The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Итоговые результаты расследования взлома сайта OpenSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от opennews (??) on 03-Янв-14, 18:34 
Разработчики OpenSSL опубликовали (http://www.openssl.org/news/secadv_hack.txt) итоги расследования инцидента, в результате которого злоумышленники смогли совершить дефейс (https://www.opennet.ru/opennews/art.shtml?num=38747) сайта проекта. Расследование показало, что, вопреки начальному предположению (https://www.opennet.ru/opennews/art.shtml?num=38758), атакующими не были эксплуатированы уязвимости в гипервизоре. Проникновение в виртуальное окружение с сайтом проекта OpenSSL было совершено при помощи гипервизора, но для атаки был совершен подбор ненадёжного пароля к системе хостинг-провайдера, что позволило атакующим воспользоваться штатными средствами управления гипервизором для получения контроля над выполняемыми виртуальными машинами.

Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено. Для предотвращения подобных атак в будущем предприняты надлежащие меры.

URL: http://www.openssl.org/news/secadv_hack.txt
Новость: https://www.opennet.ru/opennews/art.shtml?num=38782

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Итоговые результаты расследования взлома сайта OpenSSL"  +32 +/
Сообщение от pavlinux (ok) on 03-Янв-14, 18:37 
> был совершен подбор ненадёжного пароля к системе хостинг-провайдера

Построили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла, а ключ положили под коврик. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Итоговые результаты расследования взлома сайта OpenSSL"  +2 +/
Сообщение от хрюкотающий зелюк on 03-Янв-14, 18:51 
> Построили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла,

а ключ положили под коврик :)

+1, именно так это и выглядит

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору
Часть нити удалена модератором

11. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от chinarulezzz (ok) on 03-Янв-14, 19:43 
не оправдывай игнорирование такого простейшего правила безопасности.
Ответить | Правка | Наверх | Cообщить модератору

13. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Anonplus on 03-Янв-14, 19:58 
Ответ на удалённый комментарий.

Ко всяким форумам, где я обычный рядовой юзер - нет, у меня пароли не особо сложные.
К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия выше, чем "рядовой юзер" - да, пароли длинные и содержащие буквы разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах, где я обладаю модераторскими полномочиями.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Итоговые результаты расследования взлома сайта OpenSSL"  +2 +/
Сообщение от arisu (ok) on 03-Янв-14, 22:13 
> Ко всяким форумам, где я обычный рядовой юзер - нет, у меня
> пароли не особо сложные.
> К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия
> выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
> разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
> моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
> где я обладаю модераторскими полномочиями.

кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы с поддержкой https — в особенности. какого дьявола вы не умеете просто принять от меня файлик с открытым ключом и больше никакой фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.

ах, да: и в браузере удобный интерфейс к этому делу, конечно.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Итоговые результаты расследования взлома сайта OpenSSL"  –2 +/
Сообщение от Аноним (??) on 03-Янв-14, 23:03 
>[оверквотинг удален]
>> выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
>> разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
>> моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
>> где я обладаю модераторскими полномочиями.
> кстати, до сих пор не понимаю, какого чёрта все эти сервисы не
> умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы
> с поддержкой https — в особенности. какого дьявола вы не умеете
> просто принять от меня файлик с открытым ключом и больше никакой
> фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.
> ах, да: и в браузере удобный интерфейс к этому делу, конечно.

Что это меняет? Дерево "доверия" на раз компрометируется (каждый божий год)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Итоговые результаты расследования взлома сайта OpenSSL"  +1 +/
Сообщение от arisu (ok) on 03-Янв-14, 23:06 
> Что это меняет? Дерево «доверия» на раз компрометируется (каждый божий год)

при чём тут «дерево доверия»? это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключ можно раздавать хоть всем интернетам три раза и ещё раз после обеда — всё равно авторизоваться с ним смогу только я.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "Итоговые результаты расследования взлома сайта OpenSSL"  –1 +/
Сообщение от Аноним (??) on 04-Янв-14, 04:29 
>это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключ

Это так. Удобно. Но если Вас взломают, то...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Итоговые результаты расследования взлома сайта OpenSSL"  +2 +/
Сообщение от arisu (ok) on 04-Янв-14, 06:28 
>>это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключ
> Это так. Удобно. Но если Вас взломают, то…

точно с таким же успехом упрут все мои пароли. неужели кому-то кажется, что я безумный электрический мозг, запоминающий длинные последовательности символов, которые выплёвывает мой паролегенератор?

а вообще — пусть ломают, мне не жалко. возможно, узнают по пути пару-тройку интересных вещей о безопасности. а потом порезвятся в изолированном виртуальном сервере, на который пробивались с боями и матюгами. если мне не надоест к этому времени наблюдать и я не откачу сервер в чистое состояние.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "Итоговые результаты расследования взлома сайта OpenSSL"  –1 +/
Сообщение от anonymous (??) on 06-Янв-14, 13:24 
Правдиво и скромно, как всегда.

Ты вообще понимаешь что в микропроцессорах нет души, человечков и прочих литературных персонажей которые матерятся? Даже если твой комп не для быдла а от правильной тыблочной компании? Ломать тебя будет один универсальный ломальщик написаный и для твоего локалхоста и для королей мира, он одинаков. И он не матерится, он - программа. Ему вообще начхать кто ты. И да, ему не надоест.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

24. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Пиу (ok) on 04-Янв-14, 01:58 
> Дерево "доверия"

wat? или это новый стильный перевод выражения "web of trust"?

анивай, причем здесь это? здесь набор независимых сервисов, они не знают друг о друге

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Пиу (ok) on 04-Янв-14, 01:44 
> кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу.

адекватные сервисы уже давным давно асилили openid, где можно авторизироваться хоть по отпечатку пальца

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

31. "Итоговые результаты расследования взлома сайта OpenSSL"  +1 +/
Сообщение от Куяврег on 04-Янв-14, 06:59 
> хоть по отпечатку пальца

а по ключу?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Аноним (??) on 05-Янв-14, 00:20 
Если бы все было так просто. Клиентские сертификаты должны выпускать тем же CA, что и серверные, а это автоматически означает свой CA и соответствующий геморрой: для самих клиентов по добавлению CA в доверенные, усилия на эксплуатацию CA (инфраструктура, политики безопасности и т.д.). В общем-то, понятно, почему оно за пределы корпоративных сетей не вылезает, оно практически неприменимо для массовых публичных сервисов.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от AV (??) on 08-Янв-14, 20:47 
> с поддержкой https — в особенности. какого дьявола вы не умеете
> просто принять от меня файлик с открытым ключом и больше никакой
> фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.

А Вы свой закрытый ключ положите на флешке в ящике тумбочки на работе. Без защиты ключа паролем.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от arisu (ok) on 09-Янв-14, 01:18 
ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо всяких паролей. прямо рядом с моей кроватью, в тумбочке.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от AV (??) on 09-Янв-14, 19:58 
> ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо
> всяких паролей. прямо рядом с моей кроватью, в тумбочке.

И они знают об этом. И, в результате, не делают авторизацию по ключу. Я бы не стал, если бы отвечал за тему. За себя говорю.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от arisu (ok) on 10-Янв-14, 00:37 
то ли дело — Стойкие, Супернадёжные пароли! ведь ничего же страшного, если публично пароль засветить, правда? это же намного менее вероятно, нежели кража Злыми Злоумышленниками флэшки, лежащей в моей тумбочке, которая находится в моей комнате, которая находится в моей квартире и откуда посторонний её заберёт только если будет кража со взломом. ура! вот оно, крутое средство безопасности — пароли! ДАЁШЬ!

p.s. то ли дело — публичный ключ публично засветить. сразу поломают!

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

39. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от rew (??) on 09-Янв-14, 13:44 
Этот ковер задавал стиль всей комнаты.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Аноним (??) on 03-Янв-14, 20:40 
> бронированные стёкла, а ключ положили под коврик. :)

Бывает и хуже - вон какой-то дипломат открыл сейф, мирно стоявший 20 лет, так что никто не знал что там. Ба-бах! Сработала система уничтожения секретных документов. Дипломат получил свое. Нефиг секретные документы хапать...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от dxd on 03-Янв-14, 19:12 
Разрабам теперь стоит отсудить у своего хостера пару мегабаксов за "ущерб деловой репутации"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Итоговые результаты расследования взлома сайта OpenSSL"  +4 +/
Сообщение от Xasd (ok) on 03-Янв-14, 19:52 
> Для предотвращения подобных атак в будущем предприняты надлежащие меры.

эт какие меры? наняли провайдеру костолома?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Итоговые результаты расследования взлома сайта OpenSSL"  +/
Сообщение от Аноним (??) on 04-Янв-14, 21:51 
> эт какие меры? наняли провайдеру костолома?

Мотал страничку вниз, чтобы написать этот комментарий!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру