NSA mala zneužívať OpenSSL roky, zmena hesla odporúčaná u 15 služieb

Americká tajná služba NSA mala podľa tvrdení agentúry Bloomberg poznať a zneužívať chybu Heartbleed v knižnici OpenSSL implementujúcej protokol SSL minimálne dva roky. Zároveň v piatok bolo prvýkrát úspešne demonštrované praktické získanie privátnych kľúčov k SSL certifikátu cez Heartbleed. Užívateľom je tak odporúčané v službách, ktoré používali zraniteľnú verziu, pristúpiť minimálne z preventívnych dôvodov k zmene hesla.

Značky: HeartbleedbezpečnosťOpenSSLútokyhackovanieNSA

DSL.sk, 12.4.2014

Americká tajná služba NSA mala poznať a zneužívať chybu Heartbleed v knižnici OpenSSL implementujúcej protokol SSL minimálne dva roky.

Tvrdí to agentúra Bloomberg na základe informácií dvoch ľudí oboznámených so situáciou, ktorých identitu nezverejnila.

NSA sa najskôr pre agentúru odmietla k informácii vyjadriť, následne NSA aj americká vláda v stanoviskách pre americké média popreli, že NSA alebo iné vládne agentúry o zraniteľnosti Heartbleed vedeli pred zverejnením informácií o tejto zraniteľnosti v utorok tento týždeň.

Zraniteľnosť Heartbleed

Protokol SSL je používaný na šifrovanie prenášaných dát po Internete a využíva sa napríklad aj pri prístupe k zabezpečeným HTTPS stránkam. OpenSSL je najvyužívanejšou implementáciou SSL.

Zraniteľnosť prítomná vo verziách OpenSSL od marca 2012 umožňuje útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie tzv. heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL. Útok, ktorý nezanecháva stopy v štandardných logoch, je možné opakovať a potenciálne tak získať podstatnú časť pamäte daného procesu.

Heartbeat rozšírenie umožňuje jednej strane SSL spojenia zaslať druhej strane požiadavku na okamžitú odpoveď, za účelom udržania spojenia respektíve overenia jeho funkčnosti. Odosielateľ posiela v požiadavke dáta ľubovoľnej veľkosti do maximálne 64 KB, pričom druhá strana má ako odpoveď zaslať tieto dáta naspäť.

Chyba v OpenSSL spočíva v absencii kontroly odosielateľom uvádzanej veľkosti zaslaných dát a skutočnej veľkosti zaslaných dát. Keď tak útočník poslal v skutočnosti iba jeden bajt ale v hlavičke uviedol zaslanie 64 KB, zraniteľná verzia nakopírovala do odpovedacieho paketu 64 KB dát z pamäte susediacej s umiestnením spracovávanej správy s požiadavkou.

Chybu v predchádzajúcich týždňoch objavili nezávisle na sebe Neel Mehta z Google a fínska bezpečnostná spoločnosť Codenomicon.

Autor a pôvod Heartbleed

Chybu do kódu OpenSSL zaniesol nemecký programátor Robin Seggelmann pri rozšírení OpenSSL o implementáciu úplne novej funkčnosti, rozšírenia SSL protokolu Heartbeat. Toto rozšírenie, popísané v RFC 6520, sám navrhol.

Chyba sa vo vývojových verziách objavila na konci roku 2011, v stabilnej verzii sa prvýkrát objavila v marci 2012 vo verzii 1.0.1. Prítomná bola až do verzie 1.0.1f a opravená bola vo verzii 1.0.1g vydanej v noci z pondelka na utorok.

Ak NSA skutočne poznala a zneužívala chybu viac ako dva roky, musela mať o nej vedomosť už krátko po jej pridaní do OpenSSL. Keďže NSA evidentne chyby takéhoto typu aktívne hľadá, nie je vylúčený ani scenár že chybu NSA skrátka nezávisle identifikovala pri preverovaní novej pridanej funkčnosti do OpenSSL.

Podľa svojho tvrdenia Seggelmann chybu nevložil úmyselne a išlo skrátka o chybu, ktorú si nevšimol ani Stephen Henson preverujúci nový kód.

Zneužívanie Heartbleed

V prípade najčastejšieho použitia SSL na Internete, webového servera poskytujúceho zabezpečené stránky, je cez zneužitie chyby potenciálne možné získať jednak privátne kľúče k SSL X509 certifikátu stránok ale napríklad aj prihlasovacie údaje minimálne ostatných užívateľov aktuálne sa prihlasujúcich na stránky a obsah stránok zobrazovaných týmto užívateľom.

Úspešné zneužitie chyby na získanie prihlasovacích údajov užívateľov prihlasujúcich sa k stránkam v čase útoku bolo úspešne demonštrované už v prvý deň po zverejnení informácií o chybe.

Získanie privátneho kľúča k SSL certifikátu je technicky náročnejšie, keď webové servery ho typicky načítavajú do pamäti len raz pri štarte a ďalšie dátové štruktúry bežne nevytvárajú v jeho blízkosti. V piatok bolo ale úspešne demonštrované získanie aj privátneho kľúča zo serveru nginx na Ubuntu.

Útočníci tak mohli chybu zneužívať na priame kradnutie dát užívateľov aktuálne sa prihlasujúcich a prihlásených k webovým stránkam ale mohli tiež získavať privátne kľúče a dešifrovať dátovú prevádzku k zabezpečeným stránkam, ktorú mohla NSA poľahky zachytávať na mnohých miestach.

Aktuálne informácie o znalosti chyby dlho pred jej objavením bezpečnostnými expertami v predchádzajúcich týždňoch podporujú aj informácie o zachytení útokov minimálne v novembri minulého roka.

Ak by NSA skutočne poznala chybu po celú dobu jej existencie, išlo by o trestuhodné ohrozenie bezpečnosti Internetu. Dá sa tak predpokladať, že znalosť tejto chyby by mala najvyššie možné utajenie.

Zoznam zraniteľných služieb

V súčasnosti po potvrdení možného praktického zneužitia zraniteľnosti aj na získanie privátnych kľúčov a informácii o údajnom viacročnom zneužívaní zraniteľnosti je odporúčané u služieb, ktoré používali zraniteľnú verziu, pristúpiť minimálne preventívne k zmene hesiel.

Používanie zraniteľnej verzie potvrdilo v uplynulých dňoch viacero najväčších internetových služieb, rozličné služby Google vrátane Gmail a YouTube, Facebook, Dropbox, GitHub, Amazon Web Services, Yahoo, Flickr, Instagram, Pinterest, Tumblr, Minecraft, Netflix, GoDaddy, LastPass.

Časť z týchto služieb bola upozornená na chybu dni pred jej zverejnením a nasadila opravenú verzie knižnice predtým ako sa začala zneužívať po zverejnení informácií o chybe. Po zverejnení informácií bola zraniteľnosť prítomná minimálne na službách Yahoo vrátane Flickr a Tumblr, Dropbox, Amazon Web Services, Minecraft, GitHub.

Väčšina z vymenovaných služieb buď odporúča zmeniť heslá alebo minimálne naznačuje vhodnosť zmeny hesla, výnimku tvoria Google a LastPass informujúce o nepotrebnosti zmeny hesla v ich službách. U LastPass sa hlavné heslo užívateľa nezasiela na server a jeho dáta sa aj pri prenose cez SSL šifrujú ďalším šifrovaním, zmena hesla tak podľa služby nie je potrebná.

Google v stanoviskách pre médiá uvádzal, že zmena hesla nie je potrebná. Spoločnosť to zdôvodňovala ale len skutočnosťou, že chybu opravila pred jej zverejnením, zmena hesla je tak odporúčaná podľa dostupných informácií rovnako ako u viacerých ostatných vymenovaných služieb.





Najnovšie články:



Diskusia:

s obrazkami Od reg.: OmeGa | Pridané: 12.4.2014 12:45 v skratke: http://xkcd.com/1354/ Odpovedať Známka: 7.9 Hodnotiť:

Re: s obrazkami Od: STALIN | Pridané: 13.4.2014 17:33 neverim tomu ze aj po vsetkych tych opravach je nejaky ssl bezpecny... NSA to nedovoli Odpovedať Známka: 6.5 Hodnotiť:

Re: s obrazkami Od: megalol5 | Pridané: 14.4.2014 9:51 sa zobud chlapce. NSA do tych sluzieb ma tak ci tak pristup aj bez nejakej diery v SSL. Odpovedať Známka: 9.2 Hodnotiť:

Re: NSA do tych sluzieb ma tak ci tak pristup Od: Rudolf Dovičín | Pridané: 24.4.2014 14:59 NSA má prístup najmä do všetkých Microsoft Windows: http://MarketOracle.co.uk/Article40836.html NSA Built Back Door In All Microsoft Windows Software Since 1999 Odpovedať Známka: 7.1 Hodnotiť:

Re: s obrazkami Od: VYSVETLENIE | Pridané: 14.4.2014 22:38 tu http://dopice.sk/99d Odpovedať Známka: 3.3 Hodnotiť:

Re: s obrazkami Od: clovekolud | Pridané: 15.4.2014 21:25 http://dopice.sk/99e Odpovedať Známka: -5.0 Hodnotiť:

Heslá Od: Bubuntu | Pridané: 12.4.2014 12:57 Doteraz som k heslám pristupoval trocha nezodpovedne. Bral som to tak, že veď idem cez zabezpečené spojenie. Ale po tomto fiasku som si urobil poriadok v KeePassX databáze, pomenil heslá kde sa dalo a čestné pionierske, budem ich pravidelne generovať, meniť a zálohovať. Odpovedať Známka: 0.2 Hodnotiť:

Re: Heslá Od: itchy | Pridané: 12.4.2014 12:59 lebo kazdy je na ne strasne zvedavy.. Odpovedať Známka: -3.3 Hodnotiť:

Re: Heslá Od: Miro12 | Pridané: 12.4.2014 13:08 Keby nebol nikto zvedavy, tak by sme ziadne hesla nepotrebovali. Odpovedať Známka: 8.6 Hodnotiť:

Re: Heslá Od: 6aaaaaa | Pridané: 12.4.2014 19:21 to je fakt. ale ked si zmenis heslo, tak nezistis, ci bol niekto zvedavy Odpovedať Známka: 9.4 Hodnotiť:

Re: Heslá Od: Bubuntu | Pridané: 12.4.2014 13:13 Měli jsme možnost se zblízka seznámit s jedním případem zneužití ukradených přístupových údajů k e-mailové schránce služby Gmail.com http://blog.nic.cz/2014/04/10/ nasledky-kradeze-hesla-pripadova-studie/ (treba odstrániť medzeru pred nasledky) Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá Od: 6aaaaaa | Pridané: 12.4.2014 19:36 osobne mi to tak trosku ani nevadi. chodim po firmach, ale aj ludoch a mnohi nie-IT "odbornici" to neberu vazne. o servisovani notebooku s firemnymi udajmi za 20e u opravara mobilov, firemny hosting s lacnou web strankou a email uctami v "starostlivosti" dizajnera joomla, vobec bez s.r.o. ci ZL, naopak, niekto drzi firemnu komunikaciu v gmaile, a to nehovorim o 1-clovekovych firmach s rocnym obratom 20k eur ! takze preventivne je takyto utok obcas aj prospesny. Odpovedať Známka: 7.5 Hodnotiť:

Re: Heslá Od: komunista | Pridané: 12.4.2014 14:16 naco si doma zamykas vchodove dvere? Odpovedať Známka: 6.9 Hodnotiť:

Re: Heslá Od: chuj | Pridané: 12.4.2014 14:48 ja si nezamykam , mame gulu Odpovedať Známka: -2.0 Hodnotiť:

Re: Heslá Od: komunista | Pridané: 12.4.2014 16:28 gulu mate hej? v hlave niekde - a dutu najskor, ze... Odpovedať Známka: 2.3 Hodnotiť:

Re: Heslá Od: trololo | Pridané: 12.4.2014 19:02 my máme plachtu Odpovedať Známka: 8.2 Hodnotiť:

Re: Heslá Od: lolofon1 | Pridané: 13.4.2014 8:41 Jo, dvere som vypojil z pantov hned po nastahovani. Odpovedať Známka: 7.9 Hodnotiť:

Re: Heslá Od: dagi1984 | Pridané: 15.4.2014 9:46 lebo kazdy je na ne strasne zvedavy.. Odpovedať Hodnotiť:

Re: Heslá Od reg.: saruman | Pridané: 12.4.2014 13:06 Môžeš meniť heslá každý deň aj tak je to k ničomu keď je závažná chyba na serveroch poskytovateľa služieb. Odpovedať Známka: 8.7 Hodnotiť:

Re: Heslá Od: Bubuntu | Pridané: 12.4.2014 13:21 To je pravda, ale minimalizuje to riziko, ak ide o verejne neoznámenú chybu, ktorá sa vyskytuje len v niektorých verziách (napríklad: 0.1 nie, 0.2 áno, 0.3 nie) a zároveň to rieši laxný prístup niektorých adminov (pred dvoma dňami tu bol článok o tom, že heartbleed sa nedotkol ani jednej zo Slovenských bánk a to ani tých, ktoré používajú OpenSSL) Odpovedať Známka: 8.3 Hodnotiť:

Re: Heslá Od: quix_ | Pridané: 12.4.2014 16:20 tiez som sa chcel k tomuto donutit, mam problem chcem nieco ako lastpass ale nie na cudzich serveroch. planujem keepassx db synchronizovat cez owncloud ale firefox nightly s rozsirenim pada ako zhnita hruska a pre chromium som nejako nenasiel rozsirenie pre keepassx len pre keepass 2(mono bordel). any suggestions? Odpovedať Známka: 5.0 Hodnotiť:

Re: Heslá Od: quix_ | Pridané: 12.4.2014 16:27 este dodam, ze momentalne som ako-tak spokojny s kwallet. integracia s firefoxom je ok a integracia s chromiom/chrome je tiez zvladnuta. hloda mi ale v hlave ze v oboch browseroch vidim hesla. ani jeden z nich nepristupuje ku kwalletu ked ich pozaduje. podozrievam zle nastavenia kwalletu(moja chyba asi sa s tym treba vyhrat). ale som vdacny za to, ze mozem vyuzivat takyto krasny softver akym kwallet je :) KDE/Qt FTW! Odpovedať Známka: 3.3 Hodnotiť:

Re: Heslá Od: 6aaaaaa | Pridané: 12.4.2014 16:38 vsak generuj hesla v pamati mozgovej svojej casti hlavovej. naco k tomu externa sluzba Odpovedať Známka: 6.5 Hodnotiť:

Re: Heslá Od: sholva | Pridané: 13.4.2014 0:13 Blbcek je uz velkac, on radsej pouzije softver o ktorom nevie ako funguje. Mysliet to nie je prenho a tu nesymetriu voci predatorom tam vonku zanho vyvazi stat. Odpovedať Známka: -2.5 Hodnotiť:

Re: Heslá Od: quix_ | Pridané: 13.4.2014 12:49 ono sa dost blbo pamataju desiatky hesiel ktore su dlhsie ako 8 pismen a v kazdom z nich pouzivam aspon 2 cisla a 2specialne zmanky a zaroven sa ubranit pohnutkam vytvorit si v tvorbe hesiel system na ktory moze pripadny utocnik prist ak pozna 2-3hesla. Odpovedať Známka: 5.0 Hodnotiť:

Re: Heslá Od reg.: jupiii | Pridané: 14.4.2014 0:38 Jednoduchy navod na jednoduchsie pamatanie, ale najkomplikovanejsie zabezpecenie. Na zaciatok, to moze vyzerat komplikovane, ale vystacis si bez 3rd party aplikacii. 1. Zvolis si vlastnu neslovnikovu predponu (prefix): napr. joZk0 2. Zvolis si vlastnu neslovnikovu priponu (postfix): napr. _jeG3no 3. Vytvoris si pravidlo pre hlavnu domenu: napr. maximalne 6 znakov domeny medzi prefixom a postfixom, a pred prefix pridam cislo vyjadrujuce pocet pismen mnou zadanej domeny heslo: 3jozk0dsl_jeG3no heslo: 4jozk0diit_jeG3no ... Samozrejme mnou zverejneny priklad uz nie je bezpecny :-) Ale kazdy si moze pouzit oblubene slova, modifikacie, pravidla. Na zaklade toho si ale vie len sam vytvorit vytvorit takmer neobmedzene mnozstvo hesiel. A samozrejme sa musi rozhodovat podla dolezitosti danej stranky. Odpovedať Známka: 7.5 Hodnotiť:

Re: Heslá Od: jude | Pridané: 14.4.2014 5:14 alebo si hod par nahodnych slov a nejake cislo - je to dostatocne dlhe na to, aby sa to nedalo jednoducho cracknut a lahko pamata. Odpovedať Známka: 0.0 Hodnotiť:

Re: Heslá Od: sdadsasdasasd | Pridané: 14.4.2014 12:54 rainbo tabulky ti asi nic nehovoria Odpovedať Známka: -3.3 Hodnotiť:

Re: Heslá Od: jude | Pridané: 14.4.2014 13:06 a? schvalne... v hesle mas 5 nahodnych slov, ktore mozu obsahovat velke pismena. priklad: PrcajuciPrcaliciPrcaliPrcalienkuPracherom v hesle mas cislo o neznamej velkosti. priklad: niekde v strede alebo na konci je 65536 uloha - aka velka musi byt tabulka, aby si mal 100% istotu, ze dane heslo zachyti? uloha 2 - aky velky musis mat vypoctovy vykon, ak ho chces uspesne cracknut? Odpovedať Známka: 7.5 Hodnotiť:

Re: Heslá Od: 4Maniak. | Pridané: 15.4.2014 10:28 Ale takéto ideálne to istotne nikdy nebude.... Odpovedať Hodnotiť:

Re: Heslá Od: jude | Pridané: 15.4.2014 11:00 preco nie? potrebujes nieco, co si dokazes lahko zapamatat a je dostatocne zlozite na to, aby sa to pocitacu minimalne raz taku dlhu dobu, po akej ho zase zmenis, hadalo. a preto je lepsie pouzit dlhsie heslo zlozene zo slov ako napr. kratsie zlozene len z ich zaciatocnych pismen - pr: ppppp65536 :) alebo mozes pouzit rymovacku: "JoskoNasMaVelkeUsi;KokotkoviToNeslusi." - ak tu pouzijes diakritiku, tak ti an to heslo do konca zivota nikto nepride. Odpovedať Známka: 5.0 Hodnotiť:

Re: Heslá Od: _jupiii | Pridané: 16.4.2014 12:43 Bohuzial tvoje riesenie ma sice silne zabezpecenie, ale ak ho pouzivas na vsetkych "tvojich dolezitych" strankach, tak z dlhodobeho hladiska tvoje zabezpecenie vyrazne klesa. Staci jedna podvrhnuta autorizacia, odchytavanie klaves, odcudzeny certifikat so zabezpecenim a uz mas dieru hned na velkom mnozstve tebou vyuzivanych stranok. A pri tomto NSA sledovani, stupidnych zakonoch o uchovavani informacii (kde nevidis, co vsetko sa uchovava) je to stale primitivny sposob zabezpecenia (aj ked silne proti uhadnutiu). Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá Od: jude | Pridané: 19.4.2014 12:21 pozri, ked niekto chce tvoje heslo, tak si ho bez problemov zisti, nech je akekolvek dobre. ale dobre heslo odrati spekulantov, co nemaju nic insie na praci, len hackovat fb ucty a hladat fotky fune tvojej priatelky. pr.: na pokec.sk par rokov dozadu fungovalo naraz 7 loggerov, ktore posielali data o uctoch. tam ti ani svatena voda nepomoze. tam ti staci aj heslo "heslo". ale napr. do pracovnej vpn - tam ti taketo heslo dost pomoze. ale suhlas, je dobre mat rozne hesla na rozne stranky. a na druhu stranu, na ine veci, na ktorych ti nezalezi, mozes mat kludne aj heslo "heslo" Odpovedať Hodnotiť:

Re: Heslá Od: quix_ | Pridané: 14.4.2014 13:59 a presne takemuto sposobu generovania hesiel som sa chcel oblukom vyhnut. lebo heslo pri ktoreho tvorbe je pouzity vzorec nie je heslo :) ak by som ho ale pouzival pocet pravidiel pri vytvaranie musi byt dostatocne velky a zaroven nemozem mat so zapamatanim pravidiel a ich poradia ja. :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá Od: quix_ | Pridané: 14.4.2014 14:00 a zaroven nemozem mat so zapamatanim pravidiel a ich poradia (problem) ja. Odpovedať Hodnotiť:

Re: Heslá Od: 6aaaaaa | Pridané: 14.4.2014 18:46 ak uz zabudnes heslo kvoli jeho zlozitosti, tak si myslim, ze je uz dost zlozite :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá Od: jude | Pridané: 14.4.2014 21:30 co je kravina - vacsina "zlozitych" hesiel je zlozita iba pre uzivatela - pocitace s tym robia kratky proces. to sa ti skor oplati napisat ako heslo prvych par veci, ktore mas po pravej ruke. ked si zvazis, ze len prakticky anglicky slovnik ma cca 30k slov, v spisovnej anglictine by ti 5 slov dalo 250 x 10^25 moznosti. daj tam zo par velkych pismen, nejake cislo pomedzi a hned si zahojeny - lebo heslo so zlozitostou s cca 30-timi nulami sa nikomu neoplati hladat :D PS: a si predstav, ze pouzivas aj slovenske vyrazy a/alebo foneticky prepis anglickych slov. napr. 14AprilaHraVRadiuExpressDencinkInDMunlajt a pocitac si moze pri 3.13x10^73 moznostiach rovno hodit slucku. Odpovedať Známka: 6.0 Hodnotiť:

Re: Heslá Od: _jupiii | Pridané: 16.4.2014 12:48 Ak take heslo pouzijes jednoznacne len na jedinej stranke, tak beriem, ze je ultra bezpecne resp. ak si pre skupinu ludi zaujimava osoba, tak je bezpecne asi par tyzdnov. Staci, ze ti niekto podvrhne keylog a aby nemusel nenormalne dlho cakat, tak ti navodi situaciu, aby si sa isiel prihlasit a nieco skontrolovat. Bohuzial na cim viac stranok/portalov ho pouzijes, tym jeho bezpecnost klesa a este ti dokazu skompromitovat rovno vsetky ucty/loginy. Odpovedať Hodnotiť:

Re: Heslá Od: jude | Pridané: 19.4.2014 12:11 ano, preto sa odporuca mavat rozne hesla /podla dolezitosti - napr. na spammail mam heslo 'pustmadnu' uz desat rokov - beztak mi tam chodia len registracie na stranky/fora, kde idem raz/dvakrat do roka - takze nic dolezite by som nestratil./. tak isto je dolezite ich periodicky obmienat - napr. raz za 3 mesiace. a preto tvrdim, ze heslo musi byt jednoduche na zapamatanie, ale prilis zlozite na to, aby sa dalo bez tvojho vlastneho pricinenia ziskat /aspon na dobu, dokial ho nezmenis/... co je priklad toho hore :D Odpovedať Hodnotiť:

Kanxnanxns Od: Dkakxkanzn | Pridané: 12.4.2014 13:38 Kebyže tu chybu zneužívam ja, sedím v base nie len ja ale cely môj rodokmeň. Keď to zneužíva nejaká americká agentúra, všetko je v najlepšom poriadku. Odpovedať Známka: 9.3 Hodnotiť:

Re: Kanxnanxns Od: komunista | Pridané: 12.4.2014 14:17 je to tzv. demokratické zneuživanie moci.... Odpovedať Známka: 8.5 Hodnotiť:

Re: Kanxnanxns Od reg.: WinstonSmith | Pridané: 12.4.2014 18:11 jj, a je v rade hneď za humanitárnym bombardovaním a preventívnymi vyvraždovaním civilistov v boji proti terorizmu... kurva, kam sme to až dotiahli... Odpovedať Známka: 8.0 Hodnotiť:

Re: Kanxnanxns Od: __fuxo | Pridané: 12.4.2014 18:16 hej, niečo ako Ficova "pozitívna strata suverenity" v prospech EÚ. Odpovedať Známka: 3.7 Hodnotiť:

..... Od: xvzf | Pridané: 12.4.2014 13:56 Excelentny suhrn, DSL, ako vzdy :) Odpovedať Známka: 9.0 Hodnotiť:

načo meniť? Od: Roman993 | Pridané: 12.4.2014 15:31 načo si hesla menit aj tak na pozadi vzdy vsetko monitorovali a monitoruju a neprestanu zbytočne to menit ked nieco chdu dostanu sa ktomu tak či tak Odpovedať Známka: 2.3 Hodnotiť:

sgsfgsgf Od: 123-321+456=? | Pridané: 12.4.2014 16:23 zaujímavé a AOL nič? ak nič tak to som rád :) ak hej tak nevadí :D Odpovedať Známka: 5.0 Hodnotiť:

Re: sgsfgsgf Od: xvzf | Pridané: 12.4.2014 16:50 AOL zda sa ze nic, pouzivali starsiu verziu OpenSSL - http://is.gd/p6jiFR Odpovedať Hodnotiť:

NEVERIM Od: šulino | Pridané: 12.4.2014 16:34 nechce sa mi verit, ze ti super ludia co pracuju v oblasti IT, by zneuzili data uzivetalov ! ved odkedy citam lokalne diskusie tak viem,ze su to najcestnejsi, najinteligentnejsi a najlepsi ludia pod slnkom! Odpovedať Známka: 9.2 Hodnotiť:

Re: NEVERIM Od: 6aaaaaa | Pridané: 12.4.2014 16:41 to bolo mozno tak pred 13 rokmi, vtedy ked si sa na irc kanali nieco opytal, radi ti pomohli Odpovedať Známka: 10.0 Hodnotiť:

naco menit heslo Od: segal | Pridané: 12.4.2014 19:26 nech sa kukaju kokoti. Ked budu chciet, pozru sa mi do posty aj tak... curaci... naco menit heslo.... Odpovedať Známka: 7.3 Hodnotiť:

Re: naco menit heslo Od: JozefX | Pridané: 14.4.2014 12:01 ale az niekto posle love AlKaide z Tvojho BUC, tak budes odpovedat demokratickym vysetrovatelom na Guantaname. A pritom je to mozno len sikovny ITak, kt. si pretiahol frajerku. Odpovedať Známka: -3.3 Hodnotiť:

Re: naco menit heslo Od: segal | Pridané: 25.4.2014 16:16 Truhlicek moj. Moje heslo vie cele slovensko... nbusr123. A ako vies ze ja nepicham tu tvoju :D Odpovedať Hodnotiť:

dvojfaktor Od: brano2 | Pridané: 12.4.2014 22:14 Ak mam zapnutu dvojfaktorovu autorizaciu tak im je heslo asi nanic, nie? Museli by odpocuvat aj moje SMS, co mozno robi operator, ale bezny hacker sa k tomu nedostane. Pokial teda nemam smartphone s nainstalovanou spravnou aplikaciou... Odpovedať Známka: 3.3 Hodnotiť:

Re: dvojfaktor Od: ezio | Pridané: 12.4.2014 23:01 Debilne a hrubo napísané, aj 10 faktorová [sms, captcha, mail, zavolanie Ti a overenie biometrie hlasu, heslo, čítačka, etc.] autentifikácia sa dá obísť. Krásne sa to dá vidieť na hackovaní blizzarďáckych accountov, kde môžeš mať aj ten ich prístroj, aj autentifikáciu mailom [vygenerovaný kód], kontrolnou otázkou a heslom a stále to nie je problém hacknúť. Nezabudni na to že pokiaľ vieš obísť zabezpečovací "faktor", tak Ti je úplne zbytočný. Odpovedať Známka: 6.7 Hodnotiť:

1234 5 Od: lolo21 | Pridané: 13.4.2014 0:11 no a teraz takto: podla vas je toto jediny existujuci bug ktory NSA doteraz mala v arzenali? Odpovedať Známka: -5.0 Hodnotiť:

Re: 1234 5 Od: jfjfgf | Pridané: 13.4.2014 7:21 prosím vás, nekŕmte tohto trolla lola. imho choď sa opýtať do NSA.... Odpovedať Známka: 6.0 Hodnotiť:

ioioio Od: oioioi | Pridané: 13.4.2014 9:42 ja mam uz 15-ty rok všade heslo 123456 a žijem o) Odpovedať Známka: 8.8 Hodnotiť:

Re: ioioio Od: Brazzer | Pridané: 13.4.2014 11:38 dobry napad dam si aj ja take Odpovedať Známka: 10.0 Hodnotiť:

Re: ioioio Od: jude | Pridané: 13.4.2014 12:15 ja mam momentalne heslo: BohaKristaTraktoristaJezis69 jednoduche, lahko zapamatatelne a bezpecne ako fort knox. Odpovedať Známka: 4.0 Hodnotiť:

Re: ioioio Od: menomeno | Pridané: 13.4.2014 20:09 Kokos ja mam uplne rovnake. Odpovedať Známka: 7.8 Hodnotiť:

Re: ioioio Od: blackhat motherfucker | Pridané: 13.4.2014 23:55 ok pridavam si do mojich rainbow tabuliek da39a3ee5e6b4b0d3255bfef95601890afd80709 = BohaKristaTraktoristaJezis69 thx Odpovedať Známka: -3.3 Hodnotiť:

Re: ioioio Od: jude | Pridané: 14.4.2014 14:47 ok, menim heslo - traktoristi su velki a tvrdi chlapi, menim tam "i" na "Y"... a teraz bud frajer :) Odpovedať Známka: 10.0 Hodnotiť:

64 KB Od: b2un0 | Pridané: 13.4.2014 18:20 KB ma byt kilobajtov? Kedze to nie je napisane spravne, na chvilu ma to zmiatlo. Odpovedať Známka: 0.0 Hodnotiť:

Re: 64 KB Od: Talamasca | Pridané: 24.4.2014 14:39 Ale to je spravne napisane! KB su kilobyty. Odpovedať Hodnotiť:

pornization Od: ee. | Pridané: 13.4.2014 20:05 Civilization je oblubena hra znamej pornoherecky .. "Stoya Goes Deep" http://youtu.be/6pispnSqyAA?t=3m43s Odpovedať Známka: -6.0 Hodnotiť:

hmm... Od: Klovatina | Pridané: 14.4.2014 10:05 Pane boze aj MINECRAFT???? Odpovedať Známka: 10.0 Hodnotiť:

5znak Od: XMen | Pridané: 14.4.2014 10:10 Otazne je ci v OpenSSL alebo v jeho alternativach este nie je par podobnych chyb. Ocividne bezpecnostne firmy nemaju zaujem taketo bugy vyhladavat a zverejnovat. Zacinam mat pocit, ze dokonca si toho cielene nevsimaju. Kto vie kolko podobnych problemov existuje v closed source a kolko je z nich dokonca umyselnych. Chcelo by to audit ale od nezavislych stran a ludi, ktory nepodliehaju bezpecnostnym agenturam. Taketo chyby jednoducho v bezpecnostnom SW byt nesmu. Odpovedať Známka: 10.0 Hodnotiť:

Re: 5znak Od: linux-man | Pridané: 14.4.2014 11:13 open source ma tu vyhodu, ze si do neho moze kazdy pridat zranitelnost (alebo botnet - ako to bolo a je u linuxu). a kedze kazdy ma pristup k zdrojakom, je vacsia sanca, ze si chybu vsimnu aj ti, ktori potrebuju system naburat. u closed source je to trosku obtiaznejsie - k zdrojakom je tazsi pristup - tam sa skor plati (a vydiera) rovno autor. Odpovedať Známka: 8.2 Hodnotiť:

Lenze treba vymenit aj certifikaty Od: ferouuuu | Pridané: 14.4.2014 12:21 Ide o to, ze toereticky moze mat teraz ktokovel tie certifikaty (resp. ich private keys). Takze vlastne akoby som SSL nemal + pocit falosnej bezpecnosti). Nieco ako zmena hesla na HTTP - bez S. Potesi ale vlastne zbytocna. Odpovedať Známka: 10.0 Hodnotiť:

sdfasdfasf Od: asdfsf | Pridané: 14.4.2014 19:09 Naco by som si preboha hesla menil. Ti co ziskali pristup k mojim kontam ich budu mat nadalej cez dalsie chyby. Este ked existoval milw0rm.com tak bolo krasne vidno kolko chyb sa objavi a zverejni kazdy tyzden. A to boli len chyby co sa niekto odhodlal zverejnit. Dalsia hrba chyb zostava skryta. Pri tej komplexnosti a pocetnosti online sluzieb co sa vyuzivaju je predsa kazdemu jasne, ze je to cele derave ako sitko na rezance. Odpovedať Hodnotiť:

VYSVETLENIE Od: VYSVETLENIE | Pridané: 14.4.2014 22:38 tu http://dopice.sk/99d Odpovedať Hodnotiť:

Re: VYSVETLENIE Od: trololoman | Pridané: 15.4.2014 10:25 to co je za retarda, ani pol slova mu neni rozumiet Odpovedať Hodnotiť:

Re: VYSVETLENIE Od: cacac | Pridané: 15.4.2014 21:18 Brano rac Odpovedať Hodnotiť:

Re: VYSVETLENIE Od: clovekolud | Pridané: 15.4.2014 21:26 http://dopice.sk/99e Odpovedať Hodnotiť:

NSA vraj uviedlo, že celé roky využívalo Heartbleed bug v OpenSSL Od: linux | Pridané: 18.4.2014 9:51 Viac sa docitate aj na serveri správ tuná: NSA vraj uviedlo, že celé roky využívalo Heartbleed bug v OpenSSL http://linuxos.sk/spravy/ Odpovedať Hodnotiť:

NASA space pen Od: space-pen.sk | Pridané: 6.5.2014 12:09 Zaužívaná legenda vraví o Sovietoch, ktorí používali lacné ceruzky a Američanoch, ktorí investovali nemalé prostriedky do výskumu drahého pera, ktoré by bolo schopné písať v beztiažovom stave. Pravda je ale trochu odlišná. V skutočnosti sa ceruzky používali vo vesmíre oboma veľmocami a dodnes sa využívajú. Problém nastal vo chvíli keď sa hrot ceruzky zlomil a voľne poletoval priestorom. Z toho dôvodu sa Paul Fisher začal zaoberať myšlienkou vytvorenia pera, ktoré by písalo v stave beztiaže, v širokom rozmädzí teplôt, v akomkoľvek uhla a aj pod vodou. Výsledkom výskumu, ktorý stál približne 1 000 000 $ sa stalo v roku 1965 Fisher Space Pen, ktoré po testovaní v NASA bolo využívane v ďalších vesmírnych expedíciách. Odpovedať Hodnotiť:

Pridať komentár