URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 93308
[ Назад ]

Исходное сообщение
"Информация о взломе OpenSSL.org"

Отправлено opennews , 29-Дек-13 09:36 
В сети появились (http://www.reddit.com/r/linux/comments/1tx0kf/opensslorg_web.../) сведения (https://news.ycombinator.com/item?id=6977948) о возможном взломе элементов web-инфраструктуры проекта OpenSSL, в рамках которого развивается популярная свободная  библиотека с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. При открытии сайта проекта пользователям выдавалась страница с информацией злоумышленников о совершённом дефейсе.


<center><a href="http://i.imgur.com/xS6FeVO.png"><img src="http://www.opennet.me/opennews/pics_base/0_1388294182.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>


Следует отметить, что следы дефейса наблюдались около двух часов назад. В настоящий момент сайты www.openssl.org, openssl.net и www.openssl.net отдают информацию в штатном режиме, а сайт openssl.org  не отвечает на запросы  и указывает на IP почтового сервера. Никакой официальной информации о взломе и деталей возникновения инцидента пока не опубликовано.

URL: https://news.ycombinator.com/item?id=6977948
Новость: http://www.opennet.me/opennews/art.shtml?num=38747


Содержание

Сообщения в этом обсуждении
"Информация о взломе OpenSSL.org"
Отправлено A.Stahl , 29-Дек-13 09:36 
Сейчас набегут аналитики, рассказывая про "сапожника без сапог", а потом выяснится, что взломали через какю-то дыру в РНР.

"Информация о взломе OpenSSL.org"
Отправлено Аноним , 29-Дек-13 09:48 
Да и вообще выяснится, что сайт не пострадал, а взломали DNS

"Информация о взломе OpenSSL.org"
Отправлено 3draven , 29-Дек-13 11:28 
Та не, выяснится, что скриншот нарисован в фотошопе :)

"Информация о взломе OpenSSL.org"
Отправлено daemontux , 29-Дек-13 15:03 
> Та не, выяснится, что скриншот нарисован в фотошопе :)

Не он нарисован на Pinta.


"Информация о взломе OpenSSL.org"
Отправлено Inome , 29-Дек-13 16:15 
Да не, всё куда проще - автор себе в hosts вбил ип OpenSSL.org и сделал переадресацию на 127.0.0.1:)

"Информация о взломе OpenSSL.org"
Отправлено pavlinux , 29-Дек-13 17:44 
http://i59.fastpic.ru/big/2013/1229/91/f57414ddb55fcdff062aa...

Пойду в твитыр писать!... Ж=)


"Информация о взломе OpenSSL.org"
Отправлено Аноний , 29-Дек-13 19:10 
Забыл замок зафотожопить, а в целом зачет ))

"Информация о взломе OpenSSL.org"
Отправлено pavlinux , 29-Дек-13 21:12 
> Забыл замок зафотожопить, а в целом зачет ))

Я установил им свежую версию SSL, там прозрачное шифрование.
   Прозрачное шифрование - это когда ты думаешь, что канал не шифруется,
а на самом деле шифруется ну или на оборот, в общем до конца еще никто не понял.


"Зафиксирован взлом сайта OpenSSL"
Отправлено бедный буратино , 29-Дек-13 11:52 
dns не нужно

340282366920938463463374607431768211456 адресов хватит для всех


"Зафиксирован взлом сайта OpenSSL"
Отправлено count0krsk , 29-Дек-13 12:11 
Ага, а 4мб памяти - любому пользователю шиндовс.
Китайцы свои тостеры подключат, луну заселят, и опять нат придется юзать ))

"Зафиксирован взлом сайта OpenSSL"
Отправлено Lain_13 , 29-Дек-13 13:14 
При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры подключить, но несколько сотен планет размером с землю отгрохать исключительно из оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных адресов.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 18:33 
> При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры
> подключить, но несколько сотен планет размером с землю отгрохать исключительно из
> оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг
> солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных
> адресов.

То же самое, помница, звездели про IPv4....


"Зафиксирован взлом сайта OpenSSL"
Отправлено Lain_13 , 30-Дек-13 20:11 
Разве?

Реальной техникой фиг у кого получится занять все эти адреса. Вот виртуальными машинами, наверное, можно.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:37 
>  Блин, ну вот почему именно онлайн игра? Почему не оффлайн?

Есть некая разница между 2^32 и 2^128. Если 2^32 можно было представить еще тогда, посмотрев на население земного шарика, то 2^128 - это 2^96 раз по 2^32. Хватит даже на наноботов, пожалуй, как минимум на первое время.


"Зафиксирован взлом сайта OpenSSL"
Отправлено pkunk , 29-Дек-13 13:31 
http://xkcd.com/865/

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 29-Дек-13 13:29 
Ты глупость сморозил. DNS выполняет немного другую функцию.

"Зафиксирован взлом сайта OpenSSL"
Отправлено бедный буратино , 29-Дек-13 16:10 
всё я правильно сказал

кто не может запомнить 340282366920938463463374607431768211456 адресов - вон из интернета


"Зафиксирован взлом сайта OpenSSL"
Отправлено тоже Аноним , 29-Дек-13 18:30 
"Но я не знаю, как идет сигнал,
Я не знаю качества связи,
Я не знаю, кто клал кабель,
Едва ли я когда-нибудь услышу тебя.
2.12.80.5.0.6,
2.12.80.5.0.6,
2.12.80.5.0.6,
Это твой номер, номер, номер, номер, номер, номер..."
(с) Гребень, 80-е годы прошлого века.

"Зафиксирован взлом сайта OpenSSL"
Отправлено 1 , 30-Дек-13 11:06 
212.85.0.6 ;-) же

"Зафиксирован взлом сайта OpenSSL"
Отправлено тоже Аноним , 30-Дек-13 11:35 
Ваш вариант устарел. Я же записал со слов исполнителя верно.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 12:16 
> Ваш вариант устарел. Я же записал со слов исполнителя верно.

Ну, тогда уж 2:12:80:5::6 ;)


"Зафиксирован взлом сайта OpenSSL"
Отправлено pavlinux , 30-Дек-13 14:33 
Ваще-то там поётся про MAC адрес 02:12:80:05:00:06,
префикс 2128 - это Oracle Corporation.
Гребень всё знал, но молчал!

"Зафиксирован взлом сайта OpenSSL"
Отправлено Потомок изобретателя колеса , 30-Дек-13 12:03 
Не пингуется, однако...

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:43 
> 212.85.0.6 ;-) же

Или 2.128.50.6. Или 21.28.50.6.


"Зафиксирован взлом сайта OpenSSL"
Отправлено тоже Аноним , 31-Дек-13 14:33 
Пришел аноним, переврал песню, которой никогда не слышал. Все как обычно...

"Зафиксирован взлом сайта OpenSSL"
Отправлено Анонымоус , 29-Дек-13 12:13 
На скриншоте упоминается слово https. Если взлом поизведен на уровне ДНС и запросы клиентов перенаправляются на подставной сайт, то далее этот подставной сайт должен передавать клиенту сертификат открытого ключа с тем же доменным именем, к которому обращался клиент, подписанный каким-либо известным СА. Причем, для продолжения обмена информацией с клиентом подставному сайту надо иметь не только этот сертификат (это-то не проблема, можно было бы отдавать тот же сертификат, который отдает настоящий сайт), но и соответствующий секретный ключ. И откуда подставной сайт это все возьмет? Так что тут дело серьезнее.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Максим , 29-Дек-13 12:20 
тут смотря кто скриншот сделал.

а то self signed - дело с концом.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Анонымоус , 29-Дек-13 12:31 
Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть эпичный fail. А если дело в том, что автор скриншота не обратил внимания на то, что сертификат не проходит проверку, то уже он ССЗБ.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 29-Дек-13 13:12 
> Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть
> эпичный fail. А если дело в том, что автор скриншота не
> обратил внимания на то, что сертификат не проходит проверку, то уже
> он ССЗБ.

В свете событий последнего года "самоподписанные сертификаты" - это единственное, чему ты можешь доверять. Мне проще сделать самоподписанный сертификат и раздать его СВОИМ пользователям, чем сверлить в безопасности своей системы дыру для Stuxnet.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Анонымоус , 29-Дек-13 14:43 
Для сайтов с небольшой аудиторией самоподписанные сертификаты + передача их своим людям из рук в руки -- это вполне приемлемый способ. Для сайтов же, аудитория которых -- весь земной шар (типа openssl.org) это совершенно не подходит.
Я хотел сказать, что при использовании https недостаточно лишь взлома на уровне ДНС. Нужна ещё добавка в виде безалаберного отношения к сертификатам или на стороне клиента, или на стороне сервера, или на стороне СА. Либо все же эти добрые турецкие хакеры взломали-таки сам сайт. В первом случае -- это (очередная) компрометация самой идеи SSL/TLS, во втором -- компрометация репутации одной конкретной организации, играющей, однако, не последнюю роль в развитии SSL/TLS. В общем, хорошего мало в любом случае.

"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 29-Дек-13 17:13 
> аудитория которых — весь земной шар (типа openssl.org) это совершенно
> не подходит.

действительно: ни mitm втихаря сделать, купив подставной сертификат, ни грохнуть кучу цепочек, сломав структуру RA. ужасно плохо жить без центральных authority!


"Зафиксирован взлом сайта OpenSSL"
Отправлено Danil , 30-Дек-13 09:27 
Если взломщики (хотя бы на время взлома) завладели доступом к DNS-зоне, им ничего не стоило заказать валидный сертификат для сайта.
Ведь это делается (1) через получение кода верификации на какой-нибудь "служебный" email типа webmaster@, postmaster@; (2) размещением странички на сайте с требуемым ЦС кодом; (3) как-нибудь ещё типа создания cname-записи с нужным кодом и т.д.
Всё это можно сделать, завладев зоной DNS.

Интересно было бы глянуть, что за сертификат при этом использовался и когда и кем он был выдан.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Анонымоус , 30-Дек-13 12:39 
Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.

"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 30-Дек-13 17:52 
> И компрометирует саму идею SSL/TLS.

как будто там ещё осталось что компрометировать.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 18:34 
> Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.

Она скомпрометирована изначально т.наз. деревом "доверия".


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:45 
> Подпадает под статью "халатность на стороне СА".

Вон DigiNotar попал. А некоторые вообще чуть ли не официально загоняют сертификаты для вендорья IDS и тому подобного добра для SSL-bumping'а.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Crazy Alex , 29-Дек-13 13:21 
замочек серенький на скриншоте...

"Зафиксирован взлом сайта OpenSSL"
Отправлено Адекват , 29-Дек-13 14:26 
> замочек серенький на скриншоте...

Интересное наблюдение, но я сейчас проверил файерфоксом - у меня тоже серенький, но браузер говорит что с https все ок.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Crazy Alex , 29-Дек-13 16:06 
то-то и оно, а для самоподписанного - красный был бы

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 09:35 
У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован. Замок зеленый на всех 2-х компьютерах, с которых захожу на него.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Адекват , 30-Дек-13 10:43 
> У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован.
> Замок зеленый на всех 2-х компьютерах, с которых захожу на него.

И даже в хромиумие/хроме :)) ?

Цвет не имеет значения - цвет это всего-лишь реакция браузера на сертификат, вернее доверяет ли он ему или нет. Смысл надежности защиты ssl строиться на том, что кто-то авторитетный выступает гарантом того, что сертификат отдаваемый клиенту сервером - является правильным и "тем самым".
К сожалению я плохо понимаю процедуру проверки сертификата на стороне клиента, в частности как проверяется соответствие доменного имени и записи CN в самом сертификате, а именно - идет ли резолвинг IP, с которого пришел сертификат в доменное имя и уже после этого эти значения сравниваются, или же вместе с сертификатом с сервера передается сразу доменное имя. Как можно обойти эти проверки, совершив атаку m-i-m, с подстановкой dns запросов и ответов.
но я бы хотел услышать от местных экспертов объяснений - в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанных :))

а по сабжу - скорее всего хакнули php по http, и внизапна(!!!) index.php одинаковый что для http, что для https.


"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 30-Дек-13 17:55 
> в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанных

за самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и дразнить: «вот же ты нищебродище и лошара! не смог за воздух заплатить!»


"Зафиксирован взлом сайта OpenSSL"
Отправлено Адекват , 30-Дек-13 18:19 
> за самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и
> дразнить: «вот же ты нищебродище и лошара! не смог за воздух
> заплатить!»

Ну зачем же сразу покупать ? можно бесплатно на один год получить сертификат, подписанный starcom'омом.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:46 
> сертификат, подписанный starcom'омом.

А потом какой-то иной CA выпишет сертификат на ваш сайт кому-нибудь еще. Ну там NSA, или ComodoHacker-у, или кто там еще дорвется...


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 02-Янв-14 13:07 
> И даже в хромиумие/хроме :)) ?

Да, именно в нем.


"Зафиксирован взлом сайта OpenSSL"
Отправлено ADMIN , 29-Дек-13 12:19 
CA проблема безопасности всей сайтов

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 29-Дек-13 13:13 
> CA проблема безопасности всей сайтов

Система сертификации сторонними центрами дискредитирована и не подлежит серьезному обсуждению.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Клыкастый , 29-Дек-13 15:53 
да, только вот замены пока не предложено. ну так чтобы ан масс.

"Зафиксирован взлом сайта OpenSSL"
Отправлено ADMIN , 30-Дек-13 08:55 
DNSSEC ?

"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 16:05 
> DNSSEC ?

Верный DNS-ответ - ещё не защита от MitM.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 30-Дек-13 10:33 
DANE - хороший кандидат.

"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 30-Дек-13 17:58 
> DANE - хороший кандидат.

да не. опять какая-то фигня централизованная, шило на мыло.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 30-Дек-13 20:12 
>> DANE - хороший кандидат.
> да не. опять какая-то фигня централизованная, шило на мыло.

Поясните, пожалуйста. Вы про контроль на корневыми DNS?


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 21:12 
> Поясните, пожалуйста. Вы про контроль на корневыми DNS?

Про все в целом.
1) Это не умееет и не будет уметь уйма клиентов еще уйму времени, так что со стороны MITM'а можно без палива задеградировать все до "просто DNS" и никто не заметит подвоха вот так сходу.
2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще у вас сайт отжать - фиг оспоришь.


"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 30-Дек-13 21:50 
спасибо.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 15:06 
>> Поясните, пожалуйста. Вы про контроль на корневыми DNS?
> Про все в целом.
> 1) Это не умееет и не будет уметь уйма клиентов еще уйму
> времени, так что со стороны MITM'а можно без палива задеградировать все
> до "просто DNS" и никто не заметит подвоха вот так сходу.

1. Причём тут «централизация»? [о которой собственно спрашивалось]
2. Когда-то и HTML5 не поддерживался тонной браузеров. А про DANE google заявили, что они уже реализовали поддержку для google-chrome.
3. Что такое «без палива задеградировать»? Я тупой человек, ответьте прямо, пожалуйста, в чём именно проблема с технической точки зрения?

> 2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще
> у вас сайт отжать - фиг оспоришь.

Прося «пояснить», я ожидал услышать в чём именно заключается проблема безопасности. Но так и не получил ответа. Получаю лишь ответ, что проблема есть.


Повторяю свой вопрос. Вся проблема в возможности контроля над корневыми DNS?


"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 31-Дек-13 18:21 
DANE enables the administrator of a domain name to certify the keys used in that domain's TLS servers by storing them in the Domain Name System (DNS).

какбэ всё, на этом месте можно останавливаться и не продолжать. если тебе всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда не приходи со своим Особо Ценным Мнением в темы о security.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 18:48 
> DANE enables the administrator of a domain name to certify the keys
> used in that domain's TLS servers by storing them in the
> Domain Name System (DNS).
> какбэ всё, на этом месте можно останавливаться и не продолжать.

Не согласен. Это как раз говорит о децентрализации и невозможности вмешаться при использовании DNSSEC без контроля над корневыми DNS... или наличия квантовых компьютеров и прочих iddqd.

> если тебе
> всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда
> не приходи со своим Особо Ценным Мнением в темы о security.

Да нет, мне-то всё понятно. DANE - это действительно весьма хороший кандидат. А вы до сих пор не сказали ниодного аргумента против. Только лишь говорите о наличии таких аргументов, а самих их не называете.


Повторяю свой вопрос. Вы боитесь контроля Большим братом корневых DNS-ов?


"Зафиксирован взлом сайта OpenSSL"
Отправлено arisu , 31-Дек-13 19:03 
порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты: централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание основ не платят.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 20:15 
> порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты:
> централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание
> основ не платят.

Какая к чёрту централизация? Это наоборот децентрализованная система.

В n-ный раз повторяю, вы говорите про возможность управления корневыми DNS?

Что такое "хреновая проверка подлинности"? Не хуже, чем то, что используется сейчас.


Вы до сих пор не сказали ниодного (!) аргумента против DANE. По-моему вы просто некомпетенты и решили выпендрнуться. Зря тратите своё и чужое время, говоря что технология несостоятельна, если не можете сказать ниодного аргумента или (при Великой лени) хотя бы дать ссылку чего почитать... или хотя бы ссылку на свои комментарии в другой ветке (если уж вы писали про это "100500 раз")


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:47 
> DANE - хороший кандидат.

Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать тоже сложно - угадать ключ такого размера, и чтоб приватный к нему в пару был... легче миллион в лотерею выиграть.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 15:14 
>> DANE - хороший кандидат.
> Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь
> хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать
> тоже сложно - угадать ключ такого размера, и чтоб приватный к
> нему в пару был... легче миллион в лотерею выиграть.

Мне кажется, эти вещи решают разные задачи. :)

… поправьте, пожалуйста, если ошибаюсь. :)


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 20:50 
> DANE - хороший кандидат.

Черта с два. В ближайшие 20 лет будет навалом тех кто это не умеет. Поэтому будет катить простейшая деградация до "просто DNS".


"Зафиксирован взлом сайта OpenSSL"
Отправлено Xaionaro , 31-Дек-13 15:12 
>> DANE - хороший кандидат.
> Черта с два. В ближайшие 20 лет будет навалом тех кто это
> не умеет.

На то он и «кандидат», что является хорошим вариантом, если его начнут поддерживать и использовать. А пока его не поддерживают и не используют, он особо-то и не помогает.

Лет 10 назад у меня не получалось доказывать людям, что gnu/linux - это жизнеспособная и полезная вещь. Люди пытались меня убедить, что она нах не нужна, так как «ей никто не пользуется» и «под неё нет никаких полезных программ» (что по сути одно и то же, по-моему).

> Поэтому будет катить простейшая деградация до "просто DNS".

Что такое «просто DNS»? Это отсутствие DNSSEC? bind9 умеет DNSSEC, а его использует огромное множество ISP для своих пользователей.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 29-Дек-13 15:59 
Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений. Даже если взлом - не вина собственно разработчиков, вся их работа не стоит ломаного гроша при такой реализации на практике.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 09:39 
> Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений.
> Даже если взлом - не вина собственно разработчиков, вся их работа
> не стоит ломаного гроша при такой реализации на практике.

Если валидный сертификат, выданный авторизованным центром (Stuxnet etc), возможно использовать в деструктивных целях, то идея использования сторонних центров, находящихся вне Вашего контроля, порочна изначально. Если хотите, архитектурно.

Если взломан DNS + социальная инженерия, то это совсем другое дело и к конфигурации безопасности сайта история не имеет отношения.


"Зафиксирован взлом сайта OpenSSL"
Отправлено Аноним , 30-Дек-13 14:21 
Нет, не о конфигурации сайта речь, не о конкретном взломе. О том, зачем вообще нужен openssl? Малые проекты можно защитить и по-другому, а крупные он не защищает просто потому, что в подавляющем большинстве случаев имеют место злоупотребления и халатность при выдаче сертификатов. Да и в принципе, текущая организация сети Интернет далека от.
Каким бы ни был взломоустойчивым замок, но если повесить его на калитку рядом с открытыми настеж воротами, а вокруг разбросать побольше ключей, толку от него не будет.

"Зафиксирован взлом сайта OpenSSL"
Отправлено Клыкастый , 29-Дек-13 15:53 
говорил год назад и повторю ещё раз. атаки на сервера инфраструктуры опенсорса будут всё чаще. это касается линуксоидов, фряшников, конкретных проектов - все в одной упряжке. цель этого отнюдь не дискредитация - поиск механизмов контроля и раздачи троянов. раз это не может быть с приемлемой частотой сделано по схеме венды (ну вот так вот, там где венда решето и адЪ, там *никсы и хорошо защищены и слабоуязвимы), значит будут пытаться найти другие  слабые места.

"Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"
Отправлено Аноним , 30-Дек-13 13:04 
Прочитал оставленное взломщиком послание и мне тут представилась аналогия: Вася из Усть-Пердыщенска приехал в Москву, пришел в Большой театр и в холле на стене нацарапал гвоздем "вася любит бальшой тятр" :)

"Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"
Отправлено anonymous , 30-Дек-13 15:33 
Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной Москвы и забитого Усть-Пердыщенска.

"Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"
Отправлено Af , 30-Дек-13 22:21 
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.

Не, речь про Васю.


"Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"
Отправлено Аноним , 02-Янв-14 13:11 
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.

Да, остроумно.
А Москва - это где?


"Зафиксирован взлом сайта OpenSSL"
Отправлено Виктор , 18-Фев-14 18:10 
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!

Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.

УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!

*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...

Контакты для связи:vict.corshunow2013@yandex.ru :ICQ-683626046  моб.тел. 89677459546
*
*
*
*
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!

Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.

УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!

*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...

Контакты для связи:vict.corshunow2013@yandex.ru:  ICQ-683626046  моб.тел. 89677459546
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-

-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-

-
-
-
-

-
-
-

-
-
-
-

-
-
-
-

-
-
-
-
-

-
-
-
-

-
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
-

-
-
-
-
-

-
-
-
-