> Утечка происходит по так называемым «боковым каналам»: в результате злоумышленник оказывается способен прервать передачу данных, в том числе при использовании сторонами HTTPS, внедрить в них собственные.
> Кроме того, уязвимость открывает возможности для деанонимизации сетей типа Tor за счет перенаправления маршрутов прохождения информации и мониторинга сетевой активности жертв. Атака является достаточно надежной и может быть быстро произведена: на это требуется менее минуты при показателе успешного взлома в 90 процентов.
ШВАБОДКА АНОНИМНОСТЬ БЕЗОПАСНОСТЬ!
> Кроме того, уязвимость открывает возможности для деанонимизации сетей типа Tor за счет перенаправления маршрутов прохождения информации и мониторинга сетевой активности жертв. Атака является достаточно надежной и может быть быстро произведена: на это требуется менее минуты при показателе успешного взлома в 90 процентов.
ШВАБОДКА АНОНИМНОСТЬ БЕЗОПАСНОСТЬ!
Питух ос! Ни дня без отсоса!
Для тупых плис, что именно это значит?
> Linux
Ты все равно не поймешь.
>для тупых
>сидит на линухе
Ох уж эти пердоли, уже сами себя унижают.
Так вы знаете или нет?
Ну тип в лихукс можно зонд вставить и пиздить личные данные. И тор взломать.
Теперь хеккеры могут взломать твою векашечку))
Я кому-то интересен? Это приятно.
Сделал тебе приятно за щеку.
> зная IP участников.
Пeрдоля, зачем ты сам себя унижаешь?
> внедрив JavaScript-код
NoScript-боярам можно выдохнуть.
>Encrypted connections (e.g., HTTPS) are immune to data injection
>в результате злоумышленник оказывается способен прервать передачу данных, в том числе при использовании сторонами HTTPS, внедрить в них собственные.
Пидорашкинские журнашлюхи, как обычно, не сумели перевести.
>serious vulnerability unintentionally introduced in the latest TCP specification which is subsequently implemented in the latest Linux kernel.
>First of all, neither Windows nor FreeBSD has implemented all three conditions that trigger challenge ACKs according to RFC 5961. More importantly, the ACK throttling is not found for Windows or MAC OS X. Ironically, not implementing the RFC fully, in fact is safer in this case.
Лол. Спермоблядки с каменными топорами оказались неподверженными уязвимости, найденной в бензопилах. Даже не знаю, смеяться или плакать.
>In general, we believe that a DoS attack against Tor connections can have a devastating impact on both the availability of the service as a whole and the privacy guarantees that it can provide. The default policy in Tor is that if a connection is down between two relay nodes, say a middle relay and an exit relay, the middle relay will pick a different exit relay to establish the next connection. If an attacker can dictate which connections are down (via reset attacks), then the attacker can potentially force the use of certain exit relays.
>the middle relay will pick a different exit relay
Хуйню несут. Выходную ноду выбирает не релей, а клиент.
http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
Можете задавать вопросы о безопасности своих конфигурации в свете этой уязвимости.
>в результате злоумышленник оказывается способен прервать передачу данных, в том числе при использовании сторонами HTTPS, внедрить в них собственные.
Пидорашкинские журнашлюхи, как обычно, не сумели перевести.
>serious vulnerability unintentionally introduced in the latest TCP specification which is subsequently implemented in the latest Linux kernel.
>First of all, neither Windows nor FreeBSD has implemented all three conditions that trigger challenge ACKs according to RFC 5961. More importantly, the ACK throttling is not found for Windows or MAC OS X. Ironically, not implementing the RFC fully, in fact is safer in this case.
Лол. Спермоблядки с каменными топорами оказались неподверженными уязвимости, найденной в бензопилах. Даже не знаю, смеяться или плакать.
>In general, we believe that a DoS attack against Tor connections can have a devastating impact on both the availability of the service as a whole and the privacy guarantees that it can provide. The default policy in Tor is that if a connection is down between two relay nodes, say a middle relay and an exit relay, the middle relay will pick a different exit relay to establish the next connection. If an attacker can dictate which connections are down (via reset attacks), then the attacker can potentially force the use of certain exit relays.
>the middle relay will pick a different exit relay
Хуйню несут. Выходную ноду выбирает не релей, а клиент.
http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
Можете задавать вопросы о безопасности своих конфигурации в свете этой уязвимости.
Ах, да, чуть не забыл главное. Соснули ВСЕ, потому что атака может проводиться как на клиента, так и на сервер. Напомнить, под какой ОС работает большинство веб-серверов?
Лол, вот это маневры, пердосервера только долбоебы держат.
>Пидорашкинские журнашлюхи, как обычно, не сумели перевести.
Тяжело переводить фантазии порванного пердоребенка.
Поздравляю, ты отправил этот пост на сервер долбоёба через ISS долбоёбов.
>ТАМ НЕТ ТАКИХ СЛОВ ЗНАЧИТ HTTPS ВЛАМАЛИ
)))
Ну, так где написано что у https есть иммунитет, маня, пока что ты только неумело маневрируешь вырывая из контекста неполные фразы.
> Проблема уже подтверждена https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5696 в Linux https://security-tracker.debian.org/tracker/CVE-2016-5696 и проявляется c 2012 года в выпусках ядра Linux c 3.6 по 4.7. В качестве обходного метода защиты рекомендуется увеличить лимит на число одновременно обрабатываемых ACK-пакетов, установив переменную /proc/sys/net/ipv4/tcp_challenge_ack_limit в очень большое значение. Для новых ядер значение по умолчанию увеличено со 100 до 1000 и добавлена дополнительная рандомизация для снижения предсказуемости параметров работы системы ограничения ACK-пакетов.
Ну, так где написано что https уязвим, маня, пока что ты только неумело маневрируешь, выдавая фантазии пидорахи за истину.
У кого что?
cat /proc/sys/net/ipv4/tcp_challenge_ack_limit
100
cat /proc/sys/net/ipv4/tcp_challenge_ack_limit
100
cat /proc/sys/net/ipv4/tcp_challenge_ack_limit
999999999
?
/etc/sysctl.conf
> >на ссаном спермоЛОРе
> 2ch
А ты туповат.
Виндобляди только бы кукарекнуть о своем превосходстве над божественным линуксомнет
Шутки-шутками, а непреодолимое желание указать, что кто-то соснул, всегда приносит в /s/ все свежие новости.
А что бывают не пердосервера? Или может прошивки роутера на шиндовс?
Обоссал дебила с ведром 2.2 кукарекающего об уязвимостях.
Арче-бог
У него сперма головного мозга.
Майки сами имеют сервера на линукс.
Вплоть до 4.7
А я думал что в линупсе уязвимостей нет...
Харкач на 10-м freebsd работает
Уязвимости есть везде, где то больше, где то меньше, где то оперативно исправляют, а где то до сих пор дыра не закрыта из за архитектуры технологии, привет smb.Даже в тебе, да и во мне тоже есть.
Why so manyamiroque?
>Смотрите также:
>Ошибка в дизайне Windows позволяет обойти UEFI SecureBoot
>Компания Microsoft по ошибке рассекретила закрытые ключи для механизма безопасной загрузки SecureBoot, тем самым открыв злоумышленникам доступ к устройствам на базе ОС Windows, включая смартфоны и планшеты.
>ВКЛЮЧАЯ СМАРТФОНЫ И ПЛАНШЕТЫ
FUCK YEAH!
Именно. Даже на тот, что на ARM-камнях.
Какие там деньги, так, десяток-другой долларов. Спермософт пытается перейти на гугловскую модель отъёма денег — с продажей таргетирования и попиныванием петухов в сторону апстора. Конечно, из этого нихуя не получится, но это уже другой вопрос.
Да и хер с ним. Если так принципиально - можно Б/У купить.
> Напомнить, под какой ОС работает большинство веб-серверов?
Под windows?
>на ссаном спермоЛОРе опять нихуя нет
Не распространять.
Отвлекать.
А вот не надо дистрибутивы для домохозяек на серверах использовать.
> Disable TCP Simultaneous Connect
>
>CONFIG_GRKERNSEC_NO_SIMULT_CONNECT:
>
>If you say Y here, a feature by Willy Tarreau will be enabled that
>removes a weakness in Linux's strict implementation of TCP that
>allows two clients to connect to each other without either entering
>a listening state. The weakness allows an attacker to easily prevent
>a client from connecting to a known server provided the source port
>for the connection is guessed correctly.
>
>As the weakness could be used to prevent an antivirus or IPS from
>fetching updates, or prevent an SSL gateway from fetching a CRL,
>it should be eliminated by enabling this option. Though Linux is
>one of few operating systems supporting simultaneous connect, it
>has no legitimate use in practice and is rarely supported by firewalls.
> TCP/UDP blackhole and LAST_ACK DoS prevention
>CONFIG_GRKERNSEC_BLACKHOLE:
>If you say Y here, neither TCP resets nor ICMP
>destination-unreachable packets will be sent in response to packets
>sent to ports for which no associated listening process exists.
>It will also prevent the sending of ICMP protocol unreachable packets
>in response to packets with unknown protocols.
>This feature supports both IPV4 and IPV6 and exempts the
>loopback interface from blackholing. Enabling this feature
>makes a host more resilient to DoS attacks and reduces network
>visibility against scanners.
>The blackhole feature as-implemented is equivalent to the FreeBSD
>blackhole feature, as it prevents RST responses to all packets, not
>just SYNs. Under most application behavior this causes no
>problems, but applications (like haproxy) may not close certain
>connections in a way that cleanly terminates them on the remote
>end, leaving the remote host in LAST_ACK state. Because of this
>side-effect and to prevent intentional LAST_ACK DoSes, this
>feature also adds automatic mitigation against such attacks.
>The mitigation drastically reduces the amount of time a socket
>can spend in LAST_ACK state. If you're using haproxy and not
>all servers it connects to have this option enabled, consider
>disabling this feature on the haproxy host.
>If the sysctl option is enabled, two sysctl options with names
>"ip_blackhole" and "lastack_retries" will be created.
>While "ip_blackhole" takes the standard zero/non-zero on/off
>toggle, "lastack_retries" uses the same kinds of values as
>"tcp_retries1" and "tcp_retries2". The default value of 4
>prevents a socket from lasting more than 45 seconds in LAST_ACK
>state.
Теперь всплывет сообщение о том что нужно сервис пак установить?
Так ведь починили еще 10 июля.
Не сильно большая проблема. То, что сейчас есть в stable-ветках той же генты — достаточно стабильно для использования в продакшене. Закрытие стабильный патчей было направлено в первую очередь против производителей embedded-железяк.
>Админ локалхоста, плиз.
tcp_challenge_ack_limit уже увеличил? :3
>Админ локалхоста, плиз.
Насяльника денег на подписку пожалел?
Не знаю. Тебе же штабильно надо
Ну и задудосят твой SSL. Толку тебе от него, если сессия будет рваться каждую минуту?
Замечательный индикатор того, что тебя атакуют.
мимо
Бамп отсосу питухосников.
Оффтопик: А на чем Эд сидит? Это линух какой-то?
Очередной отсос клоунов.
https://geektimes.ru/post/279472/
https://geektimes.ru/post/279472/
Кто соснул?
Все версии шиндовс.
Ну тащемта работает не только там, но включено по дефолту тольк, да.
Почитал немного - да уж, такое костыльное и дырявое говно мог только спермософт придумать: https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Мне сразу показалось, что это уже было не так давно. Скачал презенташки — и правда, было, причём тоже с HTTPS:
https://habrahabr.ru/company/mailru/blog/259521/
>Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN
Ёбаный петух, при чём здесь вообще VPN? Ещё бы написал «защищенным при помощи HTTPS и VPN, iptables и Kaspersky Antivirus Profeshnal». Не тащи сюда больше хаброблогеров-дебилов, давай ссылки на оригиналы.
Спермач загорелся и горит.
Где?
ITT
> давай ссылки на оригиналы.
https://it.slashdot.org/story/16/08/13/0149241
> при чём здесь вообще VPN
Все дело в том, что популярные VPN-клиенты, вроде OpenVPN, не очищают сетевые настройки, заданные WPAD. Это означает, что если атакующему уже удалось установить на ПК жертвы свои настройки прокси, прежде, чем на этом ПК было установлено соединение с VPN, то трафик также будет идти через прокси-сервер злоумышленника. Это открывает возможность получения всех данных, указанных выше.
>OpenVPN
ПЕРДООТСОС
OpenVPN используется в операционных системах Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android, iOS.
>VPN-клиенты, вроде OpenVPN, не очищают сетевые настройки, заданные WPAD
А при чём здесь VPN-клиенты, если с WPADом работают браузеры?
А дальше?
До ACPI ему далеко. Вот настоящий венец их инженерного гения.
А дальше VPN отправляет пакеты туда, куда их отправил браузер, но через VPN-сервер.
Почему средство создания виртуальных сетей вообще должно что-то делать с настройками браузера? Оно работает на более низком уровне, выставлять претензии к нему настолько же глупо, насколько глупо было бы винить WPA2 в том, что браузер слил куда-то пароли.
Меняешь одну строчку в реестре групповыми политиками, и всё норм.
Уже ПОПЕРДОЛИЛСЯ GPOшечкой в СРАЧЕЛЬНИЧЕК, БГГ?
> через VPN-сервер
> то трафик также будет идти через прокси-сервер злоумышленника
Анончик, внимательнее. Дырка позволяет мимо впн гонять трафик.
> После драки кулаками не машут.
По умолчанию включено, понятно что выключив ты закроешь дыру.
>мимо впн
Не пытайся найти в тексте то, чего там нет. Так сказано:
>трафик также будет идти через прокси-сервер злоумышленника
а не
>трафик также будет идти только через прокси-сервер злоумышленника
Да, будет, но сперва через VPN-сервер, а уже затем через сервер злоумышленника. VPN работает ниже браузера, он отправит все пакеты через себя независимо от настроек браузера.
Ну вот и будет джва трафика. Ты счас опять спросишь про впн, притом что не сбрасывает сетевые настройки и позволяет использовать дырку, тоесть создает ложное представление о защищенности тунелирования.
>джва трафика
Не два, а один.
Без VPN пакет будет сгенерирован браузером и пойдёт через default gateway на проксю хацкера.
С VPN пакет будет сгенерирован браузером и пойдёт через default gateway на VPN-сервер, а оттуда на проксю хацкера.
>притом что не сбрасывает сетевые настройки
Чёто ты тугой какой-то. Да, я опять спрошу про VPN: почему VPN должен лезть в настройки браузера, если он работает на уровне системы?
>создает ложное представление о защищенности тунелирования
Ну да, защищённо тунелирует прямо до сервера злоумышленника. Зато провайдер не подслушает.
Что для тебя обозначает слово "также" ?
Думаю, то же, что и для тебя.
Если ты не ответишь на мой вопрос и в следующем посте, наш разговор будет закончен.
Ты все правильно пишешь.
Но игнорируешь "также", тоесть и по впн и мимо него.
Я сам заебался писать, короче ты оставайся при своем мнении, я при своем. Но написанного не выкинишь.
Тест
ʇsǝʇ
Эксплоит есть рабочий?
rm -rf --no-preserve-root
Ап
Бамп отсосу питухосников.
⇧
⇧
⇧
Эка бомбит у агентов корпораций, что у их унылых дорогих поделий есть более совершенные и абсолютно бесплатные и свободные альтернативы
> Например, пользователи Ubunta могут сделать это следующим образом
> Ubunta
Спермобляди, как всегда, соснули по привычке.
Убунтята стали спермоблядями?
Ты поехавшая спермоблядина, лол.
Ну хуй знает кто ещё мог так охуенно написать название Ubuntu, кроме тупого спермача.
Тупой дибианщик, например.
Спермобляди стали убунтятами. Но до сих пор остались спермоблядями.
Неистово двачую. Дебианщик хуже спермача.
https://naked-science.ru/article/hi-tech/tcp-distributivov-linux-okazalsya