The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Итоговые результаты расследования взлома сайта OpenSSL

03.01.2014 18:21

Разработчики OpenSSL опубликовали итоги расследования инцидента, в результате которого злоумышленники смогли совершить дефейс сайта проекта. Расследование показало, что, вопреки начальному предположению, атакующими не были эксплуатированы уязвимости в гипервизоре. Проникновение в виртуальное окружение с сайтом проекта OpenSSL было совершено при помощи гипервизора, но для атаки был совершен подбор ненадёжного пароля к системе хостинг-провайдера, что позволило атакующим воспользоваться штатными средствами управления гипервизором для получения контроля над выполняемыми виртуальными машинами.

Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено. Для предотвращения подобных атак в будущем предприняты надлежащие меры.

  1. Главная ссылка к новости (http://www.openssl.org/news/se...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, pavlinux (ok), 18:37, 03/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    > был совершен подбор ненадёжного пароля к системе хостинг-провайдера

    Построили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла, а ключ положили под коврик. :)

     
     
  • 2.4, хрюкотающий зелюк (?), 18:51, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Построили адцкую систему криптозащиты, фаерволы, 3D-аккаунтинг, бронированные стёкла,

    а ключ положили под коврик :)

    +1, именно так это и выглядит

     
     
     
    Часть нити удалена модератором

  • 4.11, chinarulezzz (ok), 19:43, 03/01/2014 [ответить]  
  • +/
    не оправдывай игнорирование такого простейшего правила безопасности.
     
     
  • 5.13, Anonplus (?), 19:58, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ на удалённый комментарий.

    Ко всяким форумам, где я обычный рядовой юзер - нет, у меня пароли не особо сложные.
    К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия выше, чем "рядовой юзер" - да, пароли длинные и содержащие буквы разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах, где я обладаю модераторскими полномочиями.

     
     
  • 6.15, arisu (ok), 22:13, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ко всяким форумам, где я обычный рядовой юзер - нет, у меня
    > пароли не особо сложные.
    > К хостингам, репозиториям и ко всем остальным местам, где у меня полномочия
    > выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
    > разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
    > моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
    > где я обладаю модераторскими полномочиями.

    кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы с поддержкой https — в особенности. какого дьявола вы не умеете просто принять от меня файлик с открытым ключом и больше никакой фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.

    ах, да: и в браузере удобный интерфейс к этому делу, конечно.

     
     
  • 7.16, Аноним (-), 23:03, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    >> выше, чем «рядовой юзер» — да, пароли длинные и содержащие буквы
    >> разного регистра, цифры и спецсимволы. Поскольку мне не хочется, чтобы от
    >> моего имени людям впаривали вредоносный код или подобрали пароль на ресурсах,
    >> где я обладаю модераторскими полномочиями.
    > кстати, до сих пор не понимаю, какого чёрта все эти сервисы не
    > умеют авторизовать меня по моему открытому ключу. да-да, как ssh. сервисы
    > с поддержкой https — в особенности. какого дьявола вы не умеете
    > просто принять от меня файлик с открытым ключом и больше никакой
    > фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.
    > ах, да: и в браузере удобный интерфейс к этому делу, конечно.

    Что это меняет? Дерево "доверия" на раз компрометируется (каждый божий год)

     
     
  • 8.19, arisu (ok), 23:06, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    при чём тут 171 дерево доверия 187 это просто удобно не надо выдумывать па... текст свёрнут, показать
     
     
  • 9.29, Аноним (-), 04:29, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это так Удобно Но если Вас взломают, то ... текст свёрнут, показать
     
     
  • 10.30, arisu (ok), 06:28, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    точно с таким же успехом упрут все мои пароли неужели кому-то кажется, что я бе... текст свёрнут, показать
     
     
  • 11.34, anonymous (??), 13:24, 06/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Правдиво и скромно, как всегда Ты вообще понимаешь что в микропроцессорах нет д... текст свёрнут, показать
     
  • 8.24, Пиу (ok), 01:58, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    wat или это новый стильный перевод выражения web of trust анивай, причем зде... текст свёрнут, показать
     
  • 7.22, Пиу (ok), 01:44, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > кстати, до сих пор не понимаю, какого чёрта все эти сервисы не умеют авторизовать меня по моему открытому ключу.

    адекватные сервисы уже давным давно асилили openid, где можно авторизироваться хоть по отпечатку пальца

     
     
  • 8.31, Куяврег (?), 06:59, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а по ключу ... текст свёрнут, показать
     
  • 7.33, Аноним (-), 00:20, 05/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы все было так просто. Клиентские сертификаты должны выпускать тем же CA, что и серверные, а это автоматически означает свой CA и соответствующий геморрой: для самих клиентов по добавлению CA в доверенные, усилия на эксплуатацию CA (инфраструктура, политики безопасности и т.д.). В общем-то, понятно, почему оно за пределы корпоративных сетей не вылезает, оно практически неприменимо для массовых публичных сервисов.
     
  • 7.37, AV (??), 20:47, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > с поддержкой https — в особенности. какого дьявола вы не умеете
    > просто принять от меня файлик с открытым ключом и больше никакой
    > фигни у меня не спрашивать? ваш-то сертификат у меня уже есть.

    А Вы свой закрытый ключ положите на флешке в ящике тумбочки на работе. Без защиты ключа паролем.

     
     
  • 8.38, arisu (ok), 01:18, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну, положу и что собственно, где-то там оно сейчас и лежит, безо всяких пароле... текст свёрнут, показать
     
     
  • 9.40, AV (??), 19:58, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И они знают об этом И, в результате, не делают авторизацию по ключу Я бы не ст... текст свёрнут, показать
     
     
  • 10.41, arisu (ok), 00:37, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    то ли дело 8212 Стойкие, Супернадёжные пароли ведь ничего же страшного, если... текст свёрнут, показать
     
  • 3.39, rew (??), 13:44, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Этот ковер задавал стиль всей комнаты.
     
  • 2.14, Аноним (-), 20:40, 03/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > бронированные стёкла, а ключ положили под коврик. :)

    Бывает и хуже - вон какой-то дипломат открыл сейф, мирно стоявший 20 лет, так что никто не знал что там. Ба-бах! Сработала система уничтожения секретных документов. Дипломат получил свое. Нефиг секретные документы хапать...

     

  • 1.7, dxd (?), 19:12, 03/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разрабам теперь стоит отсудить у своего хостера пару мегабаксов за "ущерб деловой репутации"
     
  • 1.12, Xasd (ok), 19:52, 03/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Для предотвращения подобных атак в будущем предприняты надлежащие меры.

    эт какие меры? наняли провайдеру костолома?

     
     
  • 2.32, Аноним (-), 21:51, 04/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > эт какие меры? наняли провайдеру костолома?

    Мотал страничку вниз, чтобы написать этот комментарий!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру