abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 09:28 | Nová verze
Byla vydána nová stabilní verze 1.6.0 webového serveru a reverzní proxy nginx. Verze 1.6.0 vychází přesně rok po verzi 1.4.0 (zprávička) a přináší například různá vylepšení SSL nebo podporu SPDY 3.1. Podrobnosti v seznamu změn (CHANGES-1.6). Popularita nginx roste. Dle W3Techs je zastoupení nginx na 1000 nejvytíženějších webech dokonce vyšší, než zastoupení Apache.
Ladislav Hagara | Komentářů: 0
včera 22:40 | Zajímavý článek
Byl zveřejněn popis závažné chyby v protokolu TLS. Chyba využívá tří druhů handshaku používaných v TLS a (ne zrovna přímočaré) interakce mezi nimi. Útočníkovi umožňuje provést omezený MITM, totiž může navázat spojení, vložit do něj data a spojení nechat autentizovat. Mnoho klientů bude tato data považovat za autentická. Problém se netýká jedné implementace, jde o problém samotného protokolu, kde se tiše předpokládá že vyjednaný klíč (Master Secret) je unikátní, a mnoho implementací na to spoléhá. Shrnutí problému na blogu Matthewa Greena.
Lyco | Komentářů: 2
včera 17:21 | Pozvánky
Dnes (čtvrtek 24. dubna) v 20:00 v rámci CodeNight v Brmlabu proběhne přednáška "OpenGL a shadery", zaměřený na naprosté začátečníky (potřeba je jen základní znalost C/C++ a matematiky na úrovni střední školy). Talk bude v češtině nebo v angličtině (pokud bude alespoň jeden zájemce nemluvící česky). Shrnutí: základy programovatelné pipeline, souřadnicové systémy, model-view-projection matice, vertex a fragment shadery, GLSL, ukázka jednoduchého kódu. Slidy a záznam budou k dispozici.
Bluebear | Komentářů: 3
včera 01:23 | Komunita
Po písmenech R, S a T následuje U. Po Raring Ringtail, Saucy Salamander a Trusty Tahr následuje Utopic Unicorn. Mark Shuttleworth oznámil, že příští Ubuntu ponese jméno Utopic Unicorn.
Ladislav Hagara | Komentářů: 38
23.4. 01:23 | Zajímavý software
Google vydal verzi 1.0.5 svého Google Web Designeru (GWD). Jednou z novinek je podpora Linuxu, konkrétně linuxových distribucí Ubuntu, Debian, openSUSE a Fedora. Dle nápovědy: Google Web Designer je pokročilá webová aplikace vytvořená pomocí technologií HTML5, která umožňuje návrh a vytváření reklam HTML5 a jiného webového obsahu pomocí integrovaného vizuálního a kódového rozhraní.
Ladislav Hagara | Komentářů: 17
22.4. 21:08 | Nová verze
Vyšlo GCC 4.9.0. Přináší podporu OpenMP 4.0, hodně práce na ještě nevydaném C++1y, vylepšení pro platformy ARM, lepší schopnosti optimalizace nebo UndefinedBehaviorSanitizer (nový detektor nedefinovaného chování).
Luboš Doležel (Doli) | Komentářů: 25
22.4. 14:55 | Zajímavý projekt
Vývojáři OpenBSD nedávno forkli OpenSSL za účelem pročištění, odlehčení a opravy chyb. Nyní má tento projekt jméno a oficiální stránku. Po dokončení "čistky" je plánována i podpora jiných operačních systémů (kromě OpenBSD).
Hans1024 | Komentářů: 84
22.4. 14:46 | Pozvánky
Jarní konference EurOpen 2014 v Herbertově je otevřena pro přihlášení. Zaměření konference je Cloud, DNSSEC a embedded systémy. Více informací a přihlášení na www.europen.cz
cuba | Komentářů: 0
22.4. 11:01 | Komunita
Google zveřejnil seznam studentů přijatých do letošního Google Summer of Code. Z celkového počtu 4420 přihlášených studentů bylo vybráno 1307 studentů. Přehled studentů, projektů, organizací a mentorů je k dispozici ve zveřejněné tabulce. Například pro KDE bude pracovat 42 studentů, pro Apache Software Foundation 39 studentů, pro GNOME 35 studentů, pro openSUSE 14 studentů, pro Fedora Project 10 studentů, …
Ladislav Hagara | Komentářů: 8
19.4. 01:01 | Zajímavý článek
Společnost Coverity vydala Coverity Scan Open Source Report za rok 2013. Dle nejnovější zprávy je například v open-source C/C++ projektech průměrně 0,59 chyby na 1000 řádků kódu, kdežto u proprietárních projektů je to 0,79 chyby na 1000 řádků kódu. Službu Coverity Scan využívá více než 1700 open-source projektů.
Ladislav Hagara | Komentářů: 11
Máte na svém notebooku zašifrovaný pevný disk?
 (84%)
 (16%)
Celkem 1200 hlasů
 Komentářů: 22, poslední 20.4. 20:15
Rozcestník
Reklama
Autoškola testy online Levný benzín

Linode.com kompromitován

Včera došlo k cílenému útoku na osm klientů hostingové společnosti Linode.com. Útočníci odcizili množství citlivých dat a také cca. 45.000 bitcoinů (zhruba 4,5 mil. Kč). O případu informuje portál bitcoinmedia.com. K případu se již vyjádřil také Linode.

2.3.2012 23:14 | slush | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

3.3.2012 00:02 l4m4
Rozbalit Rozbalit vše Re: Linode.com kompromitován
Jak to, že existuje nějaká centrála, kterou když někdo hackne, tak spousta lidí přijde o spoustu bitcoinů?

Není to přesně to, co má být podle proponentů nemožné?
pepe_ avatar 3.3.2012 00:05 pepe_ | skóre: 44
Rozbalit Rozbalit vše Re: Linode.com kompromitován

Nic neni nemožné aaaa vlastně to už tu bylo u TOYO....

3.3.2012 00:11 l4m4
Rozbalit Rozbalit vše Re: Linode.com kompromitován
Moje otázka nebyla rétorická. Nevím, co na tom hostingu běželo a jaké uspořádání věcí to umožnilo, tj. kde a jak se ona decentralizace střetla s realitou a pohodlností. Jsem si ale celkem jist, že takový hosting nemá pojištění vkladů...
vlastikroot avatar 3.3.2012 01:06 vlastikroot | skóre: 22 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Linode.com kompromitován
To nemá s bitcoinem moc společného, spíše je to hacknutý hosting. Útočníci si mohli vzít co chtěli, měli rootovský přístup do jednotlivých VPS. A našli bitcoiny. To je pak věřit nějakému hostingu a mít u něj citlivá data :-D
Sg1-game | We will destroys the Christian's legion ... and the cross, will be inverted | IP 88.83.187.5
Jendа avatar 3.3.2012 01:09 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Linode.com kompromitován
V hyperkostce:
  • Pokud se rozhodneš těžit v poolu, odměny z vytěžených bloků se shromažďují v tomto poolu a pak jsou ti posílány - typicky pokaždé, když tvoje odměna přesáhne nějakou částku (0,1-10 BTC, dá se to nastavit). To znamená, že když má pool 5000 uživatelů a mají nastavené posílání pokaždé, když se jim nahromadí 1 BTC, pool má průměrně 2500 BTC „někde bokem“ uloženo. Tady měl pool 3094 BTC. Už nemá.
  • Pokud chceš spekulovat, tedy pardon, používat některé online směnárny, funguje to často tak, že si tam pošleš nějaký kredit v BTC a ten až následně, ve vhodné chvíli, směníš za dolary. Dtto opačně, pošleš si tam dolary, směníš za BTC a až potom si ty BTC můžeš poslat k sobě. Navíc dost uživatelů používá směnárnu jako „on-line peněženku“, takže vlastně BTC nemají u sebe, ale když potřebují něco zaplatit, pošlou tam BTC rovnou z účtu ve směnárně. Lamy, které vyzkoušely Bitcoin kvůli tomu, že na Blackmarketu je levný fet, si nebudou držet peněženku na vlastním počítači, protože tomu nerozumí, nechce se jim a neumí si to zabezpečit. Výsledkem je, že ve směnárně leží docela slušné peníze, v tomto případě v přepočtu čtyři megakoruny.
  • Ve Faucetu bylo jenom 5 BTC, což nás teď nezajímá.
  • Suma sumárum:
    • Jeden z největších poolů, který protočí miliony korun týdně, má privátní klíče uložené na VPS za dvacet dolarů.
    • Není moudré, když má jeden pool takový market share (jako ne, že bych to Markovi nepřál, ale je to SPOF).
    • Lidi věří směnárnám a on-line peněženkám fakt dost. Ta směnárna nebyla největší a přitom tam byly čtyři miliony korun v BTC + něco v dolarech.
    • Ani veliký VPS poskytovatel není zárukou, že nebude mít v systému díru.
/* Use private key for padding if we don't have enough entropy */
Jendа avatar 3.3.2012 01:14 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Linode.com kompromitován
# Jeden z největších poolů, který protočí miliony korun týdně, má privátní klíče uložené na VPS za dvacet dolarů.
Omlouvám se, když to teď čtu, zní to příliš rejpavě. Asi jsem to mohl napsat honosněji ;-).

Obecně tyhle věci se stávají. A pro všechny strany je to vždycky zkušenost k nezaplacení. Btw.
<ezdiy> slush: njn, me treba fascinoval wedos
<ezdiy> kdyz klonoval image debianu s ~/.ssh/id_rsa.pub + id_rsa
<ezdiy> si dostal box, a hele copa to tu mame? zkusis ssh vedle, lol
/* Use private key for padding if we don't have enough entropy */
5.3.2012 17:00 Sten
Rozbalit Rozbalit vše Re: Linode.com kompromitován
Mě se minulý týden podařilo omylem udělat moc pěkný MITM na jednoho klienta Wedosu: stačilo nastavit jeho IP adresu.
3.3.2012 01:20 slush | skóre: 9 | blog: slushuv_koutek
Rozbalit Rozbalit vše Re: Linode.com kompromitován
  • Jeden z největších poolů, který protočí miliony korun týdně, má privátní klíče uložené na VPS za dvacet dolarů.
  • K tomuhle dve veci.

    a) Ano - mozna protoci, ale ne vydela. Bitcoin pool je business s velkym riskem a celkem malym premiem (nebudu rikat, kolik me staly podzimni DDoS utoky penez a zdravi).

    b) To, ze to byl VPS provider je vdecne tema ke kritice. O to ale prece nejde, utocnik mel evidentne super admin pristup do cele infrastruktury, tudiz se to same mohlo stat treba se softwarovym KVM, ktere mam na hlavnim serveru (a platim za nej radove vic nez 20$). Dokud clovek neprovozuje vlastni serverovnu, vzdycky musi nekomu duverovat. Tj. argument "VPS za 20$" je uplne OT.
  • Není moudré, když má jeden pool takový market share (jako ne, že bych to Markovi nepřál, ale je to SPOF).
  • Promin, ale to je taky OT. Fakt, ze to byl pool nehraje zadnou roli. Viz. Bitcoinica. Navic nedoslo k zadnemu poklesu hashrate.
    Jendа avatar 3.3.2012 01:53 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Sorry, asi jsem to trochu přepísk :).

    Myslím si, že takovou službu by bylo nejlepší provozovat na dedikovaném serveru, kam máš přístup přímo na železo jen ty. Přeci jen prolomit se z KVM hypervizoru nebo do infrastruktury poskytovatele VPS je pořád jednodušší (a hlavně anonymnější), než fyzicky přijít k (zamčenému) racku a něco tam udělat tak, aby si toho nikdo nevšiml.

    Obecně jsem narážel na „spousta lidí přijde o spoustu bitcoinů“ od l4m4. Prostě když se tohle (pooly, peněženky, směnárny, VPS provideři) začne centralizovat, tak se občas stane velký průser. Jinak by se stávalo málo malých problémů s mnohem menší škodou. Chápu, že částečná centralizace má zase jiné výhody.
    /* Use private key for padding if we don't have enough entropy */
    3.3.2012 10:17 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    tudiz se to same mohlo stat treba se softwarovym KVM, ktere mam na hlavnim serveru (a platim za nej radove vic nez 20$)

    Nebyla to náhodou díra nějakého webového rozhraní s managementem VPS, spíše než prolomení bariéry host<->guest? Tedy "jednoduchá" chyba administrace (která by se na headless hypervisoru neprojevila) spíše než kritická díra v KVM?

    Víra je firma si myslela, že něco je pravdivé. LMAO -- “zlehčovat mého osla”
    3.3.2012 13:26 slush | skóre: 9 | blog: slushuv_koutek
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Pod KVM myslim vzdalene ovladani serveru, ne virtualizaci:). V pripade Linode doslo ke zneuziti administratorskeho pristupu, proto mluvim o tom, ze to same se muze stat i u dedikovanych serveru za stovky daru mesicne...
    3.3.2012 13:28 slush | skóre: 9 | blog: slushuv_koutek
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    ...stovky dolaru mesicne, pardon.
    3.3.2012 01:11 slush | skóre: 9 | blog: slushuv_koutek
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Zadne centralni misto opravdu neexistuje. V tomhle pripade slo o bitcoiny konkretnich webovych sluzeb, ktere byly hostovane na Linode. V mem pripade mirror bitcoin poolu (3094 BTC v "operacni" penezence bylo urceno pro pravidelne vyplaty mineru), Gavin u Linode hostoval Bitcoin Faucet (jednoducha aplikace pro venovani maleho mnozstvi bitcoinu zacatecnikum) a Bitcoinica (de facto bitcoinova burza) na Linode hostovala svou online penezenku pro deposity a vyplaty.

    Smutne na tomhle je, ze utocnici meli pravdepodobne (dukazy nemam, ale vyplyva to ze situace) kontrolu nad celou Linode farmou delsi dobu, protoze meli cas vytipovat si konkretni ucty, ktere hostuji bitcoinove aplikace, a pak provedli synchronizovany uder. Takze to znamena, ze v Linode existuji superuzivatelske ucty, ktere maji neomezenou kontrolu nad celym systemem. Podle vyjadreni Linode doslo pouze k napraveni pristupovych prav, aby se podobny incident neopakoval (pravdepodobne proste zablokovali leaknuty ucet).

    Dulezite je zduraznit, ze utok opravdu nevyuzival zadnou specialni vlastnost Bitcoinu, pouze utocnici usoudili, ze ukrast bitcoiny bude mit nejvetsi pomer cena/vykon. A opravdu, kdo si za cca hodinovou akci vydela ctvrt milionu dolaru? :-)
    Jendа avatar 3.3.2012 01:17 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Smutne na tomhle je, ze utocnici meli pravdepodobne (dukazy nemam, ale vyplyva to ze situace) kontrolu nad celou Linode farmou delsi dobu, protoze meli cas vytipovat si konkretni ucty, ktere hostuji bitcoinove aplikace, a pak provedli synchronizovany uder.
    Jako fakt nevím, jak to funguje, ale jistý poskytovatel VPS má v databázi u účtu vždycky uložené i alokované IP adresy. Takže se udělá dig mining.bitcoin.cz a jeden SELECT a je „vytipováno“.

    Spíš mě překvapilo, že si odnesl jenom Bitcoiny. Jasně, 4 mega je slušná částka, ale mít pod palcem takhle ohromného poskytovatele…
    /* Use private key for padding if we don't have enough entropy */
    3.3.2012 01:24 slush | skóre: 9 | blog: slushuv_koutek
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Jako fakt nevím, jak to funguje, ale jistý poskytovatel VPS má v databázi u účtu vždycky uložené i alokované IP adresy. Takže se udělá dig mining.bitcoin.cz a jeden SELECT a je „vytipováno“.
    Neni duvod domnivat se, ze jini provideri (i ne-VPS) to maji reseno jinak. Je to prece nejjednodussi a nejracionalnejsi, ne? :-) Fakt je, ze zadny system nejde 100% zabezpecit proti insider utoku.
    Spíš mě překvapilo, že si odnesl jenom Bitcoiny. Jasně, 4 mega je slušná částka, ale mít pod palcem takhle ohromného poskytovatele…
    Me to neprevakpuje, byla to cista prace a za par minut byli pryc. Proc se zdrzovat s daty, ktere maji vetsinou dost pochybnou hodnotu, pokud se je clovek nepokusi nekomu prodat.
    3.3.2012 18:02 Tomáš
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Sorry za blbou poznámku, ale připadá mi to jako zpráva z dubna (asi loňského roku), kdy se psalo, že crackeři napadli servery Debianu a ukradli zdrojové kódy serveru.

    Může mi někdo říct, jaká přidaná hodnota je v tom, když najdu nějaký ten bitcoin? Co s tím může dělat ten, kdo ho ode mě koupí za dolary? Proč by ho vlastně někdo chtěl koupit? Otázka není myšlena jako začátek flame, spíš by mě zajímalo stručné vysvětlení nebo odkaz na ne moc dlouhé vysvětlení.
    Jendа avatar 3.3.2012 18:06 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Je to podobné jako ptát se:

    Může mi někdo říct, jaká přidaná hodnota je v tom, když najdu nějaký ten dolar? Co s tím může dělat ten, kdo ho ode mě koupí za zlato? Proč by ho vlastně někdo chtěl koupit?

    Bitcoin je prostě platidlo, podle některých lidí lepší, než zlato nebo dolary. Na rozdíl od zlata lze poslat přes Internet a na rozdíl od dolaru ho nevydává pochybná centrální banka.
    /* Use private key for padding if we don't have enough entropy */
    3.3.2012 18:15 Lol Phirae | skóre: 20
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Na rozdíl od zlata lze poslat přes Internet a na rozdíl od dolaru ho nevydává pochybná centrální banka.
    A narozdíl od obojího ti pojišťovna proplatí houno, ať se pojistíš, jak chceš. :-D
    3.3.2012 20:30 Tomáš
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    No dobře, moc jsem se nedozvěděl. Srovnání s existujíími měnami je zavádějící, protože ty už nejsou kryty zlatem. Zkusme to takhle: když použiji jako platidlo zlato, mám docela jistotu, že si za něj v budoucnu pořídím +- stejně věcí jako dnes, dost zlata spotřebuje v průmyslu, takže kupce snadno najdu. Kromě toho se používáj na výrobu šperků, takže to je alternativní odbyt . Když budu prodávat za obilí, můžu ho semlít a z mouky si upéct chleba, buchty nebo něco na ten způsob.

    Co mám z bitcoinu?
    3.3.2012 21:49 xHire | skóre: 19 | blog: Linuxovník
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Co mám z bitcoinu?
    Co chceš mít z elektronického záznamu? Je skoro až nesmyslitelné hledat analogie s fyzickým světem (mimo státní peníze). Bitcoin se mnohde ujal jako platidlo, protože získat bitcoiny není vůbec jednoduché (teď mám na mysli tzv. těžení -- samozřejmě je možné je velmi jednoduše nakoupit) a kryptografie zaručuje, že nejde podvádět (utratit 2× jednu minci, vymyslet si neexistující mince apod.). A když mi z Japonska přijde platba v bitcoinech za méně než jednu vteřinu a už za pár desítek minut mám jistotu, že je platba je platná a nezvratná, tak je to pro mě solidní argument pro to, abych Bitcoin k platbám využíval. :c)
    5.3.2012 17:04 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Z bitcoinu máš asi totéž jako z dolaru, tedy můžeš tím platit rovnou, aniž bys musel prodávat zlato nebo mlít obilí. Asi se jim tedy nechtělo mlít obilí, to by museli hacovat ještě mlýn, proto ukradli rovnou bitcoiny.
    GeoRW avatar 3.3.2012 20:22 GeoRW | skóre: 8 | blog: GeoRW
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    tipujem, ze nejaky ich zamestnanec da coskoro vypoved a odide do svojho noveho baraku na Seychellach :-)
    "This is to be taken with a grain of salt." ACBF - Advanced Comic Book Format
    Max avatar 4.3.2012 10:39 Max | skóre: 61 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    Toto by za pouhých 4.5Mega Kč udělal jen idiot.
    Zdar Max
    Měl jsem sen ... :(
    5.3.2012 07:27 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    On už snad někdo ty "nuly a jedničky" převedl na reálné peníze? Je fakt, že asi má více rozumu než ti, kterým je vzal.
    Jendа avatar 5.3.2012 14:26 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    1. Co jsou to reálné peníze? Ničím nekryté papírky, nebo snad dokonce číslíčka v nějaké jiné databázi?
    2. Ano, nejen na MtGoXu se čile obchoduje.
    /* Use private key for padding if we don't have enough entropy */
    5.3.2012 15:15 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    1) Pro mne ty, za kterými stojí reálný subjekt, jehož aktivity a stav jsem schopen dostatečně ohodnotit tak, abych mohl z těch peněz případně žít, pokud nějaké získám.

    2) Myslel jsem tyto konkrétní ukradené "jedničky a nuly", to, že je lze obecně vyměnit za reálné peníze, vím.
    Jendа avatar 5.3.2012 15:53 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    1. To je dost subjektivní definice ;-).
    2. Nelze (a pravděpodobně ani nepůjde) zjistit.
    /* Use private key for padding if we don't have enough entropy */
    5.3.2012 15:58 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    1) jiste, ze je. Ovsem vylucuje z definice Bitcoin ;-)

    2) jiste. A vzhledem k bidnemu/neexistujicimu auditingu je i nerealne zjistit, kdo kradez provedl. Jeden z klicovych problemu designu, ktery dela z libovolneho systemu de facto bankovni system.
    Jendа avatar 5.3.2012 16:40 Jendа | skóre: 66 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Linode.com kompromitován
    2) Ano, to je ta druhá strana anonymních a decentralizovaných systémů.
    /* Use private key for padding if we don't have enough entropy */

    Založit nové vláknoNahoru


    ISSN 1214-1267   Powered by Hosting 90 Server hosting
    © 1999-2013 Argonit s. r. o. Všechna práva vyhrazena.