UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
- Dyskutant
- Posty: 241
- Rejestracja: 22 lutego 2011
- Reputacja: 0
- Lokalizacja: Dolnośląskie, Polska
UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: M4v3R » wtorek, 8 kwietnia 2014, 01:02
Więcej informacji (po ang.):
http://heartbleed.com
https://news.ycombinator.com/item?id=7548991
M4v3R
- Bardzo Zły Moderator
- Posty: 14391
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2662
- Lokalizacja: Polska/Wwa/GW
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: rav3n_pl » wtorek, 8 kwietnia 2014, 01:32
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
rav3n_pl
- Wygadany
- Posty: 586
- Rejestracja: 1 sierpnia 2011
- Reputacja: 3
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: kactech » wtorek, 8 kwietnia 2014, 07:48
bitowe.info - agregator wiadomości ze świata BTC
ToxID: 8013F26F9CFE8B3B979EE313EBD866D9D4F1D426501711C1CC80A14B7031EF53092C1A2B3C9A
kactech
- Dyskutant
- Posty: 241
- Rejestracja: 22 lutego 2011
- Reputacja: 0
- Lokalizacja: Dolnośląskie, Polska
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: M4v3R » wtorek, 8 kwietnia 2014, 09:07
M4v3R
- Weteran
- Posty: 1488
- Rejestracja: 15 czerwca 2011
- Reputacja: 1215
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: qertoip » wtorek, 8 kwietnia 2014, 09:07
Jeśli ktoś znał tę dziurę wcześniej i miał okazję być in-the-middle to zna np. hasła do poczty, giełd i banków.
Najgorsze jest to, że nie wystarczy update OpenSSL.
W obliczu tego błędu wypadałoby wszystko uważać za skompromitowane (klucz prywatny serwera SSL oraz całą komunikację tego serwera z użytkownikami, czyli np. ich hasła).
Co jeszcze gorsze, nie ma sposobu by ustalić, czy dany serwer został skompromitowany, czy nie został, więc formalnie wszystkie serwery bazujące na OpenSSL wypadałoby uznać za skompromitowane.
qertoip
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: Bit-els » wtorek, 8 kwietnia 2014, 09:37
http://niebezpiecznik.pl/post/krytyczna ... -od-2-lat/
i tu:
http://zaufanatrzeciastrona.pl/post/kry ... w-openssl/
Bit-els
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: Bit-els » wtorek, 8 kwietnia 2014, 09:44
Np blokada edycji danych na Bitcurexie też jest teraz do obejścia w jakiś sposób?
Bit-els
- Weteran
- Posty: 1488
- Rejestracja: 15 czerwca 2011
- Reputacja: 1215
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: qertoip » wtorek, 8 kwietnia 2014, 09:51
W tym momencie 8 kwietnia 9:50 podatność polskich giełd przestawia się tak:
Podatne:
bitcurex.pl http://filippo.io/Heartbleed/#bitcurex.pl
bitalo.com http://filippo.io/Heartbleed/#bitalo.com
bitbay.pl http://filippo.io/Heartbleed/#bitbay.pl
btcidea.eu http://filippo.io/Heartbleed/#btcidea.eu
Odporne:
bitmarket.pl http://filippo.io/Heartbleed/#bitmarket.pl
bitmarket24.pl http://filippo.io/Heartbleed/#bitmarket24.pl
ebitex.pl http://filippo.io/Heartbleed/#ebitex.pl
Zagraniczne (wklejam z reddita):
Podatne:
INSECURE - localbitcoins.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - vip.btcchina.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitfinex.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitgo.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.bitstamp.net:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.cryptsy.com:443 has the heartbeat extension enabled and is vulnerable
INSECURE - http://www.virwox.com:443 has the heartbeat extension enabled and is vulnerable
Odporne:
SECURE - http://www.kraken.com:443 does not have the heartbeat extension enabled
SECURE - bitpay.com:443 does not have the heartbeat extension enabled
SECURE - blockchain.info:443 does not have the heartbeat extension enabled
SECURE - btc-e.com:443 does not have the heartbeat extension enabled
SECURE - campbx.com:443 does not have the heartbeat extension enabled
SECURE - coinbase.com:443 does not have the heartbeat extension enabled
SECURE - coinkite.com:443 does not have the heartbeat extension enabled
SECURE - vircurex.com:443 does not have the heartbeat extension enabled
SECURE - http://www.bitcoin.de:443 does not have the heartbeat extension enabled
SECURE - http://www.cavirtex.com:443 does not have the heartbeat extension enabled
PS Mojego bitfona też łapie ale to całkiem inna liga - tam nie ma żadnych kont, haseł ani bitcoinów i cały SSL jest raczej pro-forma. Jedyne co użytkownik podaje to numer telefonu.
UPDATE: bitfon.pl zaktualizowany.
qertoip
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: Bit-els » wtorek, 8 kwietnia 2014, 10:05
Bit-els
- Oficjalny przedstawiciel projektu
- Posty: 21
- Rejestracja: 10 marca 2014
- Reputacja: 0
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: bitorado-sysadm » wtorek, 8 kwietnia 2014, 10:22
http://filippo.io/Heartbleed/#bitorado.com
bitorado-sysadm
- Rozmowny
- Posty: 100
- Rejestracja: 25 grudnia 2011
- Reputacja: 0
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: fsm » wtorek, 8 kwietnia 2014, 10:25
brawa dla tych które są już zabezpieczone
fsm
- Weteran
- Posty: 5290
- Rejestracja: 4 marca 2013
- Reputacja: 2589
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: domator » wtorek, 8 kwietnia 2014, 10:34
ONR to organizacja faszystowska
Ordo Iuris to finansowani przez Kreml fundamentaliści
BitFilar - kryptoemerytura.
quark.house - Twój własny, stacjonarny kantor krypto.
domator
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: ShadowOfHarbringer » wtorek, 8 kwietnia 2014, 11:12
Ponieważ nie ma możliwości sprawdzenia, czy serwer został skompromitowany, trzeba założyć że został i kompletnie wymienić WSZYSTKIE KLUCZE SSL !
Giełdy, które są aktualnie podatne powinny zostać CAŁKOWICIE ZAMKNIĘTE do czasu wygenerowania nowych certyfikatów. Każda minuta ich bycia dostępnym, to możliwość włamu.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Gaduła
- Posty: 443
- Rejestracja: 12 lipca 2013
- Reputacja: 18
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: alex69 » wtorek, 8 kwietnia 2014, 11:15
alex69
- Dyskutant
- Posty: 250
- Rejestracja: 6 kwietnia 2013
- Reputacja: 2
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: big_digger » wtorek, 8 kwietnia 2014, 11:26
qertoip pisze:W tym momencie 8 kwietnia 9:50 podatność polskich giełd przestawia się tak:
Podatne:
bitbay.pl http://filippo.io/Heartbleed/#bitbay.pl
eee Bitbay nie jest podatny, sprawdzałem ich dwie domeny market.bitbay.pl i główna i jest OK - ten skrypt heartbeata do sprawdzania podatnosci najpierw odśwież f5 i potem wprowadź kolejną domenę. Bo miałem podobny efekt sprawdzając certyfikaty mojej firmy, gdzie nasz ssl nie jest podatny na luke ( a wczesniej sprawdzalem inne domeny, które sa vulnerable
I generalnie podobny test wykonał bym z pozostalymi giełdami, choć akurat bitcurex i bitstamp podatny... ;/
big_digger
- Weteran
- Posty: 1684
- Rejestracja: 6 czerwca 2012
- Reputacja: 1
- Lokalizacja: Kraków
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: virus » wtorek, 8 kwietnia 2014, 11:41
http://filippo.io/Heartbleed/#beta.bitonyx.com
P.S.
Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada
virus
- Dyskutant
- Posty: 250
- Rejestracja: 6 kwietnia 2013
- Reputacja: 2
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: big_digger » wtorek, 8 kwietnia 2014, 11:43
@ BZWBK .....
http://filippo.io/Heartbleed/#centrum24.pl
PS. Można sobie zapisać teraz numery seryjne certyfikatów podatnych giełd i porównac potem jak już załatają openssla czy zmienili certyfikaty, bo serial IMO powinien sie zmienic przy wygenerowaniu nowego certyfikatu.
big_digger
- Gaduła
- Posty: 443
- Rejestracja: 12 lipca 2013
- Reputacja: 18
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: alex69 » wtorek, 8 kwietnia 2014, 11:58
virus pisze:Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada
dlatego trzeba stosować podwójna weryfikacje
alex69
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: ShadowOfHarbringer » wtorek, 8 kwietnia 2014, 12:09
A bo to była jakaś alternatywa ?virus pisze:beta.bitonyx.com niepoddatne
http://filippo.io/Heartbleed/#beta.bitonyx.com
P.S.
Ja od zawsze mowilem ze OpenSSL nie daje zadnego bezpieczenstwa ... dziur od zawsze w nim bylo nielada
Wszyscy używali tego samego, bo tylko to było używalne...
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 1684
- Rejestracja: 6 czerwca 2012
- Reputacja: 1
- Lokalizacja: Kraków
Re: UWAGA - Dziura w OpenSSL. Sprawdź swoją giełdę!
Postautor: virus » wtorek, 8 kwietnia 2014, 12:18
sa hardware-owe, sa komercyjne
z darmowych znam tylko OpenSSL
virus
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).