The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от opennews (ok), 05-Июл-18, 11:59 
Опубликован (https://archives.gentoo.org/gentoo-announce/message/407b99d8...) отчёт (https://wiki.gentoo.org/wiki/Github/2018-06-28) с изложением хронологии событий, связанных с компрометацией (https://www.opennet.ru/opennews/art.shtml?num=48870) GitHub-репозиториев проекта Gentoo, в результате которой удалось поместить в код вредоносные вставки. Злоумышленники подобрали пароль от учётной записи администратора репозитория на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте (администратор использовал одинаковые пароли на разных сайтах).  Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.


После пяти дней блокировки доступа, целостность GitHub-репозиториев в настоящее время полностью восстановлена. Деструктивные изменения находились в GitHub-репозиториях (зеркала основных репозиториев) gentoo/gentoo, gentoo/musl и gentoo/systemd около 10 часов с вечера 28 до утра 29 июня. Первичные репозитории ebuild и основной код, размещённый на собственных серверах Gentoo, не пострадали.

URL: https://archives.gentoo.org/gentoo-announce/message/407b99d8...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48914

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +5 +/
Сообщение от A.Stahl (ok), 05-Июл-18, 11:59 
Просто подобрали админский пароль перебором по базе паролей? Скучно. Никакого трагизма. Никакого suspense. Серая обыденность бытия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +7 +/
Сообщение от Аноним (3), 05-Июл-18, 12:01 
>Просто подобрали админский пароль перебором по базе паролей?

Читайте внимательнее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

90. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Илья (??), 06-Июл-18, 06:52 
Мне кажется это всё из-за высоких требований к паролям на разных ресурсах. Тут либо на бумажку записывать, либо действительно один пароль к нескольким ресурсам использовать. Особенно это касается сайтов, на которые редко заходишь.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

93. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от barmaglot (??), 06-Июл-18, 09:40 
А ещё есть KeePass, Seahorse ... Отмазка о требовании на сайтах "сложных паролей", это отмазка идиотов.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

110. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Аноним (110), 07-Июл-18, 13:30 
Если вы используете одно единственное устройство, то вы ещё правы. Но когда у вас дома одна система, на работе другая, в дороге мобильник, а ещё с системы клиента надо зайки на какой сайт, то уже никакие кейпасы. Только что на телефоне открытым текстом хранить список.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

112. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Почти Аноним (?), 07-Июл-18, 14:18 
Можно и на телефоне, только не открытым текстом, а зашифрованным. Тогда пароль от этого файла - единственный, который придётся помнить.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

116. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от modos189 (ok), 08-Июл-18, 13:25 
KeePassXC на десктопе + Keepass2Android + Syncthing
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

95. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ox (?), 06-Июл-18, 09:43 
Если требования были бы меньше, На всех ресурсах использовались бы разные пароли?
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

7. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +7 +/
Сообщение от Нанобот (ok), 05-Июл-18, 12:21 
зато теперь мамкины ИБ-эксперты смогут целую неделю давать Ценные Советы по использованию паролей (и не только на опеннете)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –4 +/
Сообщение от Аноним (6), 05-Июл-18, 12:18 
Не понимаю что движет людьми, ведь достаточно немного модифицировать свой qwerty123 и подставить название сайта в произвольное место чтобы пароль никогда не подобрали. Это ведь не сложно. Например, opennet превращается в oepnent.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +25 +/
Сообщение от Аноним (10), 05-Июл-18, 12:31 
Создать сложный пароль не сложно, сложно его запомнить.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

49. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:37 
Да не такая уж и проблема запомнить пароль вида "evil-dead-pumpkin-under-rainbow".
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

76. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Maxim (??), 05-Июл-18, 22:06 
У этого пароля очень низкая энтропия.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

81. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ку (?), 05-Июл-18, 23:52 
KeepassXC показывает 77 бит и говорит что хороший пароль
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

82. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от верю (?), 06-Июл-18, 00:55 
а мне мама говорила, что я самый умный и самый красивый
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

109. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Maxim (??), 07-Июл-18, 13:14 
> KeepassXC показывает 77 бит и говорит что хороший пароль

Вы неправильно считаете энтропию. Вы уверены, что все буквы случайны.

А это не так. Предположим основной словарь английских слов 20 тыс. (все слова в произведении Шекспира 24 тыс, средний активный словарный запас взрослого носителя английского языка составляет примерно 20 000 слов).
В реальности мы врядли будем использовать для пароля слова типа идиот или перелом.
Так что в реальности намного меньше. Но пусть в среднем это будет 5000.
Тогда энтропия одного символа словаря (английское слово) - 12.28 бит
и вы используете пять таких слов, около 60 бит энтропии.

В предложенном ниже варианте ниже на картинке - вообще 4 слова. Это около 48 бит (+/-) в зависимости от словаря.

В случае оффлайн атаки, ну скажем FDE, можно достичь впечатляющих скоростей перебора.
8x Nvidia GTX 1080 Hashcat Benchmarks: SHA256 23GH/s
48 bit = 281,474,976,710,656 хешей.
12238 секунд
3.5 часа

60 bit = 580 дней

Но это всего лишь одна машина. Берем таких 10 и уже вуаля 58 дней (максимум), в среднем - месяц.

Вас спасают лишь правила тротлинга онлайн сервисов.
Но чисто теоретически можно попробывать через ботнет.
Шансы увеличиваются. А про офлайн даже не стоит и заикаться.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

113. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от psvemail (??), 07-Июл-18, 20:06 
Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная орфография, регистр и раскладка?
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

115. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Maxim (??), 08-Июл-18, 02:01 
> Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная
> орфография, регистр и раскладка?

курите hashcat, не вижу смысла разжевывать.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

104. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от freehckemail (ok), 06-Июл-18, 17:24 
> У этого пароля очень низкая энтропия.

https://xkcd.com/936/

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

118. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Andrey Mitrofanov (?), 09-Июл-18, 10:57 
>> У этого пароля очень низкая энтропия.
> https://xkcd.com/936/

У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке.

Та-а-чта, evil-pumpkin свою энтропию ополовинил.

--[DISCLMR] Нет, я не Форумный Криптограф-Учёный, 1/2 - прямо с потолка).

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

87. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Инсайдер (?), 06-Июл-18, 03:23 
Держи лучше:
put-in-put-out.1999
man.on.the.Mars-2050
vmeste.veselo.shagat-1988
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

91. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Аноним (91), 06-Июл-18, 09:23 
Да не проблема, если он один, но в реальности как правило over dofiga сервисов где нужен пароль.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

92. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от commiethebeastie (ok), 06-Июл-18, 09:37 
Маски
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

111. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (110), 07-Июл-18, 13:37 
У вас в пароле нет верхнего регистра и нет чисел. Придумайте более сложный пароль.
Предугадаю, нет, первую букву нельзя сделать капсом, тоже не пройдёт валидацию. И цифру в конце нельзя. А ещё ваш пароль подпадает под словарь (в нем слово evil есть, и пофигу, что кроме него ещё десяток символов).
Маразм требования сложных паролей он такой, да. И вот запомнить, каким маразмом страдает какой сайт, чтобы вспомнить принцип формирования пароля для него, и составляет проблему. Потому только записывать пароли и остаётся.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

73. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +6 +/
Сообщение от Аноним (73), 05-Июл-18, 20:48 
Один сложный пароль запомнить не сложно, сложно запомнить много разных паролей.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

77. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (77), 05-Июл-18, 22:21 
Сложно его не запомнить. Сложно и долго его вводить каждый раз. А оставлять залогиненым сводит на нет все преимущества пароля.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

83. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от верю (?), 06-Июл-18, 00:55 
> Сложно его не запомнить. Сложно и долго его вводить каждый раз. А
> оставлять залогиненым сводит на нет все преимущества пароля.

Почему?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

11. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +6 +/
Сообщение от КО (?), 05-Июл-18, 12:36 
Читайте внимательно именно на такой модификации пароля админ и погорел.

Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от КО (?), 05-Июл-18, 13:23 
Кстати отседа вывод - пароли надо менять каждые два месяца. :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +4 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 13:33 
Отсюда вывод — двухфакторная авторизация. Потому что заставить большинство людей "нормально" (не qwerty -> qwerty2 -> qwerty3) часто менять пароли — нереалистично. А вот заставить использовать двухфакторную (с токеном+пальцем или SMS), что убьет большую часть атак — реалистично.

В этой ситуации, например, взломщику пришлось бы дополнительно еще получать доступ к устройству администратора, что уже усложнило бы и удорожило бы взлом.

В этой ситуации еще помог бы репортинг по неудачным попыткам входа. Их было бы аномально много, а если еще делать анализ схожести неудачных паролей, то можно было бы превентивно без человеческого фактора понять, что пароль подбирают не рандомно, а кружатся вокруг известной базы.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +2 +/
Сообщение от Аноним (33), 05-Июл-18, 14:17 
А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе, заметишь ты что один стал слать чаще?

> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора

Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90% всего.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от КО (?), 05-Июл-18, 14:27 
>А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе

Ну есть важное и не очень. Нормальный почтовый клиент письма от разных сайтов может раскладывать по разным папкам и если в папке связанной с работой прилетело оповещение, то наверное заметишь.

Но так то да - фалс алармы они другая сторона палки.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от RotarenegeD (?), 05-Июл-18, 15:17 
анализировать подозрительную активность может написанный на коленке скрипт, не говоря о том что есть куча готовых решений, возможно теперь прикрутят, а может и нет.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:23 
> А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов
> входе, заметишь ты что один стал слать чаще?

Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя бы. В идеале — если также в неудачных паролях замечена какая-то общность.

>> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
> Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90%
> всего.

Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

97. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:02 
> Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя
> бы. В идеале — если также в неудачных паролях замечена какая-то
> общность.

Ну и вот, пытались раз в сутки, стали 100 раз, пришла смс, ну ок, пытаются, снова упала активность, снова выросла опять выросла, ботнет долбит одну сеть потом дгугую, потом первую, что пароль чтoле менять, ну допустим так сделают. Станут специально долбить периодично, чтобы генерировать смс и вынуждать пароли менять, а зачем сложный если раз в неделю меняешь, пароли станут проще, проще ломать.

> Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

А ты зайди с другого конца, украли телефон, разлочили, софт там дырявый, или просто трояна подсадили, и оттуда же хакнули, даже пароль не надо, через восстановление, или надо еще почту прикручивать, и на телефоне не хранить пароль/куки-сеанса почты, так потвоему, а почту на другую почту завязывать и ту на другой номер, да это бред.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

34. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от КО (?), 05-Июл-18, 14:23 
>Отсюда вывод — двухфакторная авторизация

Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот же смарт запросить смену пароля, и получить ее на почту (sms) в том же смарте. А то ведь большинство "двухфакторных" они такие.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:34 
>>Отсюда вывод — двухфакторная авторизация
> Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот
> же смарт запросить смену пароля, и получить ее на почту (sms)
> в том же смарте. А то ведь большинство "двухфакторных" они такие.

Ну, это уже вопрос реализации, best practices и пр. Благо, количество сайтов с умеренно чувствительными данными на порядки меньше, чем количество пользователей с такими данными, поэтому учесть на большинстве из них эти моменты — можно.

А восстановления первого фактора через SMS со вторым фактором в виде SMS — это, конечно, печаль, согласен. Мне здесь больше нравится вариант с locally generated tokens, в идеале — с доп. аутентификацией по PIN-у или отпечатку.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

46. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 16:29 
Нет второго фактора, пока у тебя канал связи один.
Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих токенах.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

59. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:29 
> Нет второго фактора, пока у тебя канал связи один.
> Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков
> они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих
> токенах.

Почему меня не спасет одноразовый токен, который высылается в SMS или генерится приложением на моем устройстве при аутентификации, например, по отпечатку или PIN-у? Который я потом через HTTPs-форму ввожу на сайт?

Я же не пытаюсь защиту от всего придумать, но двухфакторка срезает большинство атак. Остаются только те, где атакующий ОЧЕНЬ мотивирован или ему ОЧЕНЬ повезло и достались сразу оба ключа,: еще и от одного пользователя, к тому же.

Если вы — не параноик, а потенциальный объект такой сложной атаки, то вас очень мало, и вашу проблему дополнительными мерами решить намного проще. Такое малое количество людей можно и пароль сложный на чувствительные даныне ставить научить, например. А в особо чувствительных случаях — и смарткарту выдать.

Для защиты большинства ничем не примечательных пользователей будет достаточно того, что я предлагаю.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

63. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 18:31 
Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов среди тех где есть аутентификация.
Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.

Я против любой аутентификации тушки: она даёт какую то гарантию только в случае если есть отдельный человек который контролирует что и как суют в сканер, будь то отпечатков пальцев или глаз или ещё чего.

ПИН - это просто расширение твоего пароля, с таким же успехом ты можешь дописывать пин к каждому паролю.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

74. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 21:42 
> Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов
> среди тех где есть аутентификация.
> Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.
> Я против любой аутентификации тушки: она даёт какую то гарантию только в
> случае если есть отдельный человек который контролирует что и как суют
> в сканер, будь то отпечатков пальцев или глаз или ещё чего.

И этот человек может быть подкуплен. ;) Или эксплуатирована уязвимость в системе за человеком. Идеальной безопасности нет. В лучшем случае есть безопасность, которую ещё не взломали (и зачастую здесь есть человеческий фактор, который можно эксплуатировать). Рационально обычно бывает использовать безопасность, которую слишком дорого взломать.

> ПИН - это просто расширение твоего пароля, с таким же успехом ты
> можешь дописывать пин к каждому паролю.

Пин делает недостаточным только доступ к устройству.

Смотри, предположим, я обычный Коля Ноунеймыч. У меня есть счёт в банке, где лежит обычно, скажем 100 000.

Мне нет смысла ради этих 100 000 придумывать какие-то сложные решения со смарт-картами — мне это дороже будет. А ради моих копеек уже двухфакторку с SMS ломать никто не будет. Это уже обычным массовым взломом не сломать. А морочиться работой под меня ради таких денег никто не будет.

Если у меня там миллиарды — это другое дело, здесь и поморочиться можно. Но и я, если не дурак, здесь и смарткарту, и лимиты переводов (чтобы локализовать потери, если вдруг все же что случится), и ещё чего применю.

Если у меня ядерные боеголовки —я и вовсе на безопасность разгуляюсь. Неудобно, конечно, запускать будет, но слишком уж велики потери провала.

Но согласись, для защиты от кражи моих 100 000 применять меры защиты от ядерной зимы и вымирания — излишне.

Нищего и нож защитит — никто ради лохмотьев не свяжется, а богатому и армии может быть мало. И нищему морочиться армией — не нужно.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

79. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 23:26 
1. 100к для россии большая сумма.
В гермашке не так давно кто то заморочился и поуводил бабло с двухфакторкой по смс.

2. Если у тебя ярды то ты попал.
Там совсем не такие проблемы как ты думаешь, и никакой идиот не дарит их банку, их паркуют в каких то фондах и пр, а на счетах держат какие то обычные суммы, при необходимости пополняют за счёт продажи всяких акций или дивидендов.
Это только у нас отморозки от безысходности держат общаки в виде квартир в которых всё забито коробками с налом.

3. У амеров одно время стоял код запуска 00000000 - и был прописал везде, чтобы в случае чего любой выживший мог трясущимися руками набрать и отомстить советам.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

65. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 18:34 
> Нет второго фактора, пока у тебя канал связи один.

В школе про TOTP не рассказывали?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

69. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 19:55 
В него как попадёт что то, о чём не знает тот кто по средине (К)?
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

70. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 20:07 
Твою дивизию. Иди кури RFC 6238
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

80. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от KonstantinB (ok), 05-Июл-18, 23:44 
Принципиальная разница в том, что за отсутствием MITM надо проследить ровно один раз.

От ssh ничем не отличается в этом смысле.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

40. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (40), 05-Июл-18, 15:46 
одновременно на всех сайтах на одни и те же
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

50. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:40 
> Кстати отседа вывод - пароли надо менять каждые два месяца. :)

Отседа вывод -- двухфакторная плюс мониторинг.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от имя (?), 05-Июл-18, 14:46 
> Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

Как это можно было заметить? Информация об этом вскрылась только после соответствующего запроса в GitHub:

>  22:14 Gentoo emails GitHub requesting activity logs.
>  22:47 GitHub responds, assuring Gentoo that the audit is ongoing and logs will be produced soon.
>  23:47 GitHub formally responds with audit logs and security recommendations (e.g. 2FA)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

84. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (84), 06-Июл-18, 01:46 
Если модификация не словарная, это ничем не отличается от брутфорса. 56 возможных знаков, 8 символов, удачи подобрать. Тем более если модификация позиционная, сложность подбора вырастет ещё на порядки. 8 простых мнемонически ассоциированных символов запомнить не трудно.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +5 +/
Сообщение от Никонор Бонифатич (?), 05-Июл-18, 13:00 
> Не понимаю что движет людьми, ведь достаточно немного модифицировать
> администратор использовал похожие пароли

похожий == модифицированный


> чтобы пароль никогда не подобрали
> Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом

"никогда" кончилось через 3 месяца

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

71. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (71), 05-Июл-18, 20:08 
А кому вообще могло прийти в голову подналожить Генту, мелкософт просто так развлекался и купил ГитХаб, чтобы замести следы!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

75. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 22:01 
Основатель Gentoo Роббинс работал в MS лет пять. Так что если бы MSу был нужен этот дистриб для фриков они бы в то время еще его под себя положили.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

4. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –12 +/
Сообщение от Лапка (?), 05-Июл-18, 12:12 
>администратор использовал одинаковые пароли на разных сайтах

Гентушники как и арчеры часто мнят из себя гуру в Linux. Все это ложь.

Не поливайте грязью в ответ, а скажите - "Ну да, молодецкое хвастовство. Мы исправимся".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –4 +/
Сообщение от AnonPlus (?), 05-Июл-18, 12:41 
Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами. Это не от ОС зависит а от прокладки меж монитором и стулом.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Аноним (-), 05-Июл-18, 12:51 
> для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами

Тут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение на длину и множество символов. Бесит

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

51. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:43 
>> для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами
> Тут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение
> на длину и множество символов. Бесит

Да ладно заливать. Ограничение пароля по длине сверху? Не может такого быть. Один же фиг в базе хранятся хэши одинаковой длины.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

72. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Аноним (72), 05-Июл-18, 20:11 
А не будет такой фигни как в своё время в нетвари, когда разные пароли иной раз имели одинаковый хэш?
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

98. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:16 
> А не будет такой фигни как в своё время в нетвари, когда
> разные пароли иной раз имели одинаковый хэш?

Конечно будет, у любого хэша есть пары дающие одинаковый результат, а вот вероятность зависит от длины хэша и качества алгоритма, если хэш в 2 байта, можно на бумажке такие пары найти, если 30 байт, то на старенькой майнинговой ферме за недельку найдешь, если 1024 байта хэш, то хозяева вычислительного ресурса раньше спалят по аномальному потреблению электричества.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

20. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 13:11 
А смысл!?
Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.

Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
Да ничего они не стоят.
И дудль акк тоже ничего не стоит, и всякие реги от торрент трекеров и тп.

Чего то стоит акк в сбере онлайн, и доступы на всяких серверах - там хотя бы помайнить можно или траф через них пустить или упереть что то ценное.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от Аноним (29), 05-Июл-18, 13:51 
>А смысл!?
>Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.
>Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
>Да ничего они не стоят.

Хакер может пошалить с вами и написать от вашего имени такие слова на форумах и соц. сетях, что они будут подпадать под статьи уголовного кодекса.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

42. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 15:59 
Там всё равно по IP пробивают, нервы потрепать только могут.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

99. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:21 
> Там всё равно по IP пробивают, нервы потрепать только могут.

А вот забавно, если найдут на компе vpn, а пост из уругвуя, доказывай потом что не ты сидел через уругвай, хотя ssh умеет же туннели, и на каждом 2м роутере есть, хорошо что менты не в курсе.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

36. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от нах (?), 05-Июл-18, 14:37 
> Чего то стоит акк в сбере онлайн

не, ничего не стоит. Угоняется на раз-два, если есть доступ к источнику поддельных sim-карт.
И у правильных ребят он - есть.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

43. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 16:00 
Там хотя бы есть для чего пароль придумывать, какие то деньги, а вот сюда нафик пароль упал?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

48. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от нах (?), 05-Июл-18, 16:29 
думаешь, мои враги украв мой пароль, оплатят за меня те сто тыщ, которые я торчу сберу? ;-)
("какие-то деньги", ага, вот такие)
А учитывая как оно там все устроено - нелепо хранить там что-то, кроме долгов.
Пока мабила не подделана - в целом, хоть 1234. А когда подменят - не поможет. Учитывая, что они аутсорсят кому попало что попало (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.
А сюда - так ведь и логин нафиг не упал.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:46 
> Пока мабила не подделана - в целом, хоть 1234. А когда подменят
> - не поможет. Учитывая, что они аутсорсят кому попало что попало
> (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.

Кстати, спасибо за инфу.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

100. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:29 
> А учитывая как оно там все устроено - нелепо хранить там что-то,
> кроме долгов.

А что мешает ваш долг увеличить? Опсосам абсолютно все равно знали вы про роуминг и платность звонков или нет, есть договор, есть сертифицированный биллинг, скажут что за смс 50 тысяч, значит 50, долги тоже аутсорс выбивает.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

27. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ryoken (ok), 05-Июл-18, 13:45 
> Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль
> с буквами разного регистра, цифрами и спецсимволами.

Чем генерируете? В венде ж нет /dev/urandom, чтоб из него дёргать простым способом?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от iPony (?), 05-Июл-18, 13:55 
Ну на плюсах просто. Приложений много же
https://docs.microsoft.com/ru-ru/windows/desktop/SecCNG/usin...
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

44. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 16:02 
Это чистый си.
И для рандома есть CryptoAPI, хз насколько он предсказуемые результаты отдаёт.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от Аноним (32), 05-Июл-18, 14:13 
зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

47. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ryoken (ok), 05-Июл-18, 16:29 
> зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?

Обычно клава лежит одинаково, её ещё и вертеть надо, чтоб улучшить рандомность :). По некоторым своим попыткам пароль сочинить замечал, что часто повторяются значки из второго, например, ряда педалей.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 16:04 
На самом деле просто делается.
Берётся секретный пароль, он скармливается в HMAC, туда же уходит логин и домен в одном регистре, на выходе получаем 128-512 бит пароль в зависимости от выбранного хэш алгоритма.
Пароли к разным ресурсам получаются хоть и связанными но эту связь обратно не провернуть.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

8. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от fi (ok), 05-Июл-18, 12:22 
хорошая вещь keepassx2 - пароли превращаются в длинные бессмысленные токены.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +2 +/
Сообщение от Аноним (-), 05-Июл-18, 13:10 
Вот только щас использовать надо KeePassXC.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

41. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Аноним (41), 05-Июл-18, 15:49 
В чем отличие от KeePassX?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

52. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Hgtuugt (?), 05-Июл-18, 16:45 
cpp
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

22. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 13:13 
Очередная фиговина из серии: храните деньги в сберегательной кассе.
Очень удобно потом только за ней и следить чтобы все пароли намайнить когда ты троян.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (32), 05-Июл-18, 14:13 
это лишь один из инструментов, а не панацея. От троянов и бекдоров спасает только бумажный блокнот, уязвимый при наличии физ доступа
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

61. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Crazy Alex (ok), 05-Июл-18, 18:02 
Тут кому что. При общей вменяемости шанс нарваться на троян многократно меньше, чем шанс налететь на брутфорс простого пароля (потому что придумывать 100500 сложных уникальных никакой головы не хватит) или использование утекших данных с одного ресурса на других (если используешь всего несколько, но общих для разных ресурсов). Тем более, когда речь о линуксе - тут трояны как-то не особо водятся.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

64. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 18:34 
Ну сбрутят простой пароль, да и хер с ним.
В след раз или регатся там не будет потому что ресурс ненужный или сделает нормальный пароль.
Не нужно делать из этого трагедию всей жизни.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

13. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –5 +/
Сообщение от myhand (ok), 05-Июл-18, 12:42 
Три месяца долбились.  Как хорошо что после компрометации репозиториев и недельного шотдауна - логи кто-то таки заметил.

Все что вы хотели знать о генте, но боялись спросить...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от ваноним (?), 05-Июл-18, 12:59 
в сути не разбирайся — комментарий пиши
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

108. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от myhand (ok), 07-Июл-18, 11:24 
Минусуй - не рефлексируй.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от ананим.orig (?), 05-Июл-18, 13:08 
> на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте
> на GitHub ...на стороннем сайте

ну да... о генте.
не о вантузе же в самом деле.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

106. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от myhand (ok), 07-Июл-18, 11:21 
> ну да... о генте.

GitHub-репозиториев проекта Gentoo
проекта Gentoo
проекта Gentoo
проекта Gentoo

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от pull request (?), 05-Июл-18, 13:19 
Ну долбились то в гитхуб. Как гентушники могли это заметить?
Тут скорее "все что вы хотели знать о хостинге инфраструктуры в облаке, но боялись об этом спросить".
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

56. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Аноним (56), 05-Июл-18, 17:00 
Ага, а администратор с паршивым паролем не виноват. Это всё злобный гитхаб и M$.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

103. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от pull request (?), 06-Июл-18, 16:21 
Администратор тоже виноват, конечно.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

107. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от myhand (ok), 07-Июл-18, 11:23 
> Ну долбились то в гитхуб. Как гентушники могли это заметить?

Логи, де^Wальтернативно одаренный!  Логи!  Они на гитхабе доступны даже гентушникам, прикинь.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

18. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +7 +/
Сообщение от Григорий Правдивый (?), 05-Июл-18, 13:08 
> администратор использовал похожие пароли на разных сайтах

Уволить животное.

> Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.

С взысканием зарплаты за последние 3 месяца.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Анонимный (?), 05-Июл-18, 18:14 
Может засланный казачок? Если такие проблемы с бдительностью, что его 3 месяца лапошили как падавана админа.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (24), 05-Июл-18, 13:20 
А что подменили нет инфы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (28), 05-Июл-18, 13:45 
rm -rf /* добавили в репозитории gentoo/gentoo (e6db0eb4, afcdc03b, 49464b73, fdd8da2e), gentoo/musl (e6db0eb4) и  gentoo/ systemd  (c46d8bbf, 50e3544d).
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +6 +/
Сообщение от Аноним (38), 05-Июл-18, 15:10 
> gentoo/ systemd

А ведь это был последний шанс.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

67. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (67), 05-Июл-18, 18:53 
что значит похожие? они что в открытом виде хранились?
Может быть одинаковые?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (68), 05-Июл-18, 19:06 
Так руководителя-то разжаловали за некомпетентность?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Аноним (88), 06-Июл-18, 04:23 
Наделлу? Конечно, лишили 7и клюшек для гольфа из 10и
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

94. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (68), 06-Июл-18, 09:41 
Руководителя организации Gentoo, который не слышал ни о нормальных паролях, ни о 2FA.
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

78. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Аноним (78), 05-Июл-18, 23:00 
Там защита от преребора есть вообще?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ptremail (??), 06-Июл-18, 02:04 
А про fail2ban они не слышали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от anonymous (??), 06-Июл-18, 11:26 
Там вполне могли пробовать по 2-3 пароля в сутки. Схема формирования, видимо, была в целом понятна, оставалось подобрать детали.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

105. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ptremail (??), 07-Июл-18, 05:11 
Ну и что? При правильной настройке, время бана прогрессирует в геометрической прогрессии. У меня в jail объекты с баном на несколько месяцев уже имеются.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

119. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от UzerCruzer (?), 11-Июл-18, 09:28 
И каким образом Вы способны идентифицировать идиота от хакера? Или Вы любому идиоту указываете на дверь?
А загоны про куки и прочих чёртовых гуки - наивность.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

86. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Денис (??), 06-Июл-18, 02:55 
Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю в словах ошибки или вставляю цифры в слова, естественно пароль вводится по английски, пример:
Ма2ма мыла рами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:37 
> Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю
> в словах ошибки или вставляю цифры в слова, естественно пароль вводится
> по английски, пример:
> Ма2ма мыла рами.

Плавали, знаем, потом на планшете такое удовольствие.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

120. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от UzerCruzer (?), 11-Июл-18, 09:30 
Keep calm and write "ихний"
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

89. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от немезидеЦ (?), 06-Июл-18, 05:51 
Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули банан"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:38 
> Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули
> банан"

Вариаций этих обезьян в словарях уже, наверное, 40 лямов

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

114. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (114), 08-Июл-18, 00:55 
А ведь до эры компьютеров "пароль" - это была фраза.
Вот кто из "компьютерных гениев" придумал паролем называть несколько букв?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (117), 08-Июл-18, 18:54 
Тот же кто 8 букв для имени файла
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру