Debian Wheezy OpenSSL heartbleed patching tutorial

0

Quick tip about patching CVE-2014-0160 vulnerability, in this case we gonna take care of Debian 7. There’re few ways to secure your server (recompilling package with no-heartbleed switch, disabling ssl support or else), but here’s (imho) easiests and fastest solution using already patched packages.

Update 2014-04-09 19:55: Hours after I wrote this tutorial openssl and libssl packages were updated in wheezy repository. Right now just run:

sudo apt-get update
sudo apt-get upgrade

That’s all. Remember to regenerate your certificates.

18/11, 17:04: ImageShack chyba na dobre podziękuję

Nie tak dawno temu wprowadzono limit 500 zdjęć, ponad tydzień temu wyszło na jaw włamanie do całej infrastruktury serwisu (gdzie dostęp hakerzy mieli przez lata + wytknięto porażające błędy administracji infrastrukturą informatyczną) i jeszcze dodatkowo zaliczyli wpadkę z upublicznianiem adresu IP „anonimowych” uploaderów przed/wczoraj.

Mógłbym to przeboleć, bo swoich pornofotek nie trzymam na tym serwisie, lecz dzisiaj kilka godzin temu usunąłem ponad 50 zdjęć z serwisu, a nie „odzyskałem” miejsca na nowe… co uniemożliwiło mi wrzucenia nowych i musiałem posłużyć się imgur’em, bo moje konto oscyluje wokół tych nieszczęsnych 500-set.

Nieszczerość Facebook’a

0

Dwie szybkie rzeczy:

Jeśli dostaniesz od znajomej, znajomego link do jakiegoś prywatnego zdjęcia, które jest widoczne na przykład tylko do znajomych tej osoby, a Ty jesteś osobą „nieznajomą”, to zamiast dostać informację w stylu „nie masz prawa tego oglądać” dostajesz zawsze okno „Zawartość chwilowo niedostępna”, a potem opis: „Nie można wyświetlić żądanej strony. Może ona być chwilowo niedostępna, wybrany link może nie działać lub możesz nie mieć uprawnień do wyświetlania tej strony.”

A to ciekawe. Facebook głównie informuje o „chwilowej niedostępności zasobu” – każdy widząc taki tytuł, opisu nie czyta: trudno, link teraz nie działa, spróbuję potem. Nope! O „braku uprawnień” które jednak są przedstawione w opisie dowiedziałem się teraz, jak raczyłem skopiować owy opis.

To pierwsza taka „brzydka” rzecz, druga, która mnie zadziwiła ostatnio:

Wyciąganie hasła z bazy Firefox’a

0

Firefox jak wiele modernistycznych przeglądarek ma opcję zapamiętywania haseł. Dla wielu ludzi wystarczające zabezpieczenie, wiele osób nie potrafi „odczytać” co kryje się za gwiazdkami czy kropkami automatycznie wprowadzanymi przez przeglądarkę np. w przypadku napotkania formy logowania – i tak uważamy się za dostatecznie zabezpieczonych, nawet jeśli używamy hasła głównego.. a co jeśli przeglądarka o nie nie pyta co logowanie na stronę?

Pokażę na swoim przykładzie, jak łatwo można ominąć te wszelkie „zabezpieczenia” samymi, codziennymi wtyczkami z naszej przeglądarki. Strzeżcie się szczególnie developerzy.

Wiedza z Jeb się! Zanim zaczniesz projekt

0

Hej młody(?) webdeveloperze. Oddam Ci dzisiaj kilka propozycji i moich doświadczeń zanim zaczniesz pracować w tej jakże gównianej branży.

Na początek polecam Ci przeczytać dwa moje starsze wpisy: Jeb się! – który opisuje moje zmagania się z pewnym strasznym zleceniem – oraz Jeb się! 2 – który dopowiada więcej do wcześniejszej historii.

Oczywiście przyjmuję, że masz już kilka mniejszych lub większych projektów za sobą i co najmniej wykonałeś już kilka zleceń dla znajomych, niekoniecznie za miskę ryżu.

Spoofing w sieci GSM

2

Sluchaj dasz rade jakos teraz kupic karte uzup.Plusa 50tke?Odp na ten nr to bardzo wazne jest! pisze kasia!

Dorwałem dzisiaj telefon swojej lovy, aby poprzeglądać sobie smski, natrafiłem na taką wiadomość z numeru 797 808 426 i stwierdzam, że jakaś głupia osoba szuka sobie jelenia do zasilenia konta..

Szybkie pytanie: Odpisałaś coś na to? – Nie

No ale nie każdy czasem jest w stanie na tyle pomyśleć, by nie dać się wychujać w takich sytuacjach. Szczególnie ciężko, jeśli ofiara – moje kochanie – nie zna żadnej Kasi.. no i rodzi się problem z wyłudzaniem. Spośród tylu popularnych imion, akurat wybrano Kasię.. Ja bym chociaż spróbował z Anią, a do popularności nazwiska „Nowak” dopisał N. – pewnie efekt byłby lepszy.

Strzeżcie się! 10zł nagrody dla tego, kto odnajdzie tego żałosnego sprawcę i mi go tu pokaże!

Czy to dżołk?

0

Były czasy Tom’s hardware, kiedy to siedziałem na forum czasem po 6 godzin czytając wszelakie wątki przy tym pomagając jak potrafiąc wielu ludziom – przez to zdobyło się sporo wiedzy itd. Idę w kierunku programowania, jako zainteresowań, więc w sumie dobra pora wbić na jakieś dobre forum o tym temacie i znowu napierdalać posty i zdobywać wiedzę, renomę ;-)

Google -> programowanie forum:
forum.programuj.com
codercity.pl
-> Rejestracja. Przychodzi mail o założeniu konta…

O nein!! mój passłord!

A pod internetem…

0

… tętni sobie spokojne życie, gdzie każdy czuje się szczęśliwy, bezkarny i w ogóle fajny. Tam gdzie nie ma dzieci neo, lecz sporo wokół plugastwa. Ludzie chwalą się swoimi osiągnięciami i fantazjami.

Skradziono Ci akurat konto na nk? Kurczę… To teraz czas na mały szantażyk ;-)

Trochę haseł widać? No i co z tego.. to jak ujawnienie PIN’ów do kart bankomatowych wszystkich użytkowników na świecie :o ! God damn, nie możemy się czuć bezpieczni!

Internetowy password

0

Nie, to nie ten słynny index.html

Samym nickiem nie zaloguje się na Allegro, poczty nie sprawdzę, a co najwyżej odkryje kolejne godziny zegarowe przed premierą 3W – Złodzieje Czasu. Zaraz, przecież nie mam hasła do maila, aby aktywować konto. Kurczę.

Przedwczoraj wyszło na jaw, że filmweb został rozkradziony z kont użytkowników i tak oto poszły maile, nicki, i hasła (niesolone?) w ruch w necie. Kolejna potężna wpadka na miarę wykopu, może czegoś jeszcze. Ale dziś nie o tym.

Jubileuszowo 100 post dzisiaj strzelę trochę o hasłach i ich w miarę bezpiecznemu gromadzeniu.

Oszukaj hakiera hasłem

1

Sprawą oczywistą jest, że czasem ludzie nawzajem sobie starają podebrać hasło czy to do poczty czy czegoś innego. Osoby niespecjalnie wprawione w większe sztuki przełamywania granic ograniczyć się mogą do jakichś ataków słownikowych czy brute na hashu, który przypadkowo dostały. Przyjmijmy że ciekawym hasłem i całkiem skomplikowanym jest link, przykładowo: http://tnij.com/pL6rG.

To kombinacja z 21 znaków: podstawowych [a-z] w dodatku ze znakami z dużymi [A-Z], trafiona chociaż ta jedna cyfra i znaki specjalne: dwukropek, slash, kropka. Trudne do łamania, ale jednak jest. W końcu nasz hakier dopadł rozkodowany hash albo użył keyloggera.