Aktywne Wpisy
mirko_anonim +17
✨️ Obserwuj #mirkoanonim
Co byście zrobili w mojej sytuacji? Od 12 lat mieszkam w NL. Wyjechałem po studiach. Nauczyłem się języka, przeszedłem drogę od najprostszej pracy fizycznej do średniego stanowiska specjalistycznego (marketingowe) w korpo. W międzyczasie w Polsce zmarli mi rodzice (rok po roku) w 9 roku pobytu tam. Nie mam rodzeństwa, był to dla mnie szok, no ale dałem radę pogrążając się w pracy. Dostałem po nich duże mieszkanie w mieście
Co byście zrobili w mojej sytuacji? Od 12 lat mieszkam w NL. Wyjechałem po studiach. Nauczyłem się języka, przeszedłem drogę od najprostszej pracy fizycznej do średniego stanowiska specjalistycznego (marketingowe) w korpo. W międzyczasie w Polsce zmarli mi rodzice (rok po roku) w 9 roku pobytu tam. Nie mam rodzeństwa, był to dla mnie szok, no ale dałem radę pogrążając się w pracy. Dostałem po nich duże mieszkanie w mieście
goodbadbye +24
gdybyście musieli jeść jedno danie do końca życia, to jakie? ja chyba placki po węgiersku aaaaa smakówaaa
Atakujący podmienił ścieżki do adresów ip (!) serwerów dns chmury amazona, co umożliwiło mu podmianę dowolnych informacji.
Oznacza to, że nawet poprawne SSL nie jest bezpieczne, bo mając kontrolę nad domeną można wygenerować poprawny certyfikat. Z sobie znanych przyczyn atakujący nie wygenerował certyfikatu i zaatakował tylko mew - może to była tylko demonstracja możliwości, albo rzeczywistym celem było coś innego, czego jeszcze nikt nie zauważył?
Dosłownie wszystkie strony są podatne na ten atak, chociaż podmiana adresu czegoś większego zapewne zostałaby zauważona o wiele szybciej.
#ethereum #kryptowaluty #bitcoin #bezpieczenstwo #security
Biorąc pod uwagę skomplikowanie ataku i relatywnie bardzo mały zysk uważam teraz, że to na pewno była przykrywka, a prawdziwym celem była np. kradzież jakiejś tajemnicy przemysłowej albo zainfekowanie konkretnego celu
@megaloxantha: CA ma kopię oryginalnego certyfikatu, więc wygenerowanie nowego nic nie da, bez wymiany starego w CA. Monit o nieważnym certyfikacie się pojawi. Z relacji okradzionego wynikało, że miał informację o nieważnym certyfikacie, a mimo to hasło wpisał.
IMO MEW nie powinien w ogóle udostępniać opcji zarządzania portfelem z poziomu domeny. Albo wymuszanie instalacji MEW w formie wtyczki, albo wersja lokalna. To
Jakiej wymiany? Certyfikaty są podpisane przez wydawcę, nie ma żadnej komunikacji z nim przy każdym połączeniu
@fashq: no nie mieli ale certyfikat nie-ev wymaga tylko kontroli nad domeną
Mew nie ma dnssec
@megaloxantha: To już kolejna taka sprawa w niedawnym czasie https://www.wired.com/story/github-ddos-memcached/
@megaloxantha: Nigdzie się nie łączysz, bo przeglądarka dostarcza bazę finger printów zaufanych CA.
Możesz wygenerować swoje i podpisać je sam, ale nadal będzie monit o braku zaufania, bo podpis nie pochodzi od zaufanego dostawcy. W przypadku wykopu jest to Unizeto S.A., a w MEW - DigiCert.
@megaloxantha: Tak, chociaż czasem też adresów IP. Wydawców zaufanych jest tyle, ile masz ich w bazie przeglądarki (czyli kilkadziesiąt, możesz sobie podejrzeć w opcjach). Reszta wydających musi działać pod ich szyldem, albo musisz dodać ich ręcznie, jako zaufanych. Do weryfikacji kontroli domeny zazwyczaj wymagają odpowiedniego wpisu w rekordzie CAA, chociaż to różnie bywa. Tak czy siak, samo rozejście TTL jak i
Dnssec jest zresztą do dupy bo bardzo przestarzała kryptografia (rsa 1024) i cały łańcuch kluczy jest w kontroli rządowej
letsencrypt.com generuje w kilkadziesiąt sekund
Prawda, ale to zawsze kolejna linia oporu.
Ostatecznie to znowu ktoś/coś związanego z Ethereum dało dupy, a biedni, naiwni spekulanci stracili kasę. ( ͡° ͜ʖ ͡°)ノ⌐■-■