Argentinský prezident Javier Milei čelí více než stovce žalob a trestních oznámení kvůli spáchání podvodu, protože na svých sociálních sítích propagoval kryptoměnu $LIBRA, jejíž hodnota se v krátké době znásobila a pak zhroutila.
Wayland Protocols byly vydány ve verzi 1.41. S dlouho očekávaným protokolem správy barev a High Dynamic Range (HDR).
Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.11.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest (Wikipedie) v říjnu loňského roku přejmenovaný na Luanti.
V stredu 19. 02. 2025 o 10:00h bude spustený jarný webinár zdarma. Na tomto webinári si ukážeme praktické ukážky monitorovania Prometheus endpointov s využitím nástroja Zabbix. Účastníci sa dozvedia, ako nastaviť a konfigurovať Zabbix na zber dát z prometheus exporterov vrátane vytvárania LLD pravidiel. Tento webinár je určený pre mierne pokročilých administrátorov Zabbixu. Registrácia na stránke: Axians Slovakia. Zoznam všetkých webinárov: Axians Slovakia webináre.
Byla vydána beta verze GNOME 48. Vyzkoušet lze instalační ISO GNOME OS. Vydání GNOME 48 je plánováno na březen.
Bochs (Wikipedie), tj. emulátor počítačů typu x86 a x86-64, byl vydán ve verzi 3.0.
Věříte své kalkulačce? Kolik je (10^100) + 1 − (10^100)? A kolik 1%−1%?
Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.
FlappyFavi, hra Flappy Bird v ikoně Favicon. Nefunguje na mobilech.
Byly vyhlášeny výsledky (YouTube) 28. ročníku D.I.C.E. (Design, Innovate, Communicate, Entertain) Awards: Hrou roku 2024 je Astro Bot.
Občas není od věci vyslovit něco, za co se upaluje nebo ukamenovává. Nic není totiž tak jednoduché, aby byla pravda vždy jediná a na první pohled zřejmá.
Závažná chyba v OpenSSL, označovaná jako Heartbleed Bug, ukazuje názorně, proč je důležité mít software – a pro ten bezpečnostní to platí dvojnásob – svobodný, s otevřenými zdrojovými kódy.
Internetovým světem otřásá „aféra“ velmi vážné bezpečnostní chyby, která byla nalezena v knihovně OpenSSL verzí řady 1.0.1. Podle svého výskytu v rozšíření Heartbeat dostala chyba název Heartbleed Bug. Těžko říct, kolik serverů bylo chybou postiženo (mnohde se stále ještě používá starší verze OpenSSL řady 0.9.8, jinde je zase například GnuTLS...). Faktem je, že je to velký průšvih a mohlo dojít k úniku soukromých klíčů i některých dalších dat.
Že je potřeba na to co nejrychleji reagovat a dát servery do pořádku, je jasná věc. Dokonce se vyskytují i názory, a podle mě docela oprávněné, že objev chyby výrazně posílí obecné zabezpečení serverů, protože teprve teď se mnozí správci „probudí“ a začnou brát bezpečnost vážně. Každopádně hysterie není na místě – mnoho uživatelů stále používá nešifrovanou komunikaci i pro posílání citlivých informací a množství reálných úniků je v porovnání s tím poměrně nízké.
Je otázkou, jak se tam chyba dostala. Příznivci konspiračních teorií za tím mohou vidět například NSA, případně jiné tajné služby (včetně ruských!). I když lze samozřejmě dohledat, kdo vložil příslušný kus kódu do zdrojáků, do hlavy mu nikdo neuvidí a tedy ani nezjistí skutečnou motivaci, pokud nějaká byla nešlo jen o pouhé opomenutí.
V souvislosti s touto událostí se hned vyrojily názory, že tím končí iluze o bezpečnosti svobodného softwaru. Že dostupnost zdrojových kódů neznamená, že si chyby někdo všimne, i když se tam každý může podívat. Jenže ono to celé stojí přesně opačně – teď se právě ukázalo, že otevřené zdrojové kódy a další svobody mají u softwaru velký smysl.
Chyba sice přebývala ve zdrojových kódech více než dva roky. Na druhou stranu ale reálné nasazení tak dlouhé nebylo. Po vydání upstreamové verze trvá vždy nějaký čas, než se verze dostane do distribucí. U těch konzervativnějších, jako je například Debian, to může trvat i několik let. Další poměrně dlouhý čas trvá, než se nové verze distribucí ve větší míře objeví na serverech. Tím se podstatně zkracuje průměrná doba, po kterou byly servery v ohrožení a současně i doba, během které šla chyba objevit. Tady bohužel zapracoval jeden specifický faktor, a to tlak na přechod na TLS 1.2 kvůli zranitelnosti ve verzi 1.0 (která je „by design“ v protokolu, nezávisí na implementaci); tento tlak způsobil rychlejší přechod na novou verzi než v jiných případech.
Chyba nakonec objevena byla, a to hned ze dvou míst nezávisle na sobě. I když nejsou k dispozici podrobné informace o tom, jak byla chyba zjištěna, zkoumání zdrojových kódů k tomu mohlo významně přispět. Ano, podobně si mohl počínat i případný záškodník, který si mohl informace o chybě nechat pro sebe a tiše stahovat citlivá data ze serverů. Pokud by zdrojové kódy nebyly k dispozici, záškodník by měl pozici těžší, současně by to ale měli těžší i ti, kdo špatné úmysly nemají a chtějí ověřovat úroveň zabezpečení.
Dále, pokud by byla chyba vložena do knihovny úmyslně (vysloveně s cílem ji zneužívat), její odhalení ve svobodném softwaru by bylo díky dostupnosti zdrojových kódů snazší a tedy efekt pro záškodníka nižší. Pokud třeba určitá tajná služba chce mít možnost získávat soukromé klíče, může je vložit do proprietárního softwaru mnohem snáze (protože k určitému kusu kódu má vždy přístup jen velmi omezený počet lidí) a při dobrém návrhu zcela minimalizovat možnost odhalení zvenčí.
A teď to nejdůležitější. Představte si, že bude podobná chyba odhalena zítra ve Windows XP (což sice není serverový systém, ale můžeme se bavit v obecnější rovině, ne o specifických chybách; co se týká serverových Windows, tak u verze 2003 skončí rozšířená podpora příští rok). Bude vymalováno. Microsoft to neopraví (leda by byl pod ohromným politickým tlakem) a nikdo jiný to udělat nemůže – nemá jak, zdrojové kódy jsou uzavřené. Tady je přesně ten klíčový rozdíl. V praxi to totiž bude ještě o mnoho horší protože podpora starých verzí proprietárního softwaru bývá obvykle kratší – navíc může dodavatel zkrachovat bez náhrady (nikdo vývoj nepřevezme) a je také hotovo.
Proto je úplně mimo mísu tvrdit, že „jsou otevřené zdrojáky k ničemu“. Nejsou. Poučením naopak je – a to rozhodně ne poprvé – že lze možností poskytovaných svobodným softwarem využívat podstatně více, než jak se zatím děje. Že dostupnost zdrojových kódů není jen formalita, ale reálná výhoda, které lze využít ku prospěchu věci. A také, že ať by se našla sebehorší chyba, vždycky ji někdo může opravit – tuto výhodu software s uzavřenými zdrojovými kódy prostě a jednoduše neposkytne a nemůže poskytnout.
Tiskni
Sdílej:
Proč by měly iluze končit až teď ?Protože se toho chytli bulvární novináři a pořádně to nafoukli - jako že jsou postiženy dvě třetiny serverů a citlivá data, zejména hesla uživatelů, už vesele běhají po světě.
Mnozí takové iluze neměli nikdy!To neměli. Třeba se jim lépe žije s vědomím, že se o ně Microsoft společně s NSA vzorně starají a vidí jim až do žaludku
A stejně to tam udělal někdo schválně.Těžko říct. Na jednu stranu nemá cenu všude vidět nějaké úmysly, ale zrovna tohle je příklad chyby, která má "ty správné" parametry k tomu, aby ji mohly tajné služby nebo někdo podobný využít ke své potřebě, aniž by si toho někdo všiml.
To neměli. Třeba se jim lépe žije s vědomím, že se o ně Microsoft společně s NSA vzorně starají a vidí jim až do žaludkuMně se s tímhle vědomím dobře nežije, ale myslím, že nemám nejmenší možnost s tím cokoli udělat (kromě odstěhování se do amazonského pralesa). Jestli máš nějaký nápad, sem s ním. Samozřejmě dodržuju běžné návyky jako GPGčkované maily, browser pod omezeným uživatelem nebo šifrovaný disk, ale k čemu mi to je, když a) je spousta backdoorů v tom OSS, b) je spousta chyb v OSS, c) je spousta backdoorů v hardware, d) není alternativa ke Google Search, e) skoro nikdo, s kým komunikuju, takové zabezpečení nemá?
Navíc nejsem ten správný vážený pán ;)Myslíš, že já jsem?
Dále, pokud by byla chyba vložena do knihovny úmyslně (vysloveně s cílem ji zneužívat), její odhalení ve svobodném softwaru by bylo díky dostupnosti zdrojových kódů snazší a tedy efekt pro záškodníka nižší. Pokud třeba určitá tajná služba chce mít možnost získávat soukromé klíče, může je vložit do proprietárního softwaru mnohem snáze (protože k určitému kusu kódu má vždy přístup jen velmi omezený počet lidí) a při dobrém návrhu zcela minimalizovat možnost odhalení zvenčí.Pro mě jako pro Pepu z Čečenska je teda jednodušší vložit backdoor do OSS - stačí napsat třeba nějaký dostatečně rozsáhlý driver nebo implementovat nějakou složitou funkci (třeba Heartbeat) a „omylem“ tam zapomenout nějaké přetečení. A když to bude tak hezky, jako tady (proměnná s délkou bufferu se několikrát přehazuje a kóduje do dvoubajtové struktury a zpátky), tak to může vydržet pár let.
Tak si to schválně zkus, jestli ti to tam přijmouJe to v plánu.
Myslím, že si málokdo troufne tam svým jménem commitnout nějaký neprověřený kus kódu.Kamarád posílá patche z freemailu a pod falešným jménem. Zatím ale nic tak velkého a síťového, aby se do toho dal hezky ukrýt backdoor.
Planujes prepsat OpenSSL tak aby to nevypadalo jako jeden velkej bordel ?
Lenze kod driveru bude pouzivat len ten, kto ma dany HW. Kvoli backdooru asi nebudes vyrabat a predavat HW.Ke mně teda přišel kamarád, strčil mi do počítače USB devkit, který nafakoval (od fake, ne fuck) USB ID nějakého divného zařízení, poslal nějaký magic a udělalo to kernel panic (pak jsem upgradoval na poslední kernel abych to mohl ohlásit a tam už to bylo opravené). To zařízení nebylo fyzicky potřeba.
protože podpora starých verzí proprietárního softwaru bývá obvykle kratšíAle ale... jake distro ma prosim podporu 13 let?
Ale ale... jake distro ma prosim podporu 13 let?
Podpora 13 let je i ve světě proprietárního softwaru výjimka (původně to ani tolik být nemělo), obvykle je tato doba podstatně kratší. Třeba zrovna Microsoft má standardně 5 nebo 10 let (podle druhu softwaru), Adobe 5 nebo 7 let apod. To je ale jen detail, o to nejde. Jde o to, že jsem se tím vůbec nevyjadřoval k podpoře nějakého distra. Vtip je totiž v tom, že o pokud to distro nebude podporované, pořád je možnost zjištěnou chybu opravit ve zdrojáku, překompilovat a používat. Neřeším, kolik práce a peněz by to stálo a nakolik by se to někomu vyplatilo - ale prostě to jde. U softwaru s uzavřenými zdrojáky to nejde, pokud o to jeho dodavatel nemá zájem nebo nedostane dostatečné množství peněz. Pokud dodavatel navíc zkrachuje (což u Microsoftu nehrozí, ale u mnoha jiných firem ano) a vývoj příslušného SW nikdo nepřevezme, je hotovo úplně.
Vtip je totiž v tom, že o pokud to distro nebude podporované, pořád je možnost zjištěnou chybu opravit ve zdrojáku, překompilovat a používat.
+1, podporu ke svobodnému softwaru může poskytnout kdokoli a kdykoli, na rozdíl od proprietárního, kde toto může dělat jen původní autor a závisí to jen na jeho dobré/zlé vůli.
Ale ale... jake distro ma prosim podporu 13 let?Jaký proprietární OS má podporu 13 let?
IMHO důvodem že XP přežil tolik let je že většina normálních uživatelů (tím myslím ty pro které je OS jenom prostředek ike spouštění sw, nemyslím to něujak pejorativně ani vůči těm nenormálnímPak bych se rád zeptal, co tak závratného nabízely Windows XP oproti Windows 2000.prostě neměla důvod přecházet na nějakou novější verzi, nic zásadního jim nenabízela.
V domácnostech snad 2000 téměř nebyly, ne? Lidi přecházeli hlavně z 95/98/ME. A co se týče firem: tam, kde si dodnes nechali XP, pochybuji, že přecházeli z 2000 na XP (spíš taky předtím měli 95/98/ME).
V domácnostech snad 2000 téměř nebyly, ne? Lidi přecházeli hlavně z 95/98/MEV naší domácnosti stejně jako v dalších domácnostech, co jsem znal bylo v té době buď to nejnovější, co zrovna bylo nebo to, na čem běhaly dobře hry. Ale možné je, že Windows 2000 vyšly příliš krátce před XP než aby se stihly řádně uchytit. Pokud jde o Windows ME, tak jsem znal jenom jednu domácnost, kde to bylo v provozu a tomu klukovi jsme se smáli.
pochybuji, že přecházeli z 2000 na XP (spíš taky předtím měli 95/98/ME).Pokud se v těch firmách používaly počítače na něco jiného než jako náhrada psacího stroje, tak bych se docela divil, že by dali přednost 9x před NT. A nejsem si vědom toho, že by Windows 2000 byly nějak neúspěšné, spíš byly relativně brzo nahrazené velmi blízkými XP a tehdy to nebylo nikomu divné.
Pokud se v těch firmách používaly počítače na něco jiného než jako náhrada psacího stroje, tak bych se docela divil, že by dali přednost 9x před NT.V menších firmácha (a často i středních) se běžně používaly 95 a 98 namísto NT. Často to bylo v kombinaci s Novellem. Důvody byly různé, ale často byl problém s používanými aplikacemi, které na NT prostě neběžely (IMHO velká chyba vývojářů, protože dělat firemní aplikace jen pro 95/98 byla nebetyčná hloupost). Ale pro uživatele i správce to bylo utrpení, jen těch modrých obrazovek co tehdy bylo...
Já měl za to že se bavíme o té obrovské množině domácích uživatelů pro které je počítač na stejné úrovni jako TVJak už jsem psal výše, konec devadesátých let mi v tomto ohledu nepřijde s rokem 2014 srovnatelný.
tam nepíšou, že by bouchal?Já nevím, všiml sis toho označení "Extrémně hořlavý F+" ?
Zašifruješ pomocí GnuPG, pomocí SSH si uděláš tunel a nad ním přeneseš data po SMTPS (SSL/TLS).
Každopádně hysterie není na místě – mnoho uživatelů stále používá nešifrovanou komunikaci i pro posílání citlivých informací a množství reálných úniků je v porovnání s tím poměrně nízké.Tohle je na pěst. Ne to že to nafoukli, ale to že to tak brutálně podceňuješ. V současnosti je situace asi taková, jako že operátorům pořád ještě nedochází, co se přesně stalo, ale atomový reaktor už hoří, pěkně si čoudí a chrlí do ovzduší tuny věcí, které chrlit nikdy neměl. Na vlastní oči jsem viděl, jak všichni kdo dokázali spustit script okamžitě po zveřejnění začali masivně dumpovat data z čehokoliv, co se nechalo. A že se toho nechalo opravdu hodně. Kam se na tohle hrabou vánoce, script kiddiez z toho měli (a mají) doslova erekci. Do večera už ve velkém jely systémy, které pořizovaly seznamy domén a rovnou na ně pouštěly mass dump. Oblíbená zábava je teď z toho těžit data, protože hádej co ti asi tak grepne
$ strings soubor | grep pass | grep username | grep -v "("Chvilka napětí..
username_or_email=jmeno&password=heslicko&keep_logged_in=true&wst=
a ano, jedná se o (zcenzurovanou) ukázku z praxe.
Nejlepší na tom je, že se o tom nejspíš ani nedozvíš. Jak to, že tě vypumpovali, tak to že data kohokoliv, kdo se v ten den zalogoval přes web jsou dostupná třetí straně. Ale nejen hesla. Tečou přes to emaily u webmailů a v podstatě všechno, na co si vzpomeneš.
Je to největší security chyba, kterou jsem za 10 let, co se pohybuji na internetu viděl. Jednak rozsahem, ale taky triviálností použití a tím, co z toho vyrazíš. Protože jestli si někdo myslel, že v paměti je jen bordel, tak bych ho rád ubezpečil, že je tam triviálně grepovatelné všechno, od hesel k databázi, po HTTP komunikaci uživatelů.
Že rozšiřuji mediální hysterii? Já o tom ani nikde nečetl, dostal jsem rovnou odkaz na popis bugu a script, ať si taky užiju.
Pokud mi nevěříte, vemte ten python script (ze kterého po odstranění pár řádek lezou čistě binární data, co hrdlo ráčí), najděte si web kde to ještě jde a podívejte se mu do paměti. Praktická ukázka člověku trochu změní pohled na věc.
Prdel bude taky ještě příštích pár let, až vymizí servery a zbudou jen embeded zařízení, které nikdo updatovat nebude, protože se to dělá pěkně blbě a co je komu po nějakém routeru.
Je to největší security chyba, kterou jsem za 10 let, co se pohybuji na internetu viděl.OT: Proč v okamžiku, kdy byla objevena chyba „32 tisíc klíčů“, nedošlo k hromadnému ownování debianích serverů, nebo o tom alespoň nevím?
Chyba v OpenSSL: zkontrolujte si, zda je váš klíč bezpečnýAuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu...
Klicova otazka je, jak dlouho musel utok nezet abys treba s p=0.95 mohl vyloucit, ze doslo k odcizeni priv. klice.Budu to parsovat tak, jako by otázka zněla:
jak dlouho to musí běžet, abys měl jistotu, že útočník získal privátní klíčJelikož dostáváš zpět náhodné části paměti, tak se na to nedá nijak snadno odpovědět. V ideálním případě to chytne hned na první request, v neideálním jich bude muset udělat nekonečno a stejně to nedostane. V praxi ti imho stačí nabrat cosi jako dvojnásobek velikosti RAM. Pokud dá 5 požadavků za vteřinu (což dá v pohodě), tak potřebuje cca 3 vteřiny na stažení jednoho megabajtu. To je necelá hodina na stažení jednoho gigabajtu. Zbytek si dopočítej sám, podle velikosti RAM. Problém je, že je to hledání jehly v kupce sena. Případný útočník nebude chtít pitomý certifikát, který si každý vyměnil, hned jak se to trochu rozneslo, mnohem radši si vezme části databáze s uživateli, HTTP komunikaci, hesla do databáze a prostě všechno, co v paměti najde a bude to vypadat aspoň trochu přitažlivě. To všechno předtím, než se vůbec začne problémem zabývat do hloubky a sestaví si části paměti k sobě a začne z toho tahat emaily, PHP scripty, zadané
sudo
heslo a další věci, které nejsou tak jednoduše grepovatelné, ale v paměti se vyskytují s relativně vysokou pravděpodobností.
Všichni se pořád bojí o certifikáty a nějak pomíjejí, že to je ze všeho ta nejnudnější věc, která může zajímat leda ty, kdo se do toho počítače chtějí dostat i příště. Těch určitě nebude málo, ale většina se na nějaký proaktivní útok vykašle a bude těžit z nasyslených dat, protože to nepředstavuje žádné riziko a kdo ví, co se tam všechno najde. No a kdo ví co tam bude, třeba z toho budou mít wikileaks radost.
So far, two people have independently solved the Heartbleed Challenge. The first was submitted at 4:22:01PST by Fedor Indutny (@indutny). He sent at least 2.5 million requests over the span of the challenge, this was approximately 30% of all the requests we saw. The second was submitted at 5:12:19PST by Ilkka Mattila of NCSC-FI using around 100 thousand requests. We confirmed that both of these individuals have the private key and that it was obtained through Heartbleed exploits.
So there you have it. I submitted my proof to Cloudflare about 7 hours ago, so I effectively spent a whole day on it. I wasn't the first to get it, probably not even the 10th. And I did need some guidance (thanks Brandon!) But overall, I am pleased. The next step would be to integrate this into hb-test.py, or ideally just re-write the whole damn thing top-to-bottom in C.
or ideally just re-write the whole damn thing top-to-bottom in C
Aby v tom udělal podobnou chybu a šlo útočit na počítač útočníka?
def main (): n = int (sys.argv[2], 16) keysize = n.bit_length() / 16 with open (sys.argv[1], "rb") as f: chunk = f.read (16384) while chunk: for offset in xrange (0, len (chunk) - keysize): p = long (''.join (["%02x" % ord (chunk[x]) for x in xrange (offset + keysize - 1, offset - 1, -1)]).strip(), 16) if gmpy.is_prime (p) and p != n and n % p == 0: e = 65537 q = n / p phi = (p - 1) * (q - 1) d = gmpy.invert (e, phi) dp = d % (p - 1) dq = d % (q - 1) qinv = gmpy.invert (q, p) seq = Sequence() for x in [0, n, e, d, p, q, dp, dq, qinv]: seq.setComponentByPosition (len (seq), Integer (x)) print "\n\n-----BEGIN RSA PRIVATE KEY-----\n%s-----END RSA PRIVATE KEY-----\n\n" % base64.encodestring(encoder.encode (seq)) sys.exit (0) chunk = f.read (16384) print "private key not found :(" if __name__ == '__main__': main()(I'm sorry if this code offends any python aficionados, but I do not write in python very often.)
admini Microsoft Windows serverov sa teraz smejú, ich servery sú bezpečnéSmát se můžou, ale bude to spíš sladká nevědomost nebo vědomá ignorance.
admini Microsoft Windows serverov sa teraz smejú, ich servery sú bezpečnéAno, za to, že tam není žádná chyba nebo backdoor bych určitě dal ruku do ohně.
vlastný uzavretý kvalitný SChannel ktorý je bez chýbAno, např. MS10-049 - A vulnerability has been discovered in Microsoft SChannel which could allow an attacker to take complete control of a vulnerable system. Vy jste ale blbec, co?
Ano, např. MS10-049 - A vulnerability has been discovered in Microsoft SChannel which could allow an attacker to take complete control of a vulnerable system.Tahle chyba, která umožňuje útočníkovi převzít kompletní kontrolu nad daným strojem (což je podstatně horší, než když může "jen" číst šifrovaná data), tam navíc zřejmě prodlévala celých 9 let, než byla objevena.
A chlapík, co se o to Kério stará vůbec netuší, co kde má klikat, aby tomu zabránil.Ono je to tááááák složité...