С конкурсного сервера CloudFlare был успешно украден SSL-ключ

    11 апреля исследователи компании CloudFlare опубликовали в своём блоге статью «Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?», в которой они задались вопросом, возможно ли извлечь приватные ключи, используя нашумевшую уязвимость Heartbleed. Попытка извлечь из оперативной памяти сервера приватный ключ не увенчалась успехом. В итоге исследователи пришли к выводу, что кража SSL-сертификатов с помощью Heartbleed маловероятна:

    Мы считаем, что кража приватных ключей на большинстве серверов NGINX по крайней мере крайне затруднительна и, вероятно, невозможна. Мы уверены, что даже при использовании Apache, который, как мы считаем, может быть чуть более уязвимым, и который мы в CloudFlare не используем, вероятность раскрытия SSL-ключей с помощью уязвимости Heartbleed крайне мала. Это одна из немногих хороших новостей за эту неделю.

    Несколько интернет-СМИ уже растиражировали это исследование (пример) и на его основе уверенно заявили, что кража приватных ключей с помощью Heartbleed невозможна. Как оказалось, исследователи CloudFlare были неправы.

    Представители CloudFlare решили обратиться к хакерскому сообществу. Приблизительно двенадцать часов назад на Hacker News третьи лица, официально не связанные с CloudFlare, даже назначили награду в 10 тыс. долларов за первое успешное выполнение конкурсных условий. Участникам предлагалось извлечь приватные ключи со специально созданного для этого сервера, доступного по доменному имени cloudflarechallenge.com, и опубликовать детали решения задачи. На сервере был запущен nginx-1.5.13 и OpenSSL 1.0.1.f под управлением Ubuntu 13.10 x86_64.

    Несколько часов назад появился один, а затем второй победитель. Первым с задачей справился москвич Фёдор Индутный(donnerjack13589). Для этого ему понадобилось 2.5 млн. запросов (это составило почти треть от всех запросов) и всего лишь 3 часа. Фёдор даже предложил настроить параметры файла hosts для перенаправления доменного имени cloudflarechallenge.com на его сервер для демонстрации владения приватным ключом с помощью установления HTTPS-соединения. Вторым с отставанием в 50 минут оказался Илкка Маттила из Национального центра по компьютерной защите Финляндии со 100 тыс. запросов.

    Таким образом даже после исправления уязвимости Heartbleed есть ненулевая вероятность атак с использованием украденного ранее приватного ключа до того, как он будет обновлён. Результаты конкурса также опровергают исследование CloudFlare. Судя по всему, детали решения и выводы будут опубликованы в ближайшее время.
    Поделиться публикацией

    Комментарии 51

      +4
      BBC пишут: По данным фирмы Касперского, имеются указания на то, что государственные службы кибершпионажа осуществляли такое сканирование незадолго до того, как распространилось известие о баге Heartbleed.
      Кто-нибудь видел такое заявление от фирмы Касперского?
        +4
        Нет, но есть сообщение Bloomberg о том, что АНБ два года знало и использовало это уязвимость
          +3
          Сейчас такое будут писать все мало-мальски известные в области защиты информации конторы, это еще один способ пиара.
          +42
          image
            +2
            Насколько этот комикс адекватно описывает сам протокол HEARTBEAT? Это просто ping для SSL? Почему его нельзя отключить вообще?
              +4
              Очень похоже на правду. Только бегать с криками «ах, какой плохой heartbeat, давайте все теперь в SSL его отключим» глупо, потому что баг не архитектурный, а в реализации. Реализацию поправили.

              У всех на уме вопрос: «а что же нам делать дальше-то?». С точки зрения CS: Решать задачу занятых бобров, видимо.

              Иначе — ограничения административного характера. Например, увеличение конкуренции — если бы конкурирующих свободных крипто-библиотек было несколько, то вместо «ах, треть всего интернета», было бы «не менее 2% всех сайтов подвержено уязвимости».

              Именно так выживают виды в джунглях, где много злых хаккеров и паразитов. Больше видов — меньшая вероятность эпидемии.
                +2
                Невозможно решить социальную проблему техническими средствами, увы. А офигительная дырявость — это проблема социальная. Свободный рынок поощряет всё что угодно (красивые кнопочки, скруглённые углы, десятки мегапикселов, леающих птичек и т.д. и т.п.), но только не безопасность. BlackBerry пыталсь «продавать безопасность» — ну и где она? «Увеличение конкуренции» приведёт только к тому, что вместо одной библиотеки со 100500 дырами появятся два десятка.

                А сказки про выживаемость видов в джунглях оставьте тому, кто не знает что эти «разнообразные виды» преотличненько пополняют списки вымерших после прихода в джунгли людишек с мечете и кострами.

                Единственный вариант обепечения безопасности вообще (не обязательно компьютерной) — вмешательство государства. Другого не придумали. Ровно потому что рынок в этом месте не работает. Почему вы думаете что это распространяется только на танки и самолёты?

                P.S. Только не надо, про то, что в определённых странах это приведёт только к распилам, откатам и дурацким законам. Опять-таки: никаких отличий между стротельством кресеров, танков и библиотек шифрования в этом месте нету.
                  +2
                  > Единственный вариант обепечения безопасности вообще (не обязательно компьютерной) — вмешательство государства.

                  точно! именно стараниями государства обычным людям стали доступны такие вещи как TLS, PGP, ZRTP и прочие!
                    0
                    Вот именно потому что «такие вещи как TLS, PGP, ZRTP и прочие» были разработаны без участия, и, главное, контроля государства они и напоминают ранние образцы огнестрельного оружия. Неуклюжие, кривые и зачастую вредящие их владельцем больше, чем врагам.
                      +2
                      Это как-то феерично. Если заказчиком ПО будет государство, то это автоматически что-то дает к защите от ошибок? Хотелось бы понять на чём зиждется это соображение?

                      Вообще никто не мешает государству выпускать свою «национальную криптографическую библиотеку», а вас — ждать пока она появится и посещать только только сайты на которых стоит национальный веб сервер с такой национальной криптографической библиотекой.
                    +4
                    Социальными средствами её можно уменьшить до незначительного. Разумеется, конкуренция в джунглях приводит к непрерывному вымиранию видов — иначе не оставались бы только приспособившиеся. Но смерть конкретных видов не приводит к масштабной деградации экосистемы.

                    Вмешательство государства… (да, я оставляю в стороне все вопросы распилов и глупости). Допустим, государство решает жёсткой рукой обеспечить безопасность. Что будет моделью угроз в этом случае? Совершенно точно в списке угроз будут те, кто будет «злоупотреблять криптографией». Другими словами, жёстко наведённый порядок будет означать изменение модели угроз по сравнению с opensource-версиями. В них нет дружественных MitM, в них нет supboena от «органов» и СОРМ числится в общем списке «Ев, пытающихся прослушать канал от Алисы до Боба». Когда придёт толковое государство — это всё поменяется. Не в лучшую сторону.
                      +1
                      Смерть конкретных видов не приводит к деградации экосистемы, но массированная атака со стороны одного хорошо подготовленного и оплаченного вида приводит к ней. Мы тут вроде рассуждаем не том, как защищаться не от бездумных космических лучей, а от хорошо оплеченного и обученного противника?

                      Что же касается «злоупеотреблений криптографией» и прочего, то тут всё будет зависеть от того будет ли государство действовать во благо народа или нет. Если вам кажется, что «когда придёт толковое государство — это всё поменяется не в лучшую сторону», то это значит что в вашей модели государство работает не на благо народа, а ноборот — и это тоже социальная проблема, технического решения не имеющая.
                        +1
                        Простите, о каком «хорошо оплеченном и обученном противнике» идёт речь, если главной проблемой являются ошибки в ПО? Я ни разу не видел государства, которое бы работало на «благо народа». Максимум — на благо государства.

                        Я вполне могу поверить в адекватное самоуправление (то есть власть уровня выборных судей, шерифов и мэров), но я не могу поверить в адекватное управление в масштабах необозримых территорий и числа людей. Просто потому, что не понятны PKI, которые используются при оценке. «Ястребы» такой PKI изобрели — чем круче империя, тем лучше управление. У остальных с этим чуть больше проблем, но в любом случае, складывание всех security-яиц в одну государственную корзину чревато.

                        Криптоанархический вариант мне кажется куда более устойчивым. Если бы этот heartbleed произошёл в гос-библиотеке (а никакие методологии и никакая дисциплина не могут предотвратить появление ошибок) — проблема была бы куда больше. Потому что, например, ssh оказался не затронут, коммиты в git'ах — не затронуты, подписи пакетов в репозиториях — не затронуты. Просто потому, что там был gpg или ssh. Если бы это была «госбиблиотека», то навернулась бы вся инфраструктура безопасности.

                        (И не надо мне рассказывать, что если бы openssl разрабатывался каким-нибудь ФГУПом или под строгим патронажем NSA, то там бы не было ошибок, ок?)
                    +1
                    Вы очень хорошо подчеркнули сходство с природой!
                  +1
                  Если механизм уязвимости действительно такой, то алгоритм перебора памяти выстроить достаточно просто: вначале посылаешь односимвольный запрос, который сработает достаточно быстро в начале доступного блока, а последующие запросы нужно посылать состоящим из символов в конце полученного блока памяти. Если доступный блок 64К то для получения доступа к 1 Гбайт памяти потребуется что-то около 20 тыс. запросов если их склеивать по этому алгоритму — откуда миллионы?
                  Или не всё так просто?
                  +64
                  Напомню, что Федор — человек не случайный в этом деле. Много лет он является одним из членов команды разработки Node.js и работает в основном над криптографическим API и в частности TLS. Именно благодаря его коммиту, отключившему поддержку heartbeat-расширения, Node по счастливой случайности оказался защищенным от этой атаки.

                  Его работа в этом направлении не ограничивается ядром Node. Некоторые наверняка помнят его модуль для ускорения работы с SSL — TLSnappy, модули поддержки SPDY-протокола для Node и iOS, а также его SSL-терминатор Bud.

                  Федор — очень талантливый парень и есть на Хабре
                    +6
                    >> вероятность файр-резиста раскрытия SSL-ключей с помощью уязвимости Heartbleed крайне мала
                    И без успешной кражи на конкурсе эта фраза не особо обнадеживала…
                      +1
                      Всё же Immolate improved даже палка раз в год стреляет. Так что да. Это выглядит как «Мы знаем об уязвимости, но надеемся, что пронесёт.»
                      +2
                      Почему такая разница в количестве запросов? 2 500 000 vs 100 000?
                        +4
                        В идеале хорошо бы сам Федор расказал, но могу предположить, что либо выдергивались куски разной длины либо куски повторялись (их же склеить потом надо).
                          +2
                          Возможно, просто везение.
                            +1
                            Возможно из-за того, что Орги сервер ребутнули.
                          –31
                          Горд за то, что он ХабраРоссиянин.
                            +19
                            В XXI веке стоит писать «Горд за то, что он — землянин» и то не факт, что это не задевает чувства некоторых прочих.
                              +2
                              Извините.
                                +3
                                Просто сегодня успех в каком-либо деле так или иначе опирается на работу огромного количества людей изо всех уголков нашей планеты. Спасибо интернету, самолётам и весьма открытым границам.
                                +3
                                Такое стоит писать лишь тогда, когда будут так писать все, а пока есть «proud to be american» и прочая-прочая, это совершенно глупо.
                                «Кому-то надо когда-то начинать», скажете вы. Вот пусть и начинают.
                                Гордиться своими — это нормально. Евреи вон гордятся успехами своих и как-то не особо пытаются стать общечеловеками, с них пример и надо брать.
                                  +10
                                  Вся проблема начинается в слове «свои». Почему? Потому что нельзя сказать «свои», не сказав «чужие». Обычно вслед за «чужие» вытекает целый комплекс дискриминационных оценок и действий (иначе бы само деление не имело бы смысла). В условиях первобытно-общинного строя это было очень полезно для разделения общины от посторонних и очень способствовало выживанию общины. В условиях феодального строя это уже имело некий странный оттенок — «наши, но угнетают». В условиях капитализма последовавшей индустриализации это дало совершенно нелепый расклад, когда «баре ругаются, у холопов чубы летят». Ярким примером была первая мировая, и во многом вторая мировая (я уверен, что если сравнить смертность среди высших управленцев и тех, кто с танками наголо друг на друга кидались, то танки окажутся куда более опасными игрушками, чем печатные машинки и карты). В то же самое время уровень деления «свой»/«чужой» достиг своего пика, потому что он больше не имел буквального (общинного) воплощения и держался большей частью на пропаганде.

                                  Постиндустриальное общество не может быть замкнутым на одну территорию/общину. Потому потому, что в этом случае в экономических отношениях оказываются задействованы меньше субъектов, а постиндустриальная экономика строится на невероятном изобилии и разнообразии её участников.

                                  Потому всякие «наши» «их», принесённое в современные реалии (а интернет — это просто материальное воплощение постиндустриальной экономики, отлитое в 'hand-formated RFC') выглядит одинаково дико с религиозными спорами (да, забыл упомянуть, конечно, деление по религии — одно из самых ярких по делению «свой»/«чужой»), обсуждениями «на чьей территории зародились слоны и т.д.».

                                  Американцы не являются монолитной массой. И среди них есть такие же «ястребы», как и у нас, которые хотят иметь империю, довлеть над «чужими» и прославлять «своих». Но говорить «вот пускай они у себя многообразие мнений исстребят, а тогда мы подумаем про то, чтобы начать себя улучшать» — это, мягко говоря, неправильно.

                                  Идеальным примером является Европа, где всякие мелкие трения на тему кто в чей состав входит совершенно не мешают иметь общество, которое построено над этими конструкциями.
                                    0
                                    Тогда стоит использовать слово «мы», например. Вот прекрасный ответ на кворе, который отлично восхваляет своих. Кроме того, он ещё собрал больше всего голосов. На такое и надо ориентироваться.
                                    А у нас не понимаю откуда это взялось, стоит написать, что мы клёвые — тут же начинается, мол да мы люди всего мира, 21 век и прочая. Все гордятся, ничего плохого в этом нет.
                                      +6
                                      Тщательность в сборе «национальных героев» у евреев мне лично кажется таким же артефактом прошлого, как и антисемитизм. Если бы евреи и русские были разными видами, то есть не могли свободно скрещиваться и давать плодовитое потомство, то я бы эту тенденцию понимал — она способствует видообразованию и переводит вопрос в категорию выживания вида. Но в рамках одного вида деление на национальности просто нелепо — каждый из представителей homo sapience несёт в себе совместимый комплект генов, и утверждать о превосходстве одного над другим просто нелепо (нелепо в первую очередь потому, что внутрипопуляционное разнообразие больше, чем межпопуляционные различия). Читай: у любой нации есть герои и мудаки. Для любой нации можно построить длинный список мудаков и злодеев, а можно длинный список героев.

                                      И все эти «списки», включая список выше, не несут в себе больше смысла, чем всякие ютубные стереотипные видео «десять самых глоклых куздр, о которых вы и подумать не могли».

                                      Повторю ещё раз: с биологической точки зрения до тех пор, пока чеченский мужчина может осеменить индийскую женщину (и наоборот) и их потомство будет плодовито, говорить о видоразделении бессмысленно.

                                      С социальной и экономической точки зрения — общинный стиль мышления, когда принадлежность общине (классу, сословию, нации) значит больше, чем личные характеристики, проигрывает постиндустриальному индивидуальному подходу.

                                      Контрольный тест: вы предпочтёте, чтобы вашим соседом был:
                                      * Чистокровный (ваша национальность) мудак и хам
                                      * Чистокровный (ваша нелюбимая национальность) милый и добый человек
                                      ?

                                      Ответ на этот вопрос почти тривиален для многих современных людей, но для некоторых упоминание национальности будет важнее, чем последующие характеристики.
                                        0
                                        Я же вам не только про евреев, японцы и остальные нации точно такие же.
                                        Вообще, на ваши ответы сложно отвечать, потому что они о том «как надо». Это всё хорошо, наверное я даже согласен, но когда я где-то за пределами рунета, я этого «как надо» не вижу. Все кругом гордые и клёвые, а мы должны выбирать варианты в контрольном тесте.
                                          +8
                                          Ещё раз: внутрипопуляционное разнообразие больше, чем межпопуляционные различия. Читай: у любой нации/жителей любого большого города, родившихся в секунду, которая является простым числом, короче, в любом крупном множестве отобранном по случайному признаку не имеющему отношения к объекту измерения будут разные люди. В том числе те, кому хочется уютного общинного мира, где еда была только «organic», не было генетически модифицированных мамонтов и было точно понятно, что «свой» — это точно лучше, чем «чужой», а чужого надо по голове камнем и если есть хочется, то можно сожрать. Но камнем по голове надо если даже жрать не хочется.

                                          Вы сейчас оглядываетесь вокруг, видите «о, эти гордятся». «Эти» — «не наши», значит есть «наши», значит мы тоже должны «гордиться».

                                          Если это «гордиться» дальше отбора хороших людей по росту (коротышки должны гордиться достижениями короткорослых людей и составлять списки долговязых мудаков) не уходит, ну фиг с ним. Чем бы дитя не тешилось…

                                          А вот проблемы у общества начинаются в тот момент, когда это становится фактором дискриминации: «так, какой-то он долговязый… Нам нужны долговязые на работе? Нет, отказывайте. Даже собеседовать не надо», или, ещё хуже, обструкции — «я считаю, что долговязые сами заслужили что их все ненавидят. Пусть себе живут, я не против, но почему они свою долговязость мне навязывают своим присутствием на улице?». Дальнейшая цепочка усиления ксенофобии понятна — в финале это концлагеря для долговязых и надпись «вход долговязым и собакам воспрещён».

                                          По сути: общество, в котором сильны ксенофобные настроения оказывается экономически в худшем состоянии, чем общество, в котором толерантность основывается на конкретных поступках людей (нет, то, что это полукровка еврей-негр гомосексуалист и инвалид не снижает его ответственности за вооружённое ограбление с последующими тремя убийствами).

                                          Проигрыш очень простой: сила экономики в числе возомжных экономических связей между экономически активными людьми. Чем больше возможностей, тем большая вероятность, что будут выбраны наиболее эффективные (хотя бы в локальном смысле) варианты. Если же часть связей отвергается, то эффективность снижается.

                                          Пример с приёмом на работу я уже написал, но можно пойти даже дальше: у нас есть список поставщиков. Допустим, мы полны патриотического угара запала и решаем «покупать только русское». Мы (и ещё куча других бизнесменов) вычёркиваем из рассмотрения нерусские станки, микросхемы, химикаты, материалы и т.д. Делаем только на своём.

                                          В результате по куче позиций мы выбираем неоптимальные компоненты. Они либо дороже, либо хуже, либо и то и другое вместе. На выходе мы имеем более дорогое и менее удобное/хорошее/надёжное. Зато «maid in Russia only». Если мы это вешаем в качестве маркетиного преимущества — отлично. Но…

                                          Отлично оно остаётся пока это преимущество. А если вся продукция такая вокруг? Получается потребительский совок образца начала 80ых, когда любой здравомыслящий человек мог увидеть ошеломляющую разницу в качестве иностранной и отечественной бытовой техники. А ведь тогда уровень глобализации был сильно меньше.

                                          Таким образом, в условиях, когда конкуренты не накладывают нелепых ограничений на список поставщика, а какая-то страна по идеологическим причинам накладывает, она оказывается в ситуации loose-loose. То есть производитель проигрывает конкуренцию иностранцам, а жители страны оказываются в ситуации, когда качественную продукцию надо добывать в режиме чуть ли не национал-преступника.
                                            –2
                                            Это всё прекрасно, я надеюсь вы эти тексты также дублируете в комментарии тому чуваку с кворы.
                                              +3
                                              Я не знаю, кто этот «чувак», я не знаю, что такое «квора» и я не знаю, почему я должен повторяться.
                                                0
                                                Я, в свою очередь, не знаю, почему одним нациям разрешено радоваться успеху своих представителей, а нам нет. А, как вы говорили «проблемы у общества начинаются в тот момент, когда это становится фактором дискриминации».
                                                  +2
                                                  1. Кто-то разрешил им радоваться? Если разрешил, покажите ссылку.
                                                  2. Кто-то запретил вам радоваться? Аналогично.
                                                    +2
                                                    Понятное дело, мы не говорим о каких-то изданных законах. Как я это воспринимаю: выше человека заминусовали за то, что он гордится представителем своей группы. Выше же я давал ссылку, где человека заплюсовали за то, что он гордится представителем своей группы (я её запомнил и её легко было найти потому что увидел на этой неделе, а вообще такое я периодически встречаю).

                                                    Мы ведь существа социальные, соответственно, если какие-то фразы не принимаются обществом (в данном случае минусуются), то человек воспринимает такие свои фразы как несущие опасность для нахождения в данном обществе. А в других обществах до такого не деградировали, там это поощряется.
                                                      +1
                                                      Возможно, там люди по другим интересам собрались. Например, если зайти на ресурсы, где обитаются нашисты, то там можно и не такого насмотреться.

                                                      Собственно, осталось ещё парочку тредов с чанов привести, и человечество можно будет закрывать по причине недопустимого уровня опасности для человечества.
                                                        0
                                                        Да нормальный сайт, Питер Норвиг вот есть и даже Обама. Куча всяких актёров и музыкантов.
                                                        Понятное дело, в таких темах они вряд ли будут отвечать, но сайт вполне себе.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          –1
                                          Чему точно не место в XXI веке, так это религии.
                                            +8
                                            Вот видите, очередной взрыв нетерпимости. Меня трудно заподозрить хоть в мельчайшей симпатии к религии, но религия — личное дело каждого.

                                            Вероятнее всего, вы имели в виду клерикальность государства, когда религиозные тезисы становятся объектом государственного регулирования. От этого Россия в стратегическом плане сейчас очень сильно страдает (и страдать будет весьма долго — куда дольше чем локальные политические гайки), но это не повод отказывать другим людям в праве иметь свои убеждения.

                                            … Ровно до того момента, пока эти убеждения не начинают навзяывать те или иные правила поведения окружающим. Это и есть «моя свобода заканчивается там, где начинается свобода других».
                                        +3
                                        Когда деление на свой/чужой вызывает ненависть к людям вот тогда это проблема. Разве нельзя применять слово свой к тем, кто тебе больше всего симпатизирует тем, с кем у тебя общие цели? Сейчас мир построен на обмане, личной выгоде и силе поэтому все, кто не свои потанциальные враги, а следовательно чужие. Именно на таких принципах и строится пост индустиальные отношения.

                                        Одно из основных правил программиста — никогда не доверять данным пользователя. Но ведь недоверие не повод для того чтобы начать насилие. Поэтому то прогаммы и принимают данные от пользователя. Иначе они бы банально не работали с пользователями.

                                        Так и с людьми — недоверие не повод прекратить общение. Как программы реагируют на неправильные пользовательские данные. Если это банальная ошибка пользователя. То обычно программа пишет что пользователь ошибся. Если это взлом, то либо программа также лояльна, либо прекращается доступ, либо проводится контр атака или взять револьвер и добиться одностороннего решения конфликта.

                                        Получается насилие и ненависть начинается ни с недоверия. А с тех пор, когда кто-то решил пойти тем путем, которым бы он не хотел чтобы пошли против него. Заметье я не говорю о разности во взглядах. Я говорю о действиях. Разности во взглядах, как правило подлежат обсуждению. А уже потом серьезном конфликте интересов одна из сторон может пойти путем насилия.

                                        Но наше время ушло еще дальше. Сегодня разности во взглядах и насильственных конфликтов могут быть спровацированы, подстроены и раздуты СМИ в мировом масштабе с участием минимума людей. Простой народ не видит переговоров и обсуждений и и не участвует в них. Деление на свой чужой идет уже в момент насильственных актов. И это очень просто задевает чувства простых людей, как только они причисляют себя к этим своим. Другие к другим своим. Вот и выходит эта лютая ни на чем личном основанная ненависть к соседу Еврею или Немцу. Которая служит оправданием для последующих насильственных актов. Я не могу считать этих людей однозначно поддерживающих ту или иную точку зрения. Они жертвы ярлыков свой/чужой.

                                        Только свои, которые имеют уравновешенный взгляд, на такие разногласия, способны называть людей своими, а чужих людей рассматривать, как потенциально своих.
                                  +1
                                  Алгоритм опубликуют? Как искалось, что кусок ключа валиден?
                                    +1
                                    Проверить ключ очень просто: сертификат сервер сам отдаёт, дальше нам надо всего лишь проверить, что указанная последовательность байт подходит к этому сертификату. Размер ключа в сертификате, вроде бы, указан.

                                    Если у нас есть дамп памяти, то нам надо всего лишь для каждого смещения попробовать соответствующий кусочек в качестве приватного ключа к открытому ключу из сертификата. Для N мегабайт — N миллионов попыток.
                                  +28
                                  Пользуясь случаем, передаем привет сотрудникам банков, где не стали перевыпускать сертификаты.
                                    +5
                                    Т.е. всем банкам, что были уязвимы.
                                    +1
                                    Мелкая заметка:

                                    >>Представители CloudFlare решили обратиться к хакерскому сообществу. Приблизительно двенадцать часов назад на Hacker News они даже назначили награду в 10 тыс. долларов за первое успешное выполнение конкурсных условий.

                                    1. Hacker News != хакерское сообщество
                                    2. По указанной ссылке награду в $10k предлагают третьи лица, не имеющие отношения к CloudFare, в дополнение к награде от CloudFare.
                                      0
                                      Хммм, а если Thatwe, Verisign (Symantec) и прочие при выдаче бейджей «valid ...» которые так любят вешать на сайтах начнут сайты тестировать и менять бейдж на Not Valid! и всё такое.

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое