Veřejná výzva uživatelům a poskytovatelům služeb Internetu 20:57 < dastych> Meli bychom vydat PSA kvuli heart bleed 20:57 < dastych> oznameni uzivatelum a poskytovatelum sluzeb Internetu 20:58 < Coruvar> dastych souhlas.. ovsem v tenhle moment uz asap 20:58 < dastych> vzhledem k tomu, ze bylo prokazana proveditelnost MIM na SSL/TLS, existuji indicie 20:59 < dastych> o zneuzivani chyby NSA po delsi dobu 20:59 < dastych> a taky indicie, ze chyba byla vlozena do kodu umyslne 20:59 < Kedrigern> Aha, tak oni ani ve streamu nebudou mít tenhle pořad. Hmm tak to zkusím ještě přes tunel do pilsfree 20:59 < dastych> (ke vsemu mam linky) 21:00 < dastych> vypsat, co musi udelat poskytovatele: zjistit a oznamit, zda-li kdykoliv pouzivali na serveru openssl nachylne na heart bleed 21:00 < Coruvar> Kedrigern: co za pořad? 21:00 < dastych> pokud ano, vynutit u uzivatelu zmenu hesla 21:00 < dastych> ostatni by meli svym uzivatelum doporucit zmenu hesla, pokud pouzivali kdekoliv jinde stejne heslo 21:01 < Coruvar> všeobecně se doporučuje nepoužívat heslo, které někde za poslední dva roky u toho člověa bylo,, 21:01 < dastych> uzivatelum dame seznamy top sites, ktery byly prokazatelne postizeny, tihle uzivatele musi zatlacit na svoje poskytovatele, at vynuti zmeny hesel, pripadne pokud jeste nevymenily certifikaty, at to udelaji 21:01 < dastych> sites: http://hb.pirati.cz/cz.txt 21:02 < dastych> http://hb.pirati.cz/sk.txt 21:02 < Kedrigern> Coruvar: Švédská zápalka, čt art 23:00 21:03 < dastych> je nutne upozornit, ze chyba se netyka pouze webu, ale taky mailu (imap, smtp) a dalsich sluzeb (napr. freenode byl komplet odposlouchavan) 21:04 < dastych> http://mobile.theverge.com/us-world/2014/4/11/5606524/hacker-successfully-uses-heartbleed-to-retrieve-private-security-keys 21:04 < dastych> http://m.novinky.cz/articleDetails?aId=333364&sId&mId 21:05 < Kedrigern> Ou shit... zapomněl jsem, že pilsfree má také phpbb... 21:05 < Kedrigern> dastych: Jako imho všichni víme :) 21:05 < Coruvar> dastych: nevíš jestli třeba nedošlo i k úniku u antivir společností? 21:06 < dastych> Coruvar: avast byl 21:06 < dastych> Kedrigern: vime, ale obecna populace nevi, takze proto navrhuju vydat to prohlaseni 21:06 -!- pexyny-mob [~pexyny-mo@ip-213-220-203-33.net.upcbroadband.cz] has quit ["Bye"] 21:06 -!- pexyny-mob [~pexyny-mo@ip-213-220-203-33.net.upcbroadband.cz] has joined #chliv 21:06 < dastych> taky ostatni piratsky PS at to prelozi a vydaji 21:06 < Kedrigern> dastych: Souhlas, sepíšeš základ? Tak aby to šlo vydat. 21:07 < dastych> mno ja sem semka dumpnul svoje ideas, ale tedka sem moc zhulenej 21:07 < Kedrigern> Jinak průser je, že možného je toho fakt hafo, ale nikdo teď neví pravdu. Opravdu to NSA mohla vložit, používat, ale také nemusela. Žádná možnost není nereálná. Je třeba být opatrný. 21:08 < Kedrigern> dastych: Já zas moc ospalý :) 21:09 < Coruvar> s takovou abych opravdu začal lézt na net jedině přes flash s os.. 21:11 < dastych> http://article.gmane.org/gmane.os.openbsd.misc/211963 21:11 < dastych> https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013 21:11 < dastych> bonus pro uzivatele iPhone: https://www.imperialviolet.org/2014/02/22/applebug.html 21:13 < fnj> hmm 21:13 < dastych> (jo ten apple bug umoznuje taky MIM na SSL) 21:21 < Coruvar> hm.. tak sedm ploch a všechny plné oknama programů je už asi vážně moc.. přestávám e v tom vyznávat... 21:26 < Kedrigern> Perl je jiný.... 21:36 < dastych> http://xkcd.com/1354/ Pár poznámek: 1) Důležité je varovat. 2) Zmínil bych se o Cryptoparty (čili o naší dlouhodobé snaze vzdělávat lidi v technologické oblasti). Popřípadě i o PC pro seniory.. 3) Vzal bych to trochu s humorem (čili bych tam klidně přiložil xkcd). Pokud mne někdo nepředběhne, a opravdu to nevydá velice ASAP, mrknu se na to během dnešního dopoledne/odpoledne. https://zmap.io/heartbleed/ https://www.ssllabs.com/ssltest/ - ? ---- TZ --- Veřejná výzva uživatelům a poskytovatelům služeb Internetu Chyba v OpenSSL knihovně, známá pod názvem Heartbleed bug, je natolik závažná, že ohrozila bezpečnost asi dvou třetin uživatelských účtů. Tato chyba je sice jednou z nehorších v historii moderního Internetu, tím však celý problém nekončí. Piráti upozorňují na vážné nebezpečí pro všechny uživatele a poskytovatele služeb Internetu vyplývající ze zprávy o zneužívání bezpečnostní chyby Heartbleed americkou špionážní agenturou The National Security Agency (NSA). Je tu i určité podezření, že tato vážná bezpečnostní chyba byla do šifrovací knihovny OpenSSL zanesena úmyslně, přestože její údajný autor mluví o "omylu". Doporučujeme proto všem uživatelům si z bezpečnostních důvodů změnit hesla u všech používaných internetových služeb. Stejně tak poskytovatelům těchto služeb doporučujeme, aby své uživatele o závažnosti problému dostatečně informovali a tak je motivovali ke změně hesla. .Jedna změna hesla však nebude stačit, dokud nebude chyba odstraněna na všech serverech, stále hrozí získání a případné zneužití změněných přihlašovacích údajů. Ještě znepokojivější pak byla reakce amerického prezidenta Baracka Obamy, ten na svém blogu napsal, že: "NSA má v určitých případech právo zamlčovat bezpečnostní chyby na internetu a využívat je." Piráti se dlouhodobě zabývají ochranou dat a soukromí a pořádají sérii přednášek CryptoParty, na kterých popularizují a vyučují základní znalosti kryptografie. Přítomní tak mají možnost získat znalosti užitečné v oblasti zabezpečení dat, komunikace a dalších podstatných aspektů v online i offline světě, na které je třeba v informační době brát zřetel. Dění kolem aféry Heartbleed bug stále sledujeme a připravujeme další informace pro uživatele i poskytovatele služeb. Odkazy https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt http://www.cryptoparty.cz/ Kontakt: [[Lide/Jana Jirikova]], pověřený garant programového bodu Internet, [[jana.jirikova@pirati.cz]] [[Lide/Ondrej Profant]], řešitel projektu CryptoParty, předseda Krajského sdružení Praha, [ondrej.profant@pirati.cz]] [[Lide/Lukas Novy]], vedoucí technického odboru, [[lukas.novy@pirati.cz]]