez zneužitie chyby potenciálne možné získať jednak privátne kľúče k SSL X509 certifikátu stránok ale napríklad aj prihlasovacie údaje minimálne ostatných užívateľov aktuálne sa prihlasujúcich na stránky a obsah stránok zobrazovaných týmto užívateľom.

Úspešné zneužitie chyby na získanie prihlasovacích údajov užívateľov prihlasujúcich sa k stránkam v čase útoku bolo úspešne demonštrované už v prvý deň po zverejnení informácií o chybe.

Získanie privátneho kľúča k SSL certifikátu je technicky náročnejšie, keď webové servery ho typicky načítavajú do pamäti len raz pri štarte a ďalšie dátové štruktúry bežne nevytvárajú v jeho blízkosti. V piatok bolo ale úspešne demonštrované získanie aj privátneho kľúča zo serveru nginx na Ubuntu.

Útočníci tak mohli chybu zneužívať na priame kradnutie dát užívateľov aktuálne sa prihlasujúcich a prihlásených k webovým stránkam ale mohli tiež získavať privátne kľúče a dešifrovať dátovú prevádzku k zabezpečeným stránkam, ktorú mohla NSA poľahky zachytávať na mnohých miestach.

Aktuálne informácie o znalosti chyby dlho pred jej objavením bezpečnostnými expertami v predchádzajúcich týždňoch podporujú aj informácie o zachytení útokov minimálne v novembri minulého roka.

Ak by NSA skutočne poznala chybu po celú dobu jej existencie, išlo by o trestuhodné ohrozenie bezpečnosti Internetu. Dá sa tak predpokladať, že znalosť tejto chyby by mala najvyššie možné utajenie.

Zoznam zraniteľných služieb

V súčasnosti po potvrdení možného praktického zneužitia zraniteľnosti aj na získanie privátnych kľúčov a informácii o údajnom viacročnom zneužívaní zraniteľnosti je odporúčané u služieb, ktoré používali zraniteľnú verziu, pristúpiť minimálne preventívne k zmene hesiel.

Používanie zraniteľnej verzie potvrdilo v uplynulých dňoch viacero najväčších internetových služieb, rozličné služby Google vrátane Gmail a YouTube, Facebook, Dropbox, GitHub, Amazon Web Services, Yahoo, Flickr, Instagram, Pinterest, Tumblr, Minecraft, Netflix, GoDaddy, LastPass.

Časť z týchto služieb bola upozornená na chybu dni pred jej zverejnením a nasadila opravenú verzie knižnice predtým ako sa začala zneužívať po zverejnení informácií o chybe. Po zverejnení informácií bola zraniteľnosť prítomná minimálne na službách Yahoo vrátane Flickr a Tumblr, Dropbox, Amazon Web Services, Minecraft, GitHub.

Väčšina z vymenovaných služieb buď odporúča zmeniť heslá alebo minimálne naznačuje vhodnosť zmeny hesla, výnimku tvoria Google a LastPass informujúce o nepotrebnosti zmeny hesla v ich službách. U LastPass sa hlavné heslo užívateľa nezasiela na server a jeho dáta sa aj pri prenose cez SSL šifrujú ďalším šifrovaním, zmena hesla tak podľa služby nie je potrebná.

Google v stanoviskách pre médiá uvádzal, že zmena hesla nie je potrebná. Spoločnosť to zdôvodňovala ale len skutočnosťou, že chybu opravila pred jej zverejnením, zmena hesla je tak odporúčaná podľa dostupných informácií rovnako ako u viacerých ostatných vymenovaných služieb.


      Zdieľaj na Twitteri


Zmenili ste si už alebo zmeníte si heslá v uvedených službách? (hlasov: 453)

Zmenil som si      13%
Zmením si      20%
Nie      67%


Najnovšie články:

Bitcoin dosiahol rekordnú cenu
Raspberry Pi má oficiálny aktívny chladič
Čínska sonda na orbite Mesiaca sa rozdelila, ide pristávať
Rusi začínajú vyvíjať 32-jadrový procesor
365.bank má problémy s aktualizáciou, užívateľom znovu stiahla platby z 2019 - aktualizácia 3
Prvý väčší let SpaceX Starship budúci týždeň
HAMR má umožniť aj lacnejšie menšie disky
Prvá väčšia vzorka z asteroidu sa blíži k Zemi, pristane budúci týždeň
TSMC postavila továreň na 3-nm čipy
Najnovšia verzia Windows 10 má po mesiaci podiel 9%


Diskusia:
                               
 

v skratke: http://xkcd.com/1354/
Odpovedať Známka: 7.9 Hodnotiť:
 

neverim tomu ze aj po vsetkych tych opravach je nejaky ssl bezpecny... NSA to nedovoli
Odpovedať Známka: 6.5 Hodnotiť:
 

sa zobud chlapce. NSA do tych sluzieb ma tak ci tak pristup aj bez nejakej diery v SSL.
Odpovedať Známka: 9.2 Hodnotiť:
 

NSA má prístup najmä do všetkých Microsoft Windows:
http://MarketOracle.co.uk/Article40836.html
NSA Built Back Door In All Microsoft Windows Software Since 1999

Odpovedať Známka: 7.1 Hodnotiť:
 

tu

http://dopice.sk/99d
Odpovedať Známka: 3.3 Hodnotiť:
 

http://dopice.sk/99e
Odpovedať Známka: -5.0 Hodnotiť:
 

Doteraz som k heslám pristupoval trocha nezodpovedne. Bral som to tak, že veď idem cez zabezpečené spojenie.
Ale po tomto fiasku som si urobil poriadok v KeePassX databáze, pomenil heslá kde sa dalo a čestné pionierske, budem ich pravidelne generovať, meniť a zálohovať.
Odpovedať Známka: 0.2 Hodnotiť:
 

lebo kazdy je na ne strasne zvedavy..
Odpovedať Známka: -3.3 Hodnotiť:
 

Keby nebol nikto zvedavy, tak by sme ziadne hesla nepotrebovali.
Odpovedať Známka: 8.6 Hodnotiť:
 

to je fakt. ale ked si zmenis heslo, tak nezistis, ci bol niekto zvedavy
Odpovedať Známka: 9.4 Hodnotiť:
 

Měli jsme možnost se zblízka seznámit s jedním případem zneužití ukradených přístupových údajů k e-mailové schránce služby Gmail.com
http://blog.nic.cz/2014/04/10/ nasledky-kradeze-hesla-pripadova-studie/

(treba odstrániť medzeru pred nasledky)
Odpovedať Známka: 10.0 Hodnotiť:
 

osobne mi to tak trosku ani nevadi. chodim po firmach, ale aj ludoch a mnohi nie-IT "odbornici" to neberu vazne. o servisovani notebooku s firemnymi udajmi za 20e u opravara mobilov, firemny hosting s lacnou web strankou a email uctami v "starostlivosti" dizajnera joomla, vobec bez s.r.o. ci ZL, naopak, niekto drzi firemnu komunikaciu v gmaile, a to nehovorim o 1-clovekovych firmach s rocnym obratom 20k eur ! takze preventivne je takyto utok obcas aj prospesny.
Odpovedať Známka: 7.5 Hodnotiť:
 

naco si doma zamykas vchodove dvere?
Odpovedať Známka: 6.9 Hodnotiť:
 

ja si nezamykam , mame gulu
Odpovedať Známka: -2.0 Hodnotiť:
 

gulu mate hej? v hlave niekde - a dutu najskor, ze...
Odpovedať Známka: 2.3 Hodnotiť:
 

my máme plachtu
Odpovedať Známka: 8.2 Hodnotiť:
 

Jo, dvere som vypojil z pantov hned po nastahovani.
Odpovedať Známka: 7.9 Hodnotiť:
 

lebo kazdy je na ne strasne zvedavy..
Odpovedať Hodnotiť:
 

Môžeš meniť heslá každý deň aj tak je to k ničomu keď je závažná chyba na serveroch poskytovateľa služieb.
Odpovedať Známka: 8.7 Hodnotiť:
 

To je pravda, ale minimalizuje to riziko, ak ide o verejne neoznámenú chybu, ktorá sa vyskytuje len v niektorých verziách (napríklad: 0.1 nie, 0.2 áno, 0.3 nie) a zároveň to rieši laxný prístup niektorých adminov (pred dvoma dňami tu bol článok o tom, že heartbleed sa nedotkol ani jednej zo Slovenských bánk a to ani tých, ktoré používajú OpenSSL)
Odpovedať Známka: 8.3 Hodnotiť:
 

tiez som sa chcel k tomuto donutit, mam problem chcem nieco ako lastpass ale nie na cudzich serveroch. planujem keepassx db synchronizovat cez owncloud ale firefox nightly s rozsirenim pada ako zhnita hruska a pre chromium som nejako nenasiel rozsirenie pre keepassx len pre keepass 2(mono bordel). any suggestions?
Odpovedať Známka: 5.0 Hodnotiť:
 

este dodam, ze momentalne som ako-tak spokojny s kwallet. integracia s firefoxom je ok a integracia s chromiom/chrome je tiez zvladnuta. hloda mi ale v hlave ze v oboch browseroch vidim hesla. ani jeden z nich nepristupuje ku kwalletu ked ich pozaduje. podozrievam zle nastavenia kwalletu(moja chyba asi sa s tym treba vyhrat). ale som vdacny za to, ze mozem vyuzivat takyto krasny softver akym kwallet je :)
KDE/Qt FTW!
Odpovedať Známka: 3.3 Hodnotiť:
 

vsak generuj hesla v pamati mozgovej svojej casti hlavovej. naco k tomu externa sluzba
Odpovedať Známka: 6.5 Hodnotiť:
 

Blbcek je uz velkac, on radsej pouzije softver o ktorom nevie ako funguje. Mysliet to nie je prenho a tu nesymetriu voci predatorom tam vonku zanho vyvazi stat.
Odpovedať Známka: -2.5 Hodnotiť:
 

ono sa dost blbo pamataju desiatky hesiel ktore su dlhsie ako 8 pismen a v kazdom z nich pouzivam aspon 2 cisla a 2specialne zmanky a zaroven sa ubranit pohnutkam vytvorit si v tvorbe hesiel system na ktory moze pripadny utocnik prist ak pozna 2-3hesla.
Odpovedať Známka: 5.0 Hodnotiť:
 

Jednoduchy navod na jednoduchsie pamatanie, ale najkomplikovanejsie zabezpecenie. Na zaciatok, to moze vyzerat komplikovane, ale vystacis si bez 3rd party aplikacii.

1. Zvolis si vlastnu neslovnikovu predponu (prefix): napr. joZk0
2. Zvolis si vlastnu neslovnikovu priponu (postfix): napr. _jeG3no
3. Vytvoris si pravidlo pre hlavnu domenu: napr. maximalne 6 znakov domeny medzi prefixom a postfixom, a pred prefix pridam cislo vyjadrujuce pocet pismen mnou zadanej domeny

heslo: 3jozk0dsl_jeG3no
heslo: 4jozk0diit_jeG3no
...
Samozrejme mnou zverejneny priklad uz nie je bezpecny :-)
Ale kazdy si moze pouzit oblubene slova, modifikacie, pravidla. Na zaklade toho si ale vie len sam vytvorit vytvorit takmer neobmedzene mnozstvo hesiel. A samozrejme sa musi rozhodovat podla dolezitosti danej stranky.

Odpovedať Známka: 7.5 Hodnotiť:
 

alebo si hod par nahodnych slov a nejake cislo - je to dostatocne dlhe na to, aby sa to nedalo jednoducho cracknut a lahko pamata.
Odpovedať Známka: 0.0 Hodnotiť:
 

rainbo tabulky ti asi nic nehovoria
Odpovedať Známka: -3.3 Hodnotiť:
 

a?
schvalne...
v hesle mas 5 nahodnych slov, ktore mozu obsahovat velke pismena.
priklad: PrcajuciPrcaliciPrcaliPrcalienkuPracherom
v hesle mas cislo o neznamej velkosti.
priklad: niekde v strede alebo na konci je 65536

uloha - aka velka musi byt tabulka, aby si mal 100% istotu, ze dane heslo zachyti?
uloha 2 - aky velky musis mat vypoctovy vykon, ak ho chces uspesne cracknut?
Odpovedať Známka: 7.5 Hodnotiť:
 

Ale takéto ideálne to istotne nikdy nebude....
Odpovedať Hodnotiť:
 

preco nie? potrebujes nieco, co si dokazes lahko zapamatat a je dostatocne zlozite na to, aby sa to pocitacu minimalne raz taku dlhu dobu, po akej ho zase zmenis, hadalo.

a preto je lepsie pouzit dlhsie heslo zlozene zo slov ako napr. kratsie zlozene len z ich zaciatocnych pismen - pr: ppppp65536 :)
alebo mozes pouzit rymovacku: "JoskoNasMaVelkeUsi;KokotkoviToNeslusi." - ak tu pouzijes diakritiku, tak ti an to heslo do konca zivota nikto nepride.
Odpovedať Známka: 5.0 Hodnotiť:
 

Bohuzial tvoje riesenie ma sice silne zabezpecenie, ale ak ho pouzivas na vsetkych "tvojich dolezitych" strankach, tak z dlhodobeho hladiska tvoje zabezpecenie vyrazne klesa.

Staci jedna podvrhnuta autorizacia, odchytavanie klaves, odcudzeny certifikat so zabezpecenim a uz mas dieru hned na velkom mnozstve tebou vyuzivanych stranok.

A pri tomto NSA sledovani, stupidnych zakonoch o uchovavani informacii (kde nevidis, co vsetko sa uchovava) je to stale primitivny sposob zabezpecenia (aj ked silne proti uhadnutiu).
Odpovedať Známka: 10.0 Hodnotiť:
 

pozri, ked niekto chce tvoje heslo, tak si ho bez problemov zisti, nech je akekolvek dobre. ale dobre heslo odrati spekulantov, co nemaju nic insie na praci, len hackovat fb ucty a hladat fotky fune tvojej priatelky.
pr.: na pokec.sk par rokov dozadu fungovalo naraz 7 loggerov, ktore posielali data o uctoch. tam ti ani svatena voda nepomoze. tam ti staci aj heslo "heslo".

ale napr. do pracovnej vpn - tam ti taketo heslo dost pomoze.

ale suhlas, je dobre mat rozne hesla na rozne stranky.
a na druhu stranu, na ine veci, na ktorych ti nezalezi, mozes mat kludne aj heslo "heslo"

Odpovedať Hodnotiť:
 

a presne takemuto sposobu generovania hesiel som sa chcel oblukom vyhnut. lebo heslo pri ktoreho tvorbe je pouzity vzorec nie je heslo :) ak by som ho ale pouzival pocet pravidiel pri vytvaranie musi byt dostatocne velky a zaroven nemozem mat so zapamatanim pravidiel a ich poradia ja. :D
Odpovedať Známka: 10.0 Hodnotiť:
 

a zaroven nemozem mat so zapamatanim pravidiel a ich poradia (problem) ja.
Odpovedať Hodnotiť:
 

ak uz zabudnes heslo kvoli jeho zlozitosti, tak si myslim, ze je uz dost zlozite :)
Odpovedať Známka: 10.0 Hodnotiť:
 

co je kravina - vacsina "zlozitych" hesiel je zlozita iba pre uzivatela - pocitace s tym robia kratky proces.

to sa ti skor oplati napisat ako heslo prvych par veci, ktore mas po pravej ruke.
ked si zvazis, ze len prakticky anglicky slovnik ma cca 30k slov, v spisovnej anglictine by ti 5 slov dalo 250 x 10^25 moznosti.
daj tam zo par velkych pismen, nejake cislo pomedzi a hned si zahojeny - lebo heslo so zlozitostou s cca 30-timi nulami sa nikomu neoplati hladat :D

PS: a si predstav, ze pouzivas aj slovenske vyrazy a/alebo foneticky prepis anglickych slov. napr. 14AprilaHraVRadiuExpressDencinkInDMunlajt a pocitac si moze pri 3.13x10^73 moznostiach rovno hodit slucku.
Odpovedať Známka: 6.0 Hodnotiť:
 

Ak take heslo pouzijes jednoznacne len na jedinej stranke, tak beriem, ze je ultra bezpecne resp. ak si pre skupinu ludi zaujimava osoba, tak je bezpecne asi par tyzdnov. Staci, ze ti niekto podvrhne keylog a aby nemusel nenormalne dlho cakat, tak ti navodi situaciu, aby si sa isiel prihlasit a nieco skontrolovat.

Bohuzial na cim viac stranok/portalov ho pouzijes, tym jeho bezpecnost klesa a este ti dokazu skompromitovat rovno vsetky ucty/loginy.
Odpovedať Hodnotiť:
 

ano, preto sa odporuca mavat rozne hesla /podla dolezitosti - napr. na spammail mam heslo 'pustmadnu' uz desat rokov - beztak mi tam chodia len registracie na stranky/fora, kde idem raz/dvakrat do roka - takze nic dolezite by som nestratil./.

tak isto je dolezite ich periodicky obmienat - napr. raz za 3 mesiace.

a preto tvrdim, ze heslo musi byt jednoduche na zapamatanie, ale prilis zlozite na to, aby sa dalo bez tvojho vlastneho pricinenia ziskat /aspon na dobu, dokial ho nezmenis/...

co je priklad toho hore :D
Odpovedať Hodnotiť:
 

Kebyže tu chybu zneužívam ja, sedím v base nie len ja ale cely môj rodokmeň. Keď to zneužíva nejaká americká agentúra, všetko je v najlepšom poriadku.
Odpovedať Známka: 9.3 Hodnotiť:
 

je to tzv. demokratické zneuživanie moci....
Odpovedať Známka: 8.5 Hodnotiť:
 

jj, a je v rade hneď za humanitárnym bombardovaním a preventívnymi vyvraždovaním civilistov v boji proti terorizmu...
kurva, kam sme to až dotiahli...
Odpovedať Známka: 8.0 Hodnotiť:
 

hej, niečo ako Ficova "pozitívna strata suverenity" v prospech EÚ.
Odpovedať Známka: 3.7 Hodnotiť:
 

Excelentny suhrn, DSL, ako vzdy :)
Odpovedať Známka: 9.0 Hodnotiť:
 

načo si hesla menit aj tak na pozadi vzdy vsetko monitorovali a monitoruju a neprestanu zbytočne to menit ked nieco chdu dostanu sa ktomu tak či tak
Odpovedať Známka: 2.3 Hodnotiť:
 

zaujímavé a AOL nič?
ak nič tak to som rád :)
ak hej tak nevadí :D
Odpovedať Známka: 5.0 Hodnotiť:
 

AOL zda sa ze nic, pouzivali starsiu verziu OpenSSL - http://is.gd/p6jiFR
Odpovedať Hodnotiť:
 

nechce sa mi verit, ze ti super ludia co pracuju v oblasti IT, by zneuzili data uzivetalov ! ved odkedy citam lokalne diskusie tak viem,ze su to najcestnejsi, najinteligentnejsi a najlepsi ludia pod slnkom!
Odpovedať Známka: 9.2 Hodnotiť:
 

to bolo mozno tak pred 13 rokmi, vtedy ked si sa na irc kanali nieco opytal, radi ti pomohli
Odpovedať Známka: 10.0 Hodnotiť:
 

nech sa kukaju kokoti. Ked budu chciet, pozru sa mi do posty aj tak... curaci... naco menit heslo....
Odpovedať Známka: 7.3 Hodnotiť:
 

ale az niekto posle love AlKaide z Tvojho BUC, tak budes odpovedat demokratickym vysetrovatelom na Guantaname.

A pritom je to mozno len sikovny ITak, kt. si pretiahol frajerku.


Odpovedať Známka: -3.3 Hodnotiť:
 

Truhlicek moj. Moje heslo vie cele slovensko... nbusr123.
A ako vies ze ja nepicham tu tvoju :D
Odpovedať Hodnotiť:
 

Ak mam zapnutu dvojfaktorovu autorizaciu tak im je heslo asi nanic, nie?
Museli by odpocuvat aj moje SMS, co mozno robi operator, ale bezny hacker sa k tomu nedostane. Pokial teda nemam smartphone s nainstalovanou spravnou aplikaciou...

Odpovedať Známka: 3.3 Hodnotiť:
 

Debilne a hrubo napísané, aj 10 faktorová [sms, captcha, mail, zavolanie Ti a overenie biometrie hlasu, heslo, čítačka, etc.] autentifikácia sa dá obísť. Krásne sa to dá vidieť na hackovaní blizzarďáckych accountov, kde môžeš mať aj ten ich prístroj, aj autentifikáciu mailom [vygenerovaný kód], kontrolnou otázkou a heslom a stále to nie je problém hacknúť.

Nezabudni na to že pokiaľ vieš obísť zabezpečovací "faktor", tak Ti je úplne zbytočný.
Odpovedať Známka: 6.7 Hodnotiť:
 

no a teraz takto: podla vas je toto jediny existujuci bug ktory NSA doteraz mala v arzenali?
Odpovedať Známka: -5.0 Hodnotiť:
 

prosím vás, nekŕmte tohto trolla lola.

imho choď sa opýtať do NSA....
Odpovedať Známka: 6.0 Hodnotiť:
 

ja mam uz 15-ty rok všade heslo 123456 a žijem o)
Odpovedať Známka: 8.8 Hodnotiť:
 

dobry napad dam si aj ja take
Odpovedať Známka: 10.0 Hodnotiť:
 

ja mam momentalne heslo: BohaKristaTraktoristaJezis69
jednoduche, lahko zapamatatelne a bezpecne ako fort knox.
Odpovedať Známka: 4.0 Hodnotiť:
 

Kokos ja mam uplne rovnake.
Odpovedať Známka: 7.8 Hodnotiť:
 

ok pridavam si do mojich rainbow tabuliek

da39a3ee5e6b4b0d3255bfef95601890afd80709 = BohaKristaTraktoristaJezis69

thx
Odpovedať Známka: -3.3 Hodnotiť:
 

ok, menim heslo - traktoristi su velki a tvrdi chlapi, menim tam "i" na "Y"...
a teraz bud frajer :)
Odpovedať Známka: 10.0 Hodnotiť:
 

KB ma byt kilobajtov? Kedze to nie je napisane spravne, na chvilu ma to zmiatlo.
Odpovedať Známka: 0.0 Hodnotiť:
 

Ale to je spravne napisane! KB su kilobyty.
Odpovedať Hodnotiť:
 

Civilization je oblubena hra znamej pornoherecky .. "Stoya Goes Deep" http://youtu.be/6pispnSqyAA?t=3m43s
Odpovedať Známka: -6.0 Hodnotiť:
 

Pane boze aj MINECRAFT????
Odpovedať Známka: 10.0 Hodnotiť:
 

Otazne je ci v OpenSSL alebo v jeho alternativach este nie je par podobnych chyb. Ocividne bezpecnostne firmy nemaju zaujem taketo bugy vyhladavat a zverejnovat. Zacinam mat pocit, ze dokonca si toho cielene nevsimaju. Kto vie kolko podobnych problemov existuje v closed source a kolko je z nich dokonca umyselnych. Chcelo by to audit ale od nezavislych stran a ludi, ktory nepodliehaju bezpecnostnym agenturam. Taketo chyby jednoducho v bezpecnostnom SW byt nesmu.
Odpovedať Známka: 10.0 Hodnotiť:
 

open source ma tu vyhodu, ze si do neho moze kazdy pridat zranitelnost (alebo botnet - ako to bolo a je u linuxu). a kedze kazdy ma pristup k zdrojakom, je vacsia sanca, ze si chybu vsimnu aj ti, ktori potrebuju system naburat.

u closed source je to trosku obtiaznejsie - k zdrojakom je tazsi pristup - tam sa skor plati (a vydiera) rovno autor.
Odpovedať Známka: 8.2 Hodnotiť:
 

Ide o to, ze toereticky moze mat teraz ktokovel tie certifikaty (resp. ich private keys).
Takze vlastne akoby som SSL nemal + pocit falosnej bezpecnosti).

Nieco ako zmena hesla na HTTP - bez S.
Potesi ale vlastne zbytocna.
Odpovedať Známka: 10.0 Hodnotiť:
 

Naco by som si preboha hesla menil. Ti co ziskali pristup k mojim kontam ich budu mat nadalej cez dalsie chyby. Este ked existoval milw0rm.com tak bolo krasne vidno kolko chyb sa objavi a zverejni kazdy tyzden. A to boli len chyby co sa niekto odhodlal zverejnit. Dalsia hrba chyb zostava skryta. Pri tej komplexnosti a pocetnosti online sluzieb co sa vyuzivaju je predsa kazdemu jasne, ze je to cele derave ako sitko na rezance.
Odpovedať Hodnotiť:
 

tu

http://dopice.sk/99d
Odpovedať Hodnotiť:
 

to co je za retarda, ani pol slova mu neni rozumiet
Odpovedať Hodnotiť:
 

Brano rac
Odpovedať Hodnotiť:
 

http://dopice.sk/99e
Odpovedať Hodnotiť:
 

Viac sa docitate aj na serveri správ tuná:
NSA vraj uviedlo, že celé roky využívalo Heartbleed bug v OpenSSL

http://linuxos.sk/spravy/

Odpovedať Hodnotiť:
 

Zaužívaná legenda vraví o Sovietoch, ktorí používali lacné ceruzky a Američanoch, ktorí investovali nemalé prostriedky do výskumu drahého pera, ktoré by bolo schopné písať v beztiažovom stave.
Pravda je ale trochu odlišná. V skutočnosti sa ceruzky používali vo vesmíre oboma veľmocami a dodnes sa využívajú. Problém nastal vo chvíli keď sa hrot ceruzky zlomil a voľne poletoval priestorom.
Z toho dôvodu sa Paul Fisher začal zaoberať myšlienkou vytvorenia pera, ktoré by písalo v stave beztiaže, v širokom rozmädzí teplôt, v akomkoľvek uhla a aj pod vodou. Výsledkom výskumu, ktorý stál približne 1 000 000 $ sa stalo v roku 1965 Fisher Space Pen, ktoré po testovaní v NASA bolo využívane v ďalších vesmírnych expedíciách.
Odpovedať Hodnotiť:

Pridať komentár