Data: 2011-09-20 21:12:22 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
"Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym korzystającym z HTTPS. Według twórców, atak zadziała także na serwery wykorzystujące HSTS (HTTP Strict Transport Security)." http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0-zlamane/ Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie tylko. Oj będzie się działo ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2011-09-20 16:26:44 | |
Autor: witek | |
TLS/SSL złamane? Będzie się działo | |
On 9/20/2011 4:12 PM, xbartx wrote:
cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0. banki przestawią sie na 1.1 bądź 1.2 i wymuszą to samo na uzytkownikach i przeglądarkach a narazie trzeba być ostrożnym. |
|
Data: 2011-09-21 06:30:29 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
Dnia Tue, 20 Sep 2011 16:26:44 -0500, witek napisał(a):
cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0. Artykuł nie jest mojego autorstwa, więc nic nie przemilczałem, poza tym masz tam wyraźnie napisane: "TLS 1.1/1.2 na ratunek? Niestety, pomimo tego, że bezpieczniejsza wersja TLS, czyli 1.1 jest dostępna od 2006 roku, praktycznie wszystkie webserwery ciągle korzystają z podatnego na atak TLS 1.0: (rysunek) The Register brak szerszego przyjęcia TLS 1.1 upatruje w przestarzałych implementacjach SSL w Firefoksie i Chromie oraz OpenSSL-u. Bezpieczniejsze wersje TLS są za to dostępne w serwerze IIS (nie domyślnie) oraz Operze (domyślnie). Autorzy BEAST twierdzą, że większość właścicieli serwisów internetowych nie wdroży bezpiecznych protokołów TLS 1.1 lub 1.2, ponieważ nie są one wspierane przez znaczną liczbę klientów i upgrade do bezpieczniejszej wersji TLS oznaczałby spadek dochodów. Być może opublikowanie exploita coś zmieni w tej kwestii — Duong i Rizzo zdradzili, że już od maja współpracują w tej kwestii z producentami przeglądarek, którzy mają wprowadzić obejścia problemu." więc może napisz czego jeszcze nie rozumiesz? -- xbartx |
|
Data: 2011-09-21 01:39:27 | |
Autor: witek | |
TLS/SSL złamane? Będzie się działo | |
On 9/21/2011 1:30 AM, xbartx wrote:
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. eot |
|
Data: 2011-09-21 09:44:00 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez Tytuł ze znakiem zapytania jest sensacyjny? Masz link przecież do całego artykułu, więc nie rozumiem o co Ci chodzi? Ja wrzuciłem tylko jego początek aby zainteresować kogoś ewentualnie do przeczytania całości. Kiedyś było już na grupie nie raz, że ludzie przeglądają ją z różnych urządzeń i nie zawsze duża ilość tekstu jest koniecznie potrzebna. Za to mam wrażenie, że Ty jakbyś przegapił nawet najmniejszą okazję do tego aby się koniecznie przyczepić, to chyba by Ci się klawiatura popsuła ;) więc po prostu wyluzuj. -- xbartx |
|
Data: 2011-09-22 16:09:30 | |
Autor: Wie¶niak | |
TLS/SSL złamane? Będzie się działo | |
Tytul ze znakiem zapytania jest sensacyjny? jak chcesz mieć sensacyjny tytuł, a nie masz nic ciekawego do powiedzenia, to dajesz dowolne sensacyjne zdanie, asekuruj±c się znakiem zapytania na końcu. Wiedz± to dziennikarze tabloidów, a nie wiedz± projektowani czytelnicy tabloidów (realni czytelnicy zwykle s± m±drzejsi) -- |
|
Data: 2011-09-23 00:11:36 | |
Autor: witrak() | |
TLS/SSL złamane? Będzie się działo | |
xbartx <bart@hashzero.net> wrote on 2011-09-21_11:44
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):..... Za to mam wrażenie, że Ty jakbyś przegapił nawet najmniejszą Ten typ tak ma :-) witrak() |
|
Data: 2011-09-21 10:01:40 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez I specjalnie dla Ciebie, żeby było jeszcze bardziej sensacyjnie, złowieszczo i katastroficznie. Przeglądarka Chromium (wersja rozwojowa Google Chrome): 15.0.871.0 (Developer Build 99583 Linux) Ubuntu 10.04 =================================== *BRE Bank SA (www.mbank.com.pl)* The identity of BRE Bank SA at Warszawa, Mazowieckie PL has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.mbank.com.pl is encrypted with 112-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using 3DES_EDE_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *Alior Bank S.A. (aliorbank.pl)* The identity of Alior Bank S.A. at Warszawa, PL has been verified by Entrust Certification Authority - L1E. Your connection to aliorbank.pl is encrypted with 256-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *PayPal, Inc. (www.paypal.com)* The identity of PayPal, Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.paypal.com is encrypted with 256-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *eBay Inc. (signin.ebay.co.uk)* The identity of eBay Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to signin.ebay.co.uk is encrypted with 128-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using RC4_128, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== Jeżeli zapewnienia autorów aplikacji BEAST Thai Duong i Juliano Rizzo okażą się prawdziwe to jakby nie patrzeć, będzie zamieszanie i to według mnie dosyć spore. -- xbartx |
|
Data: 2011-09-23 20:17:08 | |
Autor: Wojciech Bancer | |
TLS/SSL złamane? Będzie się działo | |
On 2011-09-21, xbartx <bart@hashzero.net> wrote:
[...] Przegl±darka Chromium (wersja rozwojowa Google Chrome): A jak wył±czysz TSL 1.0 w przegl±darce (w opcjach), to co Ci pokazuje? :) -- Wojciech Bańcer proteus@post.pl |
|
Data: 2011-09-24 09:27:45 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
Dnia Fri, 23 Sep 2011 22:17:08 +0200, Wojciech Bancer napisał(a):
A jak wyłączysz TSL 1.0 w przeglądarce (w opcjach), to co Ci pokazuje? Chodziło mi o domyślną konfigurację. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2011-09-21 23:43:01 | |
Autor: Eneuel Leszek Ciszewski | |
TLS/SSL złamane? Będzie się działo | |
"xbartx" j5avjm$42p$2@inews.gazeta.pl Jeżeli okaże się to prawd± to ciężkie dni szykuj± Nie tylko? Dla operatorów komórek i producentów zdrapek -- także? -- .`'.-. ._. .-. .'O`-' ., ; o.' eneuel@@gmail.com '.O_' `-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`., o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/.... |
|
Data: 2011-09-22 06:13:54 | |
Autor: Kamil Jońca | |
TLS/SSL złamane? Będzie się działo | |
xbartx <bart@hashzero.net> writes:
"Lada dzień, Thai Duong i Juliano Rizzo planuj± zademonstrować narzędzie o nazwie BEAST (Browser Exploit Against SSL/TLS) składaj±ce się z kodu JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje i rozszfrowuje zaszyfrowane ciasteczka, daj±c tym samym atakuj±cemu nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym korzystaj±cym z HTTPS. Według twórców, atak zadziała także na serwery wykorzystuj±ce HSTS (HTTP Strict Transport Security)." Na li¶cie openssl-user twierdz± (nie wczytywałem się, więc mogę co¶ przekręcić), że ta podatno¶ć jest znana do¶ć długo, i że biblioteka ma obej¶cie do tego ("insertion of empty fragments"). I je¶li to nie jest wył±czone opcj±, to nie powinno się nic dziać. Podkre¶lam - nie wczytwyalem się. KJ -- http://sporothrix.wordpress.com/2011/01/16/usa-sie-krztusza-kto-nastepny/ "Nie można wlecieć w trzecie tysiaclecie na drzwiach od stodoły" - biskup polowy WP Sławoj Leszek GłódĽ. |
|
Data: 2011-09-22 16:25:08 | |
Autor: Krystek | |
TLS/SSL złamane? Będzie się działo | |
2011-09-20 23:12, xbartx wysłał(a) wiadomość:
http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0-zlamane/ Ale wiesz, że Niebezpiecznik to taki odpowiednik "Pudelka" dotyczący bezpieczeństwa sieciowego? Tworzenie tytułu artykułu (a i często zawartości) przypomina zabiegi podobny do tego - <http://www.glosywmojejglowie.pl/comics/2011-09-21-Naglowek.jpg> Ma wzbudzić sensację. A czy ktoś dotrze do źródłowej informacji to już inna kwestia. K. -- http://www.krystek.art.pl/ |
|
Data: 2011-09-22 21:17:58 | |
Autor: xbartx | |
TLS/SSL złamane? Będzie się działo | |
Dnia Thu, 22 Sep 2011 16:25:08 +0200, Krystek napisał(a):
Ale wiesz, że Niebezpiecznik to taki odpowiednik "Pudelka" dotyczący Jakkolwiek by to sensacyjnie bądź nie brzmiało, to jeżeli pojawi się exploit a następnie zostanie to zautomatyzowane, to wydaje mi się że może pojawić się całkiem spory problem, być może nie tam gdzie się można spodziewać. Owszem równie dobrze mogę się mylić i będzie z dużej chmury mały deszcz. Czas pokaże. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2011-09-22 21:04:52 | |
Autor: a...mx | |
TLS/SSL złamane? Będzie się działo [mbank ma skopany ssl] | |
xbartx wrote:
Jeżeli okaże się to prawd± to ciężkie dni szykuj± się dla banków i nie My¶lisz, że banki się przejmuj±? Od taki mbank: $ gnutls-cli www.mbank.com.pl Resolving 'www.mbank.com.pl'... Connecting to '193.41.230.81:443'... *** Fatal error: The TLS connection was non-properly terminated. *** Handshake has failed GnuTLS error: The TLS connection was non-properly terminated. (gnutls do¶ć restrykcyjnie podchodzi do standardu, a serwer mbanku ma skopan± obsługę czę¶ci protokołu. Maintanerzy gnutls pisali tak: The server is buggy, to talk to it you need to disable ALL of: 1) any extension 2) MAC padding 3) offer of TLS 1.1 ) -- Arek, arekmx|gazeta.pl |