Waterbyte писал(а):вопрос чайнега: а кому, нахрен, сдались эти ваши сертификаты? не шибко ли преувеличен масштаб жопы?
кому: NSA и прочим жуликам
опять же сдались не сами сертификаты, а их private keys...
Масштаб жопы раздувает тот факт, что никому не хочется оказаться в жопе, когда у твоих клиентов скоммуниздят что-либо ценное...
И как же ты собираешься скоммуниздить приват ки? В лучшем случае (т.е. в худшем) ты можешь скоммуниздить ССЛ сессионный мастер ки...
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Ленивый админ, который не читает, или не может понять описание уязвимости, это просто катастрофа для эмплоера...
Waterbyte писал(а):вопрос чайнега: а кому, нахрен, сдались эти ваши сертификаты? не шибко ли преувеличен масштаб жопы?
кому: NSA и прочим жуликам
опять же сдались не сами сертификаты, а их private keys...
Масштаб жопы раздувает тот факт, что никому не хочется оказаться в жопе, когда у твоих клиентов скоммуниздят что-либо ценное...
И как же ты собираешься скоммуниздить приват ки? В лучшем случае (т.е. в худшем) ты можешь скоммуниздить ССЛ сессионный мастер ки...
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Ленивый админ, который не читает, или не может понять описание уязвимости, это просто катастрофа для эмплоера...
Я то прочитал и понял, ты тоже прочитал, а вот понял ли?
Уже это должно было насторожить грамотного программера.
И ваще! Какой мудак написал: the secret keys used to identify the service providers ??? Ключи не идентифицируют НИЧЕГО
Stanislav писал(а):
Я то прочитал и понял, ты тоже прочитал, а вот понял ли?
ок, я все понял, все кругом дураки, один Стасик умный
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Stanislav писал(а):
Я то прочитал и понял, ты тоже прочитал, а вот понял ли?
ок, я все понял, все кругом дураки, один Стасик умный
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Ну а теперь скажи - какие именно secret keys? Их там три разных вида...
Stanislav писал(а):
Я то прочитал и понял, ты тоже прочитал, а вот понял ли?
ок, я все понял, все кругом дураки, один Стасик умный
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Ну а теперь скажи - какие именно secret keys? Их там три разных вида...
тебе же сказали, те, на которые сделаны сертификаты.
Т.е. тот, у кого есть такой ключик может "слушать" все разговоры с тем сайтом, с которого ключек украден. Даже не MITM, просто на ethernet-e (или открытом Wi-Fi) сидеть и пакетики расшифровывать...
Stanislav писал(а):
Я то прочитал и понял, ты тоже прочитал, а вот понял ли?
ок, я все понял, все кругом дураки, один Стасик умный
What leaks in practice?
We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
Ну а теперь скажи - какие именно secret keys? Их там три разных вида...
тебе же сказали, те, на которые сделаны сертификаты.
Т.е. тот, у кого есть такой ключик может "слушать" все разговоры с тем сайтом, с которого ключек украден. Даже не MITM, просто на ethernet-e (или открытом Wi-Fi) сидеть и пакетики расшифровывать...
Хм... тот ключ "на который сделан сертификат" не используется для шифрования.
Для шифрования используется мастер ки (да, его можно перехватить), который (сюрпрайз!) генерируется при каждой новой HTTPS сессии...
Ф переводе на русский язык - флаг тибе ф руки сидеть и пакетики расшифровывать.
Stanislav писал(а):
Для шифрования используется мастер ки (да, его можно перехватить), который (сюрпрайз!) генерируется при каждой новой HTTPS сессии...
Using all data generated in the handshake thus far, the client ... creates the pre-master secret for the session, encrypts it with the server's public key (obtained from the server's certificate, sent in step 2), and then sends the encrypted pre-master secret to the server.
... the server uses its private key to decrypt the pre-master secret, and then performs a series of steps (which the client also performs, starting from the same pre-master secret) to generate the master secret.
...Both the client and the server use the master secret to generate the session keys, which are symmetric keys used to encrypt and decrypt information exchanged during the SSL session
Marmot писал(а):один раз ключик увел, и все остальное читается на ура...
- А ты попробуй.
Marmot писал(а):Ленивый админ, который не читает, или не может понять описание уязвимости, это просто катастрофа для эмплоера
- Ерунда это. Современные эмплоеры поголовные жадины поэтому вопрос с каких делов админ должен вообще сюда лезть? Наймите секурити аналистов = это их хлеб... и с нынешним уровнем секурити технологий (зачаточном весьма) все что хочется вскрывается таки теми кому хочется, и также как известно >80% аттак делается через реверс инжиниринг...
вот где сейчас жопа - так это у бухгалтеров. разгар налогового сезона, а ревеню канада возьми да и прикрой все свои онлайн сервисы. http://www.cra-arc.gc.ca
CRA update regarding the Heartbleed Bug - Wednesday, April 9, 3pm
The Canada Revenue Agency (CRA) places first priority on ensuring the confidentiality of taxpayer information.
After learning late yesterday afternoon about the Internet security vulnerability named the Heartbleed Bug that is affecting systems around the world, the CRA acted quickly, as a preventative measure, to temporarily shut down public access to our online services to safeguard the integrity of the information we hold. Applications affected include online services like EFILE, NETFILE, My Account, My Business Account and Represent a Client.
We are currently working on a remedy for restoring online services and, at this time, anticipate that services will resume over the weekend.
The CRA recognizes that this problem may represent a significant inconvenience for individual Canadians who count on the CRA for online information and services.
Recognizing this, the Minister of National Revenue has confirmed that individual taxpayers will not be penalized for this service interruption.
We continue to investigate any potential impacts to taxpayer information, and to be fully engaged in resolving this matter and restoring online services as soon as possible in a manner that ensures the private information of Canadians remains safe and secure.
We will provide further information and daily updates at 3PM EDT on our home page.
Waterbyte писал(а):ревеню канада возьми да и прикрой все свои онлайн сервисы
- Класс, тупой еще тупее...Понятное дело вообщемто - своих вменяемых у них мало. За деньги уже не купишь просто так да и по Канаде тоже людей маловато будет. Умножим это все на бюрократию, тупость и казнокрадство...
About 900 social insurance numbers were stolen from the computers of the Canada Revenue Agency, the revenue department has confirmed, following a shutdown of its public online services caused by the Heartbleed Internet bug.
Internet security expert Mark Nunnikhoven said it appears the breach was recent and retraced through network monitoring from one of the federal government’s agencies dealing with Internet security, such as Shared Services Canada or even the Communications Security Establishment Canada.
“The CRA has been notified by the Government of Canada’s lead security agencies of a malicious breach of taxpayer data that occurred over a six-hour period,” the CRA said in its statement.
While a Heartbleed breach would have left no traces of data leak on the logs of CRA servers, it would have been spotted by the network-monitoring tools of other federal agencies that capture and analyze transiting data packets, Mr. Nunnikhoven said.
Hairy Potter писал(а):...it would have been spotted by the network-monitoring tools of other federal agencies that capture and analyze transiting data packets...
Hairy Potter писал(а):http://www.theglobeandmail.com/technolo ... e17956353/
About 900 social insurance numbers were stolen from the computers of the Canada Revenue Agency, the revenue department has confirmed, following a shutdown of its public online services caused by the Heartbleed Internet bug.
The federal tax agency has fully restored it online filing systems after blocking public access since April 9 due to the so-called Heartbleed bug.
The Canada Revenue Agency will push back the tax deadline to May 5 instead of April 30, to make up for the days when the security risk shuttered their website.
