Ezek a hacker-ek :)

Ez a kulcs nem a debianos problémából volt? Mert úgy könnyű... Ha meg nem, akkor ez tényleg elég ciki. Kérdés, hogy ez az egy eszköz eddig is megfelelő biztonságot nyújtott-e? Ugyebár tökéletes védekezés nincsen, a lényeg az, hogy a töréshez szükséges erőforrások ára több legyen, mint a megszerezhető javak összege.

asszem kimegyek a garázsba, azt behozom a 200 PS3-am, úgy néz ki jó még valamire..

a ps3 egyébként rohadt jó cucc kutatásokhoz használt számítógépeknek a benne lévő sokmagos, sok célra felhasználható chipek miatt.
az én egyetemen ha jól tudom kettőt használnak ilyen célokra.

"Feltörték az SSL-t". Ujságiró-e vagy? Illene kicsit pontosabban és talán kevésbé szenzációhajhászan fogalmazni. MD5 collision gyártás meg már régóta ismert.

Nem baj, az éles eszű hecklerek letöltötték a scriptet, lefuttatták a haveroktól kölcsönvett játékautomatákon, és a végén kiírta, hogy hacking.... done. Végefőcím.

kb. :D

Nem az SSL-t törték fel, csak az egyik olyan algoritmust törték fel, amit használ. Az MD5 gyengeségére meg már 2004-ben felhívták a figyelmet, 2006-ban pedig sikerült olyan kettő darab azonos md5 hash-el rendelkező file-okat előállítani. Aki ezek után még bármilyen olyan alkalmazásban használja, ahol a biztonság szempont, az meg is érdemli. A jelenlegi SSL szabványban a tanusítványoknál nyugodtan lehet használni az SHA-1 algoritmust, amihez jelenleg nincs még semmilyen "törés", tehát az ilyen tanusítványok használata teljesen biztonságos.

Legközelebb talán legyen egy kicsit kevésbé "kamu" a cím...

Most találtam 20 millát az ágy alatt... legalább már tudom, hogy mire költsem. Veszek 200 ps3-at, és már marháskodhatok is.

Vajon nagyker hozzá lehet jutni ekkora mennyiségnél?

de miért pont 200?
És ha valakinek csak 190 van otthon?

Nem kell ahhoz sok pénz. Elég ha van egy botneted zombigépekkel, és akkor azokon is futtathatod.

Következő cél legyen mondjuk egy 1024 biten titkosított kulcs. Bár lehet, hogy a nap hamarabb fogy ki hidrogénből, semmint hogy feltörjék a nyavajások. Érdemes már vacsi előtt elkezdeni a faktorálást, hacsak nem akad a hátizsákban egy kvantumszámítógép.

Át lehet böngészőben valahogy állítani az MD5-öt valamilyen SHA-ra? Csak érdekelne, de nem tudom hol lehet, vagy hogyan FF alatt. Valaki tudna segíteni? Köszencs

Mi az az SSL? El tudná valaki magyarázi egy nekem egyszerűen?

@molnibalage: secure sockets layer
vagyis egy titkos kapcsolati reteg a kommunikacioban ami olvashatatlanna teszi a kommunikaciot a harmadik fel szamara. roviden.

Melyik ssl-t törték fel? a 128 bitest vagy a 2048 bitest?

Ha két hacker ilyet tud, akkor képzeljétek el, hogy pl az NSA mire képes, amikor majdhogynem korlátlanok az erőforrásai és a költségvetése több, mint a Magyar Államé...

Már bocs, csak azzal, hogy így elbeszélgettek egymással, mi addig nem leszünk okosabb. Mert kb. Nulla dedós leírást mondtatok most, hogyan is lehet ssl-nél sha algoritmust használni, meg ezt az ujjlenyomatot is megnézni :=(

hogy lehet vpn-t csinalni? nemreg egy ingyenes wifit uzemelteto ismeros vigyorogva mutatta hogy snifferrel miket szed ossze a nala hotspotozo emberektol...
msn chat szovegek+kepek+videochat, meg jelszavak orrbaszajba

szeretnem elkerulni ezt

@rodimus_prime: a SHA-1 (vagy SHA-2...) használata nem a te dolgod, hanem azé, aki a tanúsítványt a weblap részére kiállítja. Ha valamely komoly website 2004-5-6 óta IS még mindig csak MD5-ös lenyomatú certtel rendelkezik, az hülye.

@lifelike: vpn-t? hova?

Akkor újabb amatőr kérdés. Honnan tudom, hogy akkor én most titkosított adatkapcsolattal nyomulok vagy sem?

BushDoctor: miért ha egy közepes cég első embere mond valamit, akkor abban vakon bízni kell?

Szenzációhajhász módon elferdíti a valóságot ez a kis komisz denisz. De te csak nyalj be neki ha jól esik.

"MD5 titkosítási algoritmus gyengeségét használta ki"

Az MD5 *nem* titkosítási algoritmus, hanem lenyomatkészítő.

Az MD5 algoritmus 2008. január 1-óta Magyarországon nem használható tanúsítványokban.

Ha eltekintünk a cikkíró hozzá nem értésétől a cikk (vagy inkább az esemény) üzenete a következő:

Volt egy algoritmus, amit már elavultnak tekintett a szakma, mert úgy gondolták, hogy hamarosan gyerekek is képesek lesznek törni, ezért be lett tiltva a használata hivatalos tanúsítványokban. És most tényleg tudják törni.

Csak ámulunk és bámulunk, hogy tényleg meg lehet csinálni, amire mindenki azt mondta, hogy hamarosan meg lehet csinálni. "Hogy mire nem képes a modern tudomány!?!"

Megjegyzem: 2009. január 1-tól már az SHA algoritmus eddig szokásos legkisebb lenyomat mérete sem használható, csak míg az MD5 rögzített mérettel dolgozott, addig az SHA-ban ez paraméter.

azok utan ez az egesz teljesen lenyegtelen, hogy mindenfele olcsossl szolgaltatok 15 perc alatt adnak tanusitvanyt akar paypal.com nevre is domain ellenorzes nelkul, amit boldogan lehet hasznalni, es teljesen valos, jol mukodo tanusitvany, browserekben elfogadott kiadotol.

> Jogos a két pont, de "Az MD5 ütközés ismét újra előtérbe került
> vala ottan" nem lett volna elég ütős cím ; -)

Marpedig az a feltetel az index fooldalra kikeruleshez. Valahogy te mindig ilyen felrevezeto cimekkel kerulsz ki veletlenul. :( Miert kell hulyiteni a nepet? Arra ott vannak a hozza nem erto, jol megfizetett indexes ujsagirok. Aki meg nem erti, az akkor sem erti, ha nem hivod titkositasi algoritmusnak az MD5-ot. Sot, az eddig sem ertette, es ez utan sem fogja. Az ilyen bejegyzesek meg csak novelik a katyvaszt a fejukben.

Nna ezért is érdemes a pénzért elbattyogni a bankba, az életednek a számítógép ne az értelme, hanem része, eszköze legyen.

Mi annak idején azért tanultunk a vírusok lélektanáról, hogy jobban tudjunk védekezni ellene, a fél osztály 3 hét múlva már képes volt olyan kódot írni amit az akkori keresők nem vettek észre. Nem tudom, hogy ez hova vezet...

Ehh, internal server error 500, bocs...

@klacus: > Nem tudom, hogy ez hova vezet...

Pl. az ocska viruskergetok fejlodesehez. Ha az osztalytarsaid nulla tanulassal kepesek voltak valamire, akkor a kifejezetten ezzel foglalkozo szakemberek evekkel, vagy evtizedekkel azelott tudtak ezt. Mellesleg a bank, ahova elbattyogsz az pont ugyanezekkel a modszerekkel kapcsolodik a tobbi bankhoz. Raadasul az alairasodat meg a szemelyidet meg mindig nagysagrendekkel olcsobb es egyszerubb hamisitani. De mindenki abban hisz, ami neki kenyelmes.

atleta.hu · www.atleta.hu 2008.12.31. 04:13:30

Amit írsz részben igaz. A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak. A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.

A rendőrség pl képtelen ezt helyi szinten kezelni, ahogy a dolgok fejlődnek még vagy 20 év kell, hogy valami legyen. Továbbá írni olvasni a nagy többség tud

De ezzel a többség, a teljesség igénye nélkül, mit kezd?
mov edx,len
mov ecx,msg
mov ebx,1
mov eax,4
int 0x80
mov eax,1
int 0x80
section .data
msg db 'Hello, world!',0xa
len equ $ - msg
Üdv.

Nna. Én a címoldalról jöttem:) Nem bánom a kicsit átverős címet, megint megtudtam valamit. És igen, értem. Igaz, nem bölcsész vagyok:)

"Ha valamely komoly website 2004-5-6 óta IS még mindig csak MD5-ös lenyomatú certtel rendelkezik, az hülye. "

Ott a pont, igen. Teljesen mellékesen megjegyzem, hogy kb. két, de lehet, hogy inkább már három éve olvastam először arról a hibáról, amit valószínűleg most felhasználtak, csak akkor még nem volt hozzá megfelelő mennyiségű megfelelő sebességű eszköz egy kupacban.

A címmel egyébként nem az a baj, hogy blikkfangos, vagy hogy csúsztat, ugyanis egyáltalán nem csúsztat.

Hanem konkrétan nem igaz. Egy antivírus szakértőtől egyébként tulajdonképpen nem is gáz, ha nem tudja, mi a pontos különbség egy layer és egy algoritmus között, de azért jobban tette volna, ha legalább egy picit elgondolkodik a dolgon, mielőtt az év egyik legdurvább baromságát írja ki címbe.

Ha valami olyasmit ad címnek, hogy "Vigyázat, sikeresen hamisították a biztonságos weboldalak egyik aláírási módját", az is ölég blikkfangos cím, és még fedi is a valóságot, maximum arról lehetne vitázni, hogy az egyik legelavultabbat, mert attól a veszély még kvázi valós.

Nekem 2 éve tanították egyetemen az SSL működését, és az MD5 hibáját. Szóval az SSL nincs feltörve. Az MD5 van feltörve, de az meg már rég:)

En is a fo oldalrol jottem, szerintem sincs baj a cimmel, nekem, mint laikusnak, teljesen ok, megint tanultam valamit.

Én is. Laikus, címoldal, tanultam, asszem értem, bár én bölcsész voltam, de már elmúlt.

@klacus: azért ez durva volt, ugye tudod? Hozzak valami régi mainframe-es kódot még az ESZR időkből? ;)

a blog cime tényleg rossz lett..

Ha ez lenne a legnagyobb ferdítés a címlapra kerülő blogok és cikkek címében, az már rég ideális lenne. Sajnos manapság nem az a lényeg, hogy korrekten informáljuk a népet, hanem az, hogy minél hangzatosabb címmel adjuk el művünket. A legtöbb hangzatos cím mögött már a cikk elolvasása nélkül is tudom, hogy a cikk pontosan a címnek az ellenkezőjéről szól. (Ezt úgy általánosságban mondtam, nem erre a posztra értve. Ez még az elnézhető kategória.)
Ami a téma lényegét illeti: tény, hogy nincs feltörhetetlen rendszer. Nincs feltörhetetlen titkosítás, nincs hamisíthatatlan aláírás. Ráadásul minél összetettebb egy algoritmus, annál valószínűbb, hogy idővel találnak benne valami kiskaput.
A legnagyobb gond csak ott van, hogy a felhasználók tojnak rá, hogy pl. egy tanúsítvány érvénytelen, ugyanúgy folytatják tovább a böngészést. Erre már a fősulin is jól rászoktatják az embereket, amikor valamely rendszerüket - ETR, miegymás - érvénytelen tanúsítvánnyal üzemeltetik. Persze az útmutatóban szépen leírják, hogy ne törődjünk vele, ha nem érvényes, folytassuk nyugodtan... Akkor miről beszélünk?... Sokakban ez fog megmaradni, hogy "akkor nyomni kell egy folytatást", és az eszükbe sem jut, hogy épp így verik át őket. Mert egy szó nem esik ilyesmiről.

szilárdan... 2008.12.31. 11:45:25

Nosza :-))

@klacus: > Amit írsz részben igaz.

Ha csak reszben igaz, akkor vitatkozz vele. Ezt a filozofalgatast csak a vita (illetve a beismeres) eloli kibuvonak tudom tekinteni :). Ahogy irtam, digitalis alairast meg mindig nagysagrendekkel nehezebb hamisitani, mint valodi, nem 'virtualis' papirokat es alairasokat. Marpedig ha ez igaz, akkor ezek a megoldasok biztonsagosabbak. Persze a technika es a gepek (meg a matek) fejlodesevel mindig ujabb algoritmusokrol derul majd ki, hogy nem eleg erosek, de ez a Moore torveny ismereteben azert annyira nem meglepo.

> A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak.

Rizsa :). Az informacio mindig is informacio volt, csak a szamitogepes korszak elott kevesek ertettek meg, hogy a lenyeg ott rejtozik, hogy a bizonyitas, alairas, level, stb. az mind informacio, anyagtalan avagy 'virtualis' dolog. A penz is az, meg a kiralyi pecset is, csak nem latszik rajtuk elsore. Mi konnyu helyzetben vagyunk, nem kell nagyon okosnak lennunk, hogy ezt felismerjuk. A korabbi korok gondolkodoinak nehezebb dolga volt.

> A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.

Az emberek nagy szazaleka semmilyen csalas ellen nincs felkeszulve, soha (ajanlott olvasmany Kevin Mitnick: A megtevesztes muveszete). Paradigma valtasok kozeleben pedig nyilvan tobbeket konnyeb beszopatni. (Gondolom a penz megjelenesekor konnyebb volt azt hamisitani, a mult szazad elejen ugyanez ment a valtokkal, itthon a bankkarya megjelenese utan egy szetszerelt atjatszos magnoval lehetett OTP kartyat masolgatni, stb.)