Разработчики OpenSSL опубликовали (http://www.openssl.org/news/secadv_hack.txt) итоги расследования инцидента, в результате которого злоумышленники смогли совершить дефейс (http://www.opennet.me/opennews/art.shtml?num=38747) сайта проекта. Расследование показало, что, вопреки начальному предположению (http://www.opennet.me/opennews/art.shtml?num=38758), атакующими не были эксплуатированы уязвимости в гипервизоре. Проникновение в виртуальное окружение с сайтом проекта OpenSSL было совершено при помощи гипервизора, но для атаки был совершен подбор ненадёжного пароля к системе хостинг-провайдера, что позволило атакующим воспользоваться штатными средствами управления гипервизором для получения контроля над выполняемыми виртуальными машинами.Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено. Для предотвращения подобных атак в будущем предприняты надлежащие меры.
URL: http://www.openssl.org/news/secadv_hack.txt
Новость: http://www.opennet.me/opennews/art.shtml?num=38782
> был совершен подбор ненадёжного пароля к системе хостинг-провайдераПостроили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла, а ключ положили под коврик. :)
> Построили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла,а ключ положили под коврик :)
+1, именно так это и выглядит
не оправдывай игнорирование такого простейшего правила безопасности.
Ответ на удалённый комментарий.Ко всяким форумам, где я обычный рядовой юзер - нет, у меня пароли не особо сложные.
К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия выше, чем "рядовой юзер" - да, пароли длинные и содержащие буквы разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах, где я обладаю модераторскими полномочиями.
> Ко всяким форумам, где я обычный рядовой юзер - нет, у меня
> пароли не особо сложные.
> К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия
> выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
> разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
> моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
> где я обладаю модераторскими полномочиями.кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы с поддержкой https — в особенности. какого дьявола вы не умеете просто принять от меня файлик с открытым ключом и больше никакой фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.
ах, да: и в браузере удобный интерфейс к этому делу, конечно.
>[оверквотинг удален]
>> выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
>> разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
>> моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
>> где я обладаю модераторскими полномочиями.
> кстати, до сих пор не понимаю, какого чёрта все эти сервисы не
> умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы
> с поддержкой https — в особенности. какого дьявола вы не умеете
> просто принять от меня файлик с открытым ключом и больше никакой
> фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.
> ах, да: и в браузере удобный интерфейс к этому делу, конечно.Что это меняет? Дерево "доверия" на раз компрометируется (каждый божий год)
> Что это меняет? Дерево «доверия» на раз компрометируется (каждый божий год)при чём тут «дерево доверия»? это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключ можно раздавать хоть всем интернетам три раза и ещё раз после обеда — всё равно авторизоваться с ним смогу только я.
>это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключЭто так. Удобно. Но если Вас взломают, то...
>>это просто удобно: не надо выдумывать пароль, не надо его никуда вводить, а публичный ключ
> Это так. Удобно. Но если Вас взломают, то…точно с таким же успехом упрут все мои пароли. неужели кому-то кажется, что я безумный электрический мозг, запоминающий длинные последовательности символов, которые выплёвывает мой паролегенератор?
а вообще — пусть ломают, мне не жалко. возможно, узнают по пути пару-тройку интересных вещей о безопасности. а потом порезвятся в изолированном виртуальном сервере, на который пробивались с боями и матюгами. если мне не надоест к этому времени наблюдать и я не откачу сервер в чистое состояние.
Правдиво и скромно, как всегда.Ты вообще понимаешь что в микропроцессорах нет души, человечков и прочих литературных персонажей которые матерятся? Даже если твой комп не для быдла а от правильной тыблочной компании? Ломать тебя будет один универсальный ломальщик написаный и для твоего локалхоста и для королей мира, он одинаков. И он не матерится, он - программа. Ему вообще начхать кто ты. И да, ему не надоест.
> Дерево "доверия"wat? или это новый стильный перевод выражения "web of trust"?
анивай, причем здесь это? здесь набор независимых сервисов, они не знают друг о друге
> кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу.адекватные сервисы уже давным давно асилили openid, где можно авторизироваться хоть по отпечатку пальца
> хоть по отпечатку пальцаа по ключу?
Если бы все было так просто. Клиентские сертификаты должны выпускать тем же CA, что и серверные, а это автоматически означает свой CA и соответствующий геморрой: для самих клиентов по добавлению CA в доверенные, усилия на эксплуатацию CA (инфраструктура, политики безопасности и т.д.). В общем-то, понятно, почему оно за пределы корпоративных сетей не вылезает, оно практически неприменимо для массовых публичных сервисов.
> с поддержкой https — в особенности. какого дьявола вы не умеете
> просто принять от меня файлик с открытым ключом и больше никакой
> фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.А Вы свой закрытый ключ положите на флешке в ящике тумбочки на работе. Без защиты ключа паролем.
ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо всяких паролей. прямо рядом с моей кроватью, в тумбочке.
> ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо
> всяких паролей. прямо рядом с моей кроватью, в тумбочке.И они знают об этом. И, в результате, не делают авторизацию по ключу. Я бы не стал, если бы отвечал за тему. За себя говорю.
то ли дело — Стойкие, Супернадёжные пароли! ведь ничего же страшного, если публично пароль засветить, правда? это же намного менее вероятно, нежели кража Злыми Злоумышленниками флэшки, лежащей в моей тумбочке, которая находится в моей комнате, которая находится в моей квартире и откуда посторонний её заберёт только если будет кража со взломом. ура! вот оно, крутое средство безопасности — пароли! ДАЁШЬ!p.s. то ли дело — публичный ключ публично засветить. сразу поломают!
Этот ковер задавал стиль всей комнаты.
> бронированные стёкла, а ключ положили под коврик. :)Бывает и хуже - вон какой-то дипломат открыл сейф, мирно стоявший 20 лет, так что никто не знал что там. Ба-бах! Сработала система уничтожения секретных документов. Дипломат получил свое. Нефиг секретные документы хапать...
Разрабам теперь стоит отсудить у своего хостера пару мегабаксов за "ущерб деловой репутации"
> Для предотвращения подобных атак в будущем предприняты надлежащие меры.эт какие меры? наняли провайдеру костолома?
> эт какие меры? наняли провайдеру костолома?Мотал страничку вниз, чтобы написать этот комментарий!