В сети появились (http://www.reddit.com/r/linux/comments/1tx0kf/opensslorg_web.../) сведения (https://news.ycombinator.com/item?id=6977948) о возможном взломе элементов web-инфраструктуры проекта OpenSSL, в рамках которого развивается популярная свободная библиотека с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. При открытии сайта проекта пользователям выдавалась страница с информацией злоумышленников о совершённом дефейсе.
<center><a href="http://i.imgur.com/xS6FeVO.png"><img src="http://www.opennet.me/opennews/pics_base/0_1388294182.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>
Следует отметить, что следы дефейса наблюдались около двух часов назад. В настоящий момент сайты www.openssl.org, openssl.net и www.openssl.net отдают информацию в штатном режиме, а сайт openssl.org не отвечает на запросы и указывает на IP почтового сервера. Никакой официальной информации о взломе и деталей возникновения инцидента пока не опубликовано.URL: https://news.ycombinator.com/item?id=6977948
Новость: http://www.opennet.me/opennews/art.shtml?num=38747
Сейчас набегут аналитики, рассказывая про "сапожника без сапог", а потом выяснится, что взломали через какю-то дыру в РНР.
Да и вообще выяснится, что сайт не пострадал, а взломали DNS
Та не, выяснится, что скриншот нарисован в фотошопе :)
> Та не, выяснится, что скриншот нарисован в фотошопе :)Не он нарисован на Pinta.
Да не, всё куда проще - автор себе в hosts вбил ип OpenSSL.org и сделал переадресацию на 127.0.0.1:)
http://i59.fastpic.ru/big/2013/1229/91/f57414ddb55fcdff062aa...Пойду в твитыр писать!... Ж=)
Забыл замок зафотожопить, а в целом зачет ))
> Забыл замок зафотожопить, а в целом зачет ))Я установил им свежую версию SSL, там прозрачное шифрование.
Прозрачное шифрование - это когда ты думаешь, что канал не шифруется,
а на самом деле шифруется ну или на оборот, в общем до конца еще никто не понял.
dns не нужно340282366920938463463374607431768211456 адресов хватит для всех
Ага, а 4мб памяти - любому пользователю шиндовс.
Китайцы свои тостеры подключат, луну заселят, и опять нат придется юзать ))
При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры подключить, но несколько сотен планет размером с землю отгрохать исключительно из оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных адресов.
> При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры
> подключить, но несколько сотен планет размером с землю отгрохать исключительно из
> оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг
> солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных
> адресов.То же самое, помница, звездели про IPv4....
Разве?Реальной техникой фиг у кого получится занять все эти адреса. Вот виртуальными машинами, наверное, можно.
> Блин, ну вот почему именно онлайн игра? Почему не оффлайн?Есть некая разница между 2^32 и 2^128. Если 2^32 можно было представить еще тогда, посмотрев на население земного шарика, то 2^128 - это 2^96 раз по 2^32. Хватит даже на наноботов, пожалуй, как минимум на первое время.
http://xkcd.com/865/
Ты глупость сморозил. DNS выполняет немного другую функцию.
всё я правильно сказалкто не может запомнить 340282366920938463463374607431768211456 адресов - вон из интернета
"Но я не знаю, как идет сигнал,
Я не знаю качества связи,
Я не знаю, кто клал кабель,
Едва ли я когда-нибудь услышу тебя.
2.12.80.5.0.6,
2.12.80.5.0.6,
2.12.80.5.0.6,
Это твой номер, номер, номер, номер, номер, номер..."
(с) Гребень, 80-е годы прошлого века.
212.85.0.6 ;-) же
Ваш вариант устарел. Я же записал со слов исполнителя верно.
> Ваш вариант устарел. Я же записал со слов исполнителя верно.Ну, тогда уж 2:12:80:5::6 ;)
Ваще-то там поётся про MAC адрес 02:12:80:05:00:06,
префикс 2128 - это Oracle Corporation.
Гребень всё знал, но молчал!
Не пингуется, однако...
> 212.85.0.6 ;-) жеИли 2.128.50.6. Или 21.28.50.6.
Пришел аноним, переврал песню, которой никогда не слышал. Все как обычно...
На скриншоте упоминается слово https. Если взлом поизведен на уровне ДНС и запросы клиентов перенаправляются на подставной сайт, то далее этот подставной сайт должен передавать клиенту сертификат открытого ключа с тем же доменным именем, к которому обращался клиент, подписанный каким-либо известным СА. Причем, для продолжения обмена информацией с клиентом подставному сайту надо иметь не только этот сертификат (это-то не проблема, можно было бы отдавать тот же сертификат, который отдает настоящий сайт), но и соответствующий секретный ключ. И откуда подставной сайт это все возьмет? Так что тут дело серьезнее.
тут смотря кто скриншот сделал.а то self signed - дело с концом.
Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть эпичный fail. А если дело в том, что автор скриншота не обратил внимания на то, что сертификат не проходит проверку, то уже он ССЗБ.
> Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть
> эпичный fail. А если дело в том, что автор скриншота не
> обратил внимания на то, что сертификат не проходит проверку, то уже
> он ССЗБ.В свете событий последнего года "самоподписанные сертификаты" - это единственное, чему ты можешь доверять. Мне проще сделать самоподписанный сертификат и раздать его СВОИМ пользователям, чем сверлить в безопасности своей системы дыру для Stuxnet.
Для сайтов с небольшой аудиторией самоподписанные сертификаты + передача их своим людям из рук в руки -- это вполне приемлемый способ. Для сайтов же, аудитория которых -- весь земной шар (типа openssl.org) это совершенно не подходит.
Я хотел сказать, что при использовании https недостаточно лишь взлома на уровне ДНС. Нужна ещё добавка в виде безалаберного отношения к сертификатам или на стороне клиента, или на стороне сервера, или на стороне СА. Либо все же эти добрые турецкие хакеры взломали-таки сам сайт. В первом случае -- это (очередная) компрометация самой идеи SSL/TLS, во втором -- компрометация репутации одной конкретной организации, играющей, однако, не последнюю роль в развитии SSL/TLS. В общем, хорошего мало в любом случае.
> аудитория которых — весь земной шар (типа openssl.org) это совершенно
> не подходит.действительно: ни mitm втихаря сделать, купив подставной сертификат, ни грохнуть кучу цепочек, сломав структуру RA. ужасно плохо жить без центральных authority!
Если взломщики (хотя бы на время взлома) завладели доступом к DNS-зоне, им ничего не стоило заказать валидный сертификат для сайта.
Ведь это делается (1) через получение кода верификации на какой-нибудь "служебный" email типа webmaster@, postmaster@; (2) размещением странички на сайте с требуемым ЦС кодом; (3) как-нибудь ещё типа создания cname-записи с нужным кодом и т.д.
Всё это можно сделать, завладев зоной DNS.Интересно было бы глянуть, что за сертификат при этом использовался и когда и кем он был выдан.
Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.
> И компрометирует саму идею SSL/TLS.как будто там ещё осталось что компрометировать.
> Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.Она скомпрометирована изначально т.наз. деревом "доверия".
> Подпадает под статью "халатность на стороне СА".Вон DigiNotar попал. А некоторые вообще чуть ли не официально загоняют сертификаты для вендорья IDS и тому подобного добра для SSL-bumping'а.
замочек серенький на скриншоте...
> замочек серенький на скриншоте...Интересное наблюдение, но я сейчас проверил файерфоксом - у меня тоже серенький, но браузер говорит что с https все ок.
то-то и оно, а для самоподписанного - красный был бы
У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован. Замок зеленый на всех 2-х компьютерах, с которых захожу на него.
> У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован.
> Замок зеленый на всех 2-х компьютерах, с которых захожу на него.И даже в хромиумие/хроме :)) ?
Цвет не имеет значения - цвет это всего-лишь реакция браузера на сертификат, вернее доверяет ли он ему или нет. Смысл надежности защиты ssl строиться на том, что кто-то авторитетный выступает гарантом того, что сертификат отдаваемый клиенту сервером - является правильным и "тем самым".
К сожалению я плохо понимаю процедуру проверки сертификата на стороне клиента, в частности как проверяется соответствие доменного имени и записи CN в самом сертификате, а именно - идет ли резолвинг IP, с которого пришел сертификат в доменное имя и уже после этого эти значения сравниваются, или же вместе с сертификатом с сервера передается сразу доменное имя. Как можно обойти эти проверки, совершив атаку m-i-m, с подстановкой dns запросов и ответов.
но я бы хотел услышать от местных экспертов объяснений - в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанных :))а по сабжу - скорее всего хакнули php по http, и внизапна(!!!) index.php одинаковый что для http, что для https.
> в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанныхза самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и дразнить: «вот же ты нищебродище и лошара! не смог за воздух заплатить!»
> за самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и
> дразнить: «вот же ты нищебродище и лошара! не смог за воздух
> заплатить!»Ну зачем же сразу покупать ? можно бесплатно на один год получить сертификат, подписанный starcom'омом.
> сертификат, подписанный starcom'омом.А потом какой-то иной CA выпишет сертификат на ваш сайт кому-нибудь еще. Ну там NSA, или ComodoHacker-у, или кто там еще дорвется...
> И даже в хромиумие/хроме :)) ?Да, именно в нем.
CA проблема безопасности всей сайтов
> CA проблема безопасности всей сайтовСистема сертификации сторонними центрами дискредитирована и не подлежит серьезному обсуждению.
да, только вот замены пока не предложено. ну так чтобы ан масс.
DNSSEC ?
> DNSSEC ?Верный DNS-ответ - ещё не защита от MitM.
DANE - хороший кандидат.
> DANE - хороший кандидат.да не. опять какая-то фигня централизованная, шило на мыло.
>> DANE - хороший кандидат.
> да не. опять какая-то фигня централизованная, шило на мыло.Поясните, пожалуйста. Вы про контроль на корневыми DNS?
> Поясните, пожалуйста. Вы про контроль на корневыми DNS?Про все в целом.
1) Это не умееет и не будет уметь уйма клиентов еще уйму времени, так что со стороны MITM'а можно без палива задеградировать все до "просто DNS" и никто не заметит подвоха вот так сходу.
2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще у вас сайт отжать - фиг оспоришь.
спасибо.
>> Поясните, пожалуйста. Вы про контроль на корневыми DNS?
> Про все в целом.
> 1) Это не умееет и не будет уметь уйма клиентов еще уйму
> времени, так что со стороны MITM'а можно без палива задеградировать все
> до "просто DNS" и никто не заметит подвоха вот так сходу.1. Причём тут «централизация»? [о которой собственно спрашивалось]
2. Когда-то и HTML5 не поддерживался тонной браузеров. А про DANE google заявили, что они уже реализовали поддержку для google-chrome.
3. Что такое «без палива задеградировать»? Я тупой человек, ответьте прямо, пожалуйста, в чём именно проблема с технической точки зрения?> 2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще
> у вас сайт отжать - фиг оспоришь.Прося «пояснить», я ожидал услышать в чём именно заключается проблема безопасности. Но так и не получил ответа. Получаю лишь ответ, что проблема есть.
Повторяю свой вопрос. Вся проблема в возможности контроля над корневыми DNS?
DANE enables the administrator of a domain name to certify the keys used in that domain's TLS servers by storing them in the Domain Name System (DNS).какбэ всё, на этом месте можно останавливаться и не продолжать. если тебе всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда не приходи со своим Особо Ценным Мнением в темы о security.
> DANE enables the administrator of a domain name to certify the keys
> used in that domain's TLS servers by storing them in the
> Domain Name System (DNS).
> какбэ всё, на этом месте можно останавливаться и не продолжать.Не согласен. Это как раз говорит о децентрализации и невозможности вмешаться при использовании DNSSEC без контроля над корневыми DNS... или наличия квантовых компьютеров и прочих iddqd.
> если тебе
> всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда
> не приходи со своим Особо Ценным Мнением в темы о security.Да нет, мне-то всё понятно. DANE - это действительно весьма хороший кандидат. А вы до сих пор не сказали ниодного аргумента против. Только лишь говорите о наличии таких аргументов, а самих их не называете.
Повторяю свой вопрос. Вы боитесь контроля Большим братом корневых DNS-ов?
порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты: централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание основ не платят.
> порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты:
> централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание
> основ не платят.Какая к чёрту централизация? Это наоборот децентрализованная система.
В n-ный раз повторяю, вы говорите про возможность управления корневыми DNS?
Что такое "хреновая проверка подлинности"? Не хуже, чем то, что используется сейчас.
Вы до сих пор не сказали ниодного (!) аргумента против DANE. По-моему вы просто некомпетенты и решили выпендрнуться. Зря тратите своё и чужое время, говоря что технология несостоятельна, если не можете сказать ниодного аргумента или (при Великой лени) хотя бы дать ссылку чего почитать... или хотя бы ссылку на свои комментарии в другой ветке (если уж вы писали про это "100500 раз")
> DANE - хороший кандидат.Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать тоже сложно - угадать ключ такого размера, и чтоб приватный к нему в пару был... легче миллион в лотерею выиграть.
>> DANE - хороший кандидат.
> Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь
> хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать
> тоже сложно - угадать ключ такого размера, и чтоб приватный к
> нему в пару был... легче миллион в лотерею выиграть.Мне кажется, эти вещи решают разные задачи. :)
… поправьте, пожалуйста, если ошибаюсь. :)
> DANE - хороший кандидат.Черта с два. В ближайшие 20 лет будет навалом тех кто это не умеет. Поэтому будет катить простейшая деградация до "просто DNS".
>> DANE - хороший кандидат.
> Черта с два. В ближайшие 20 лет будет навалом тех кто это
> не умеет.На то он и «кандидат», что является хорошим вариантом, если его начнут поддерживать и использовать. А пока его не поддерживают и не используют, он особо-то и не помогает.
Лет 10 назад у меня не получалось доказывать людям, что gnu/linux - это жизнеспособная и полезная вещь. Люди пытались меня убедить, что она нах не нужна, так как «ей никто не пользуется» и «под неё нет никаких полезных программ» (что по сути одно и то же, по-моему).
> Поэтому будет катить простейшая деградация до "просто DNS".
Что такое «просто DNS»? Это отсутствие DNSSEC? bind9 умеет DNSSEC, а его использует огромное множество ISP для своих пользователей.
Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений. Даже если взлом - не вина собственно разработчиков, вся их работа не стоит ломаного гроша при такой реализации на практике.
> Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений.
> Даже если взлом - не вина собственно разработчиков, вся их работа
> не стоит ломаного гроша при такой реализации на практике.Если валидный сертификат, выданный авторизованным центром (Stuxnet etc), возможно использовать в деструктивных целях, то идея использования сторонних центров, находящихся вне Вашего контроля, порочна изначально. Если хотите, архитектурно.
Если взломан DNS + социальная инженерия, то это совсем другое дело и к конфигурации безопасности сайта история не имеет отношения.
Нет, не о конфигурации сайта речь, не о конкретном взломе. О том, зачем вообще нужен openssl? Малые проекты можно защитить и по-другому, а крупные он не защищает просто потому, что в подавляющем большинстве случаев имеют место злоупотребления и халатность при выдаче сертификатов. Да и в принципе, текущая организация сети Интернет далека от.
Каким бы ни был взломоустойчивым замок, но если повесить его на калитку рядом с открытыми настеж воротами, а вокруг разбросать побольше ключей, толку от него не будет.
говорил год назад и повторю ещё раз. атаки на сервера инфраструктуры опенсорса будут всё чаще. это касается линуксоидов, фряшников, конкретных проектов - все в одной упряжке. цель этого отнюдь не дискредитация - поиск механизмов контроля и раздачи троянов. раз это не может быть с приемлемой частотой сделано по схеме венды (ну вот так вот, там где венда решето и адЪ, там *никсы и хорошо защищены и слабоуязвимы), значит будут пытаться найти другие слабые места.
Прочитал оставленное взломщиком послание и мне тут представилась аналогия: Вася из Усть-Пердыщенска приехал в Москву, пришел в Большой театр и в холле на стене нацарапал гвоздем "вася любит бальшой тятр" :)
Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной Москвы и забитого Усть-Пердыщенска.
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.Не, речь про Васю.
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.Да, остроумно.
А Москва - это где?
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!
*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...Контакты для связи:vict.corshunow2013@yandex.ru :ICQ-683626046 моб.тел. 89677459546
*
*
*
*
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!
*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...Контакты для связи:vict.corshunow2013@yandex.ru: ICQ-683626046 моб.тел. 89677459546
-
-
-
-
-
-
-
-
--
-
-
-
-
--
-
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
--
-
-
--
-
-
-
-
-
-
-
-
-
-
-
-
-
-
--
-
-
--
-
--
-
-
--
-
-
--
-
-
-
--
-
-
--
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
--
-
-
-
--
-
-
-