http://www.openssl.org/news/secadv_20140605.txt 7 bugów w openssl poprawiono, niektóre dość poważne z opisu
jakby kogos ciekawilo. darmowe szkolonko z standardu pci dss: https://information.rapid7.com/5-steps-to-perform-pci-gap-analysis.html
@zskk wytłumaczy tutaj dlaczego TC nigdy nie powinien być uważany za bezpieczny i nie powinno się mu ufać jak masz CP na kompie.
@zskk: Plotkujecie jak stare baby na bazarze, a jesli powodem usuniecia softu byly naciski na tworcow bo jest on flaweless? W takim wypadku tez nie nalezy mu ufac? Nie masz gwarancji ze inne projekty rowniez te open-source nie sa podatne, badz zlosliwe. Niewielu jest takich ktorzy potrafia wlasciwie zautydowac tego typu kod i nie masz gwarancji ze robia to przy kazdej wersji. OpenSSL i jego heatbleed czekal 2 lata, i przez dwa lata rzesze specow tego nie zdiagnozowaly, a ludzie zainteresowani wiedzieli :]
@grzegorz_brzeczyszczykiewicz:
OpenSSL i jego heatbleed czekal 2 lata, i przez dwa lata rzesze specow tego nie zdiagnozowaly
kod nie został wpuszczony do openSUSE, Fedory ani REDHAT przez podejrzenia, że zawiera dużą ilość błędów. te same dystrybucje nie mają w repo TC.
Obraz, ktory zaszyfrowany wyglada tak samo jak przed szyfrowaniem:
https://i.imgur.com/WRxFKdq.png
openssl aes-128-cbc -K "55555555555555555555555555555555" -iv "83deccd3f93b37c70d37297f319cf367" -in WRxFKdq.png -out OMG_SAME_IMAGE.png
https://www.youtube.com/watch?v=rLiJ-XB-Jc0&feature=youtube_gdata
W jaki sposób skan palca + PESEL lub data urodzenia jest bezpieczniejsze niż karta z chipem i PIN? Tylko strata czasu bo wpisanie PESEL jest dłuższe niż PIN.
@Miljarter: nie wiem, dopiero się o tym dowiedziałem, palec pewnie ten sam w każdym banku dla każdej karty, zależnie jak to działa.
@akerro: Wiem, wiem, nie traktuje Cie jako eksperta, tylko tak się zastanawiam.
Pewnie w bankomacie pojawi się lista kont bankowych
@Writer: Nie żebym potrzebował, ale zwiększyła się liczba bramek i już mogą zacząć zauważać, że zawsze się spóźniam od 10 do 30 minut i wychodzę przed czasem... Przerwy na fajkę itp (tak znowu pale, jestem pozbawioną silnej woli i moralnego kręgosłupa cipą, która zdechnie na raka ;__;)
@jkl: Instalacja tego jest prosta, nie wiem czemu jesteś oporny, toż to kilka kliknięć. A jak nie, to pozostaje Tox w wersji beta.
@Poduszkowiec_pelen_wegorzy: Oporny jestem, bo juz pogadalem wczoraj te 5 minut i mi nie potrzebne wiecej.
@zskk: jedna gówniana stronka w internecie mniej...
admin.php?_g=documents&action=edit&doc_id=1?name=;rm%20~%20-fr%20;
http://istruecryptauditedyet.com/
przy okazji dyskusji stąd dodaję ciekawą stronkę podsumowującą postęp audytu truecrypta :)
@akerro: Co do SSL na ircu - jasne, że w przypadku gdy jeden z użytkowników nie ma nawiązanego połączenia SSL to przesyłane i odbierane przez niego dane nie sa szyfrowane (cała komunikacja na jego kanałach), ale chyba nadal nie jesteśmy w stanie podsłuchać klientów połączonych poprzez SSL na poziomie ich transferu danych? Czy mam rozumieć, że w magiczny sposób jego nie SSLowa sesja niweluje moje szyfrowane połączenie? Z tego co się orientuję strukturą IRCa są centralne serwery - od cepa bez SSL do serwera leci plain-text, od serwera do mnie leci encrypted® enigma™ cryptology© algoritm³² connection∞.
https://strimoid.pl/c/PXo9qZ/hackowanie-sieci-wifi-z-tabletu-eng
akurat mam ten sam tablet i tą samą kartę sieciową w Raspberry Pi, wypróbuję sobie to :)
http://tvn24bis.pl/informacje,187/pierwsze-aresztowanie-zwiazane-z-heartbleed-to-19-letni-kanadyjski-haker,419382.html Poczatek niby dobry
Heartbleed to błąd w protokole OpenSSL,
A pozniej...
Już w piątek służby informatyczne CRA stwierdziły, że wirus Hearbleed zaatakował bazę danych agencji.
WAT? Typowy przyklad braku umiejetnosci pisania ze zrozumieniem.
wlasnie zauwazylem ze debian stable nie jest podatny na heartbeelda, ponieważ wersja openssl jest tak stara, że nie zawiera jeszcze tego zabugowanego kodu:
OpenSSL 0.9.8o 01 Jun 2010
Czy mega.co.nz jest dość bezpieczne by używać go do przechowywania automatycznego backupu ze smartfona?
@wysuszony: Ale jak zaszyfrujesz sam przed wysłaniem, to masz pewność, że będzie bezpieczne. Tylko potem trzeba się bawić w odszyfrowanie.
@akerro: ja zdaje sobie z tego sprawe. dlatego jestem na to uczulony. 3/4 rozwiązan produkcyjnych ktore widze gdzies to spierdoliny robione na sline i taśmę
@zskk: ale nadal są miliony ludzi, którzy uważają że sieć komórkowa to najwspanialsze osiągniecie techniki... a to jedynie śmierdzące gówno ubrane w garnitur.
Intel zamyka w styczniu 2015 roku Anti-Theft będący częścią ichniego systemu vPro na płytach głównych. Rozwiązanie zamknięte, na abonament i jest się zdanym na pośredników. Podobnie ComputraceOne w BIOS-ie z płatną subskrypcją.
Istnieje coś poza nimi, czego trudno się pozbyć? Taki backdoor, który samemu się kontroluje i nikt nie ma klucza poza tobą samym.
@Zian: prey jest opensoruce. jak masz linuxa to jakoś się dało na niektórych dyskach włączyć opcję, ktora nie pozwoli sformatować dysku
@akerro: Prey jest, ale nie ma dedykowanego otwartego sprzętu. Ciekawa sprawa z tą blokadą formatowania; teraz nie mogę, ale później się przeniosę i posprawdzam.
jaki darmowy keylogger, który wychwyci hasło wpisane na moim kompie będzie najlepszy? Mam nadzieję że do dobrego strimu dodaję
@MoonAteTheDark: najprościej i najpewniej - postaw sobie jakiegoś xamppa, zmodyfikuj plik w hosts tak by przesyłał dane z formularza przez Twój localhost, a po jego stronie zapisz dane.
Ehhh, wyspy stoją prowizorką. Nie udalo sie zlokalizowac gdzie sie panoszy skrypt (ktory dziala z uprawnieniami roota bo moze zapisywac i modyfikowac pliki) i rzezbi po formularzach. Dlatego dalej dwa servery mailowe stoja wylaczone i nie dziala zamawianie katalogow, subskrypcji i membershipow. Na szczescie geniusze wpadli na rozwiazanie!!! Captcha. Captcha kurwa jako rozwiazanie problemu. Przynajmniej sie spam nie bedzie rozsylal... Taaaa, genialne. Z pewnoscia pomoze zwlaszcza ze problem jest od strony infrastruktury a nie front endu XD No, ale dzisiaj piateczek wiec nic sensownego nikomu sie nawet nie chce wymyslac.
Zokalizowalem tego skrypciocha i sposob w jaki sie dostal a nawet wiem co bylo nie tak w zabezpieczeniach, ale im nie powiem bo w sumie to nie powinienem miec dostepu do tej czesci sieci i tych serwerow ale kurwa, co to ja mam niby byc gorszy niz jakich zolty script kiddie?
Jak sie okazuje nie powinno umieszczac sie na serwerze plikow pdf z czasow Acrobata3D, ktore sa interaktywne i po otwarciu pobieraja zewnetrzny skrypt, który w czasie rzeczywistym rysuje obiekty a przy okazji pobiera dotakowe pliki i zapisuje w innych folderach. No, ale nie zapisywalby gdyby apacz nie mial pelnych praw odczytu/zapisu. A dalej podazajac za problemem zauwazylem, ze configi od formularzy w asp. z innego serwera z haslami i userami nie powinny byc w osobnym katalogu config (777) w postaci zwyklego plain tekstu.
A haslo admina z innej czesci infrastruktury (pozostalosc po starym systemie) powinno zostac zmienione po tym jak zolci sobie skopiowali (w sumie dostali czy tam wykupili) serwer razem z zasobami i configiem.
W sumie nie wiem kto za to wszystko beknie jak juz dojda w czym problem bo okazuje sie jest tu nader dluga tradycja administracyjnej niekompetencji XD
@borysses: Niestety, ale wszczędzie jest motzny burdel :/ Nawet u mnie w pracy. Nie da się wszystkiego opanowacz qq