Replies (105)

  • @vt, На шинде нету, что ли.
  • @mabu, During our initial research, we discovered ourselves that Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, and others are all affected by some variant of the attacks," explained Vanhoef.

    А дальше нам объяснят, что мы читать не умеем и там только Linux написано.
  • @oxpa, When attacking other devices, it is harder to decrypt all packets, although a large number of packets can nevertheless be decrypted
    Так это и писало красноглазое чмо, рабочего poc под другие реализации у него нет, только под швятой
  • @vt, ок, "красноглазое чмо", так "красноглазое чмо".
  • @zinid, Как защищать линукс, так в его достоинства красноглазый мудак записывает все, включая коммерческий софт. Как возникает проблема — красноглазый мудак открещивается от всего, раньше от андроида открещивались, теперь от вайфай-стека вот
  • @vt, Unfortunately, from
  • @ma1uta, Unfortunately, from
  • @vt, Unfortunately, from a defenders perspective, both iOS and Windows are still vulnerable to our attack against the group key handshake
  • @ma1uta, Где почитать заявление эпла, Микрософта, циски и тд, о том что ВИНОВАТ ПРОТОКОЛ?
  • @zinid, Взрослая контора, когда находится проблема в их продукте — несёт ответсвенность за продукт, и не несёт детский лепет про проблемы в стандарте
  • @zinid, Если ты про Тот Самый Стандарт, то я гоню на красноглазых мудаков, которые вокруг него собрались :)
  • @vt, forum.mikrotik.com Вот пример грамотного разруливания проблемы без перекладывания ответственности на кого-то
  • @vt, Теперь кто угодно может взломать пароль от вайфая?
  • @jh, Если у тебя нормальный роутер, на котором обновляется прошивка производителем, например Mikrotik, то уже все давно исправлено. Если у тебя тп-линк и подобное дерьмо, особенно с кастомными прошивками от вованов — то тут хз
  • @vt, Прошивка от Олега.
  • @mabu, Олег уже обвинил гейтса и стандарт? Выпустил исправление?
  • @vt, Не знаю.
  • @vt, Надо купить такой роутер. Связь с работой через vpn, но наверно через полгода сделают девайс который автоматически ломает сети и рассылает вирусы. Наймут каких-то студентов ходить по подъездам с этой штукой. :-)
  • @vt, It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.
    написали mikrotic на которых нужно равняться
  • @qnikst, а теперь можно и обновиться
  • @qnikst, На чем обновиться-то? Роутер-то обновил?
  • @qnikst, И телефон, ага
  • @vt, роутер в процессе. С телефоном сложнее, но хоть не айфон и обновиться
  • @qnikst, Ну вот опять красноглазый пиздеж на ровном месте
  • @vt, Микрософт починил неделю назад — portal.msrc.microsoft.com
  • @vt, ну мне нужно nixos обновить, и не представляю что там с nexus-ом, а так все системы обновлены
  • @qnikst, где бы взять прошивку для роутера чтобы банила клиенты не защищенные, это интереснее
  • @vt, Тебя пингвин клюнул?
  • @biohazardmonkey, Меня, к счастью, нет, поэтому я могу отличить красноглазый пиздеж от реальности
  • @vt, Авторизацию через plain http уже почини, взрослая контора у этого мамкиного продакт-манагера, посмотрите.
    Не должна авторизация через http на жуйке идти, давай уже реши проблему в продукте, что ты за забиватор сказочный?
  • @vt, Один ёбаный символ я тебя прошу добавить в свою парашу, рационалист блеадь
  • @wasd, Зачем ты ходишь через plain http?
  • @vt, Это проблема стандарта. Пиздуй уже исправлять, наркоманище.
  • @wasd, Что исправлять-то? Жуйк работает через https, у него есть возможность подключиться через http, для клиентов не умеющих в SNI, например. Зачем ты ходишь через http?
  • @vt, Я тебе даже геоайпи-банилку РКНовских листов обещаю проконтрибутить, честное слово //ну чтобы не удалять, а просто блочить
  • @vt, Не ебу, зачем я хожу через https, я ёбаная домохозяйка, какой нахуй браузер, я через амиго выхожу
  • @wasd, s,https,http,g
  • @vt, Клиенты, не умеющие SNI нужны меньше чем пизженые пароли куки и куки от бложиков.
    Ты сам-то считал, сколько их у тебя?
  • @vt, В конце концов, это проблема стандарта
    А взрослая контора, когда находится проблема в их продукте — несёт ответсвенность за продукт, и не несёт детский лепет про проблемы в стандарте
    Понимаешь, блядь, ответственность несёт, а не отмазки лепит
  • @vt, 99.9(9)% пользователей никогда не узнают, что данный сайт работает на https, например, а ты спрашиваешь "зачем". Надо спрашивать "почему".
  • @wasd, Давай так, я сделаю https по умолчанию, если ты расскажешь как сделать, чтоб андроид 2.3 браузер смог подключиться через http
  • @ambi, не стоит прогибаться под изменчивый tls
    @
    пусть tls прогнётся под нас
  • @vt, 4.0*
    c 4.1 только SNI в браузере
  • @vt, Ну вот я и говорю. Пользователь даже не узнает.
  • @vt, На 2.3 — 0.6% девайсов
    На 4.1 — 2% девайсов
    Я тебе говорю — ты, блядь, поехавший
  • @ambi, дык а зачем это пользователю?
  • @wasd, Не, ну кто-то же поддерживает сегодня IE6, чо так сразу-то)))
  • @zinid, Поддерживаю.
  • @ambi, Вот на ИЕ6 мне пофиг, а на андроид 2.3 — нет
  • @vt, Начнём с того что пользователям жуйк вообще не нужен ни с http, ни с https, поэтому можешь не выёбываться и просто форсировать https
  • @wasd, "вкуда" форсировать?..
  • @ambi, http => https 302 + STS
  • @wasd, Кино в 21:00 на STS.
  • @wasd, HSTS это вообще отдельная параша, тут девайс с протухшими сертификатами встрянет так, что пользователю придется скорую компьютерную помощь вызывать, чтоб ресетить устройство
  • @zinid, Особенно смешно, когда твой сертификат внезапно отвалится, как это уже произошло с WoSign.
  • @vt, Да пользователь всё равно на жуек второй раз не зайдёт.
    А если и зайдёт, то ему уже не компьютерная скорость понадобится, а скорая.
    Ладно, твоя позиция мне понятна, сливаюсь.
  • @wasd, алсо, в андроид-клиенте жуйка — https по умолчанию, и фолбек в старых версиях на http
  • @wasd, s,скорость,помощь,
  • @vt, А если я через впн сижу, то мне можно будет наплевать на дырку в вифи?
  • @kpax, Например, ты всё ещё уязвим к прямым атакам на службы на твоей машине, if any
  • @kpax, А у броадкома вообще были RCE прямо в фирмвари чипов googleprojectzero.blogspot.ru
  • @wasd, Беда :'(
  • @zinid, похоже на хохлов, которые постоянно упоминают РФ, даже когда штопают себе носки 8)
  • @SannySanoff, Нахуй пошёл, мразь
  • @vt, "Cisco is aware of the industry-wide vulnerabilities affecting Wi-Fi Protected Access protocol standards " — zdnet.com

    я поискал для тебя, не благодари.
  • @zinid, Я его предупреждал раз десять, он заебал
  • @zinid, да видать у него черная полоса
  • @vt, А подключенных клиентов тоже микротик починит? Проблема то в хендшейке, а не в роутере.
  • @vt, В единственном невскрываемом на недавний момент стандарте WPA2 AES нашли дырку. Нашёл тот же башковитый перец, что и вскрыл TKIP.

    Включи, блять, голову, ёбнутый, если ты её ещё не прохейтил совсем.
  • @Dimez, Нашел неоднозначность в "стандарте", мало ли таких стандартов? Да сотни. Это не имеет отношения к тому, как это подано, и не журналистами, а именно им. А подано в типичной брехливой красноглазой манере.
  • @Dimez, Подключенных клиентов починит вендор железа клиента, очевидно.
    Большинство прыщей уже пропатчены.
  • @vt, Чего блять?
    papers.mathyvanhoef.com
    Где там "типичная брехливая красноглазая манера"?
    Ты совсем ёбнутый или только притворяешься совсем, а на самом деле частично?
  • @wasd, WI-Fi — это в основном телефоны, планшеты, 90% которых из них получат хуй по всему лицу, а не обновления.
  • @Dimez, Очередной красноглазый долбоеб прибежал защищать пяткой свое дырявое говно :)
    Успокойся, не в линуксе проблема, проблема в тебе и твоих собратьях, но понять тебе это невозможно
  • @Dimez, Но это не проблема гугла, не проблема линукса, не проблема коммьюнити красноглазых пиздоболов, это проблема стандарта! Так победим!
  • @vt, Проблема в долбоёбах. К которым ты себя отчаянно относишь.
  • @Dimez, У них уже и так минимум трижды хуем по лицу, сильно хуже им не станет.
  • @vt, Ну так блять, если косяк в стандарте, то это проблема в стандарте.
    Гугель обновляшки выпускает для своих устройств.
    А если для EOL сторонних устройств не выходят обновления => виноват гугель?
    Если в броадкомых фирмварях эта же дырка, то это тоже виноват гугель и линукс? С логикой совсем пизда, хейтерство запороло весь моск?
  • @wasd, "Зато дёшево!"
  • @Dimez, vt
    С логикой совсем пизда
    TIL
  • @Dimez, define "хейтерство", для начала, если ты реально хочешь диалога, а не покидаться хуями
    В сотнях стандартов есть неточности, ну и что? Это не дает права перекладывать ответственность на кого-то. Здесь или в соседнем треде я уже сто раз написал — мудаком в ситуации является тот, кто перекладывает ответственность и лепечет про стандарт.
  • @vt, Ответственность похуй @ фикс выпустили. Ты чего взъелся?
  • @vt, Не уверен, что я хочу дальнейшего диалога с хейтером.
  • @Dimez, Что за такое хейтер-то хоть? Просвяти неразумных
  • @vt, hate — ненависть. Подними глаза на свой оп пост и прочитай со стороны. Если ещё можешь.
  • @vt, Ты нам лучше расскажи, как продукты самой высокотехнологичной компании вешаются от двух эмодзей и пишут пароль шифрования на девайс плейнтекстом в филд "подсказка".
    Тут знаешь, похую ответственность — криворукие мудаки могут накосячить даже здесь.
  • @Dimez, а хейтер это кто? кого он ненавидит?
    debate.org
    Criticizing things is healthy and moves things forward. So fuck anyone who uses "hater" to adress criticism. Criticism is dynamic, healthy, and keeps things moving on. Can't stand the fucking idiots who call you a "hater" everytime you say you don't like something.
    What's the opposite of being a hater, validating every single nauseating mediocre shit our times spew on a daily basis? What some fucking retards call "hating" is actually the last safeguard that keeps us from sinking ever so faster in idiotic and bad productions, be it in music, cinema...
    Fucking butthurt tweens crying rivers of blood cuz you said their favourite TV show is utter shit.
  • @vt, И расскажи нам про ответственность — почему вся братия безопасников и ворлд-левел девелоперов так могли обосраться? Наверняка торопились и на ответсвенность было похуй.
    На фоне такой хуйни твой хейт выглядит действительно глупо.
  • @wasd, Продукты пишутся людьми, а не роботами. Взрослая компания отличается от красноглазых долбоебов тем, что берет на себя ответственность в том числе за косяки тех джамшутов, что отобразили пароль подсказкой. Я не повторяюсь?
  • @wasd, Еще один взялся повторять это ебнутое слово
  • @vt, обосрались и пофиксили == взяли ответственность?
    Тогда прыщиксоиды взяли ответственность.
  • @wasd, Разработчики wpa_supplicant естественно ответственные люди. Кто такие "прыщиксоиды"?
  • @vt, Не видел взятие не себя ответственности от Wi-Fi Alliance. В которой и разработала стандарт :)
  • @Dimez, Wi-Fi Alliance ответственна за то, что в wpa_supplicant напихали дыр размером со слона? Неточность в стандарте — это одна проблема, а пачка проблем в wpa_supplicant, которые по совокупности образуют дырищу — это совершенно другая. Красноглазые же демагоги смешивают эти две проблемы в одну и выставляют так, будто wpa_supplicant неуиновен.
  • @vt, Причём тут wpa_supplicant, о мои мозги??? Если уязвимость ВЕЗДЕ, а не только в системах с wpa_supplicant, то блять даже полному дауну должно быть понятно, что виноват не wpa_supplicant.
    И вообще, в такой ситуации тактика "давайте найдём виноватого, а, наверное, разработчики wpa_supplicant виноваты, давайте назовём их прыщеблядями и редисками" — ебанутая на всю голову, ты её поддерживаешь зачем-то.
    Нашли дырку в стандарте, надо сделать выводы по возможности и обновиться ASAP, а не виноватых искать вместо этого и говном забрызгиваться по макушку.
    Нахуй тебе это надо — выставлять себя идиотом? Не хватает острых ощущений в жизни?
  • @Dimez, о мои мозги???Согласен, с ними что-то не так. Мы ведь подробно разобрали ложные утверждения, а ты их снова повторяешь.
    уязвимость ВЕЗДЕНет, это неправда, даже в исходном исследовании ТАКОГО не утверждается, несмотря на то, что оно написано крайне ангажировано.
    наверное, разработчики wpa_supplicant виноватыНет, я такого не утверждал, зачем ты выдумываешь? Пять раз же, с дополнениями и уточнениями расписал. Еще подробнее надо?
    говном забрызгиваться по макушкуЯ именно против этого и выступаю, рад что ты согласился. Нам теперь осталось договориться о терминах, и внезапно окажется, что забрасываются говном именно те люди, которых я назвал красноглазыми блядями. Сумеешь сдержать свой красноглазый инстинкт и вести дискуссию нормально?
  • @vt, Ты цитируешь каких-то наркоманов (мне похуй, кто они) и приписываешь их слова всему красноблядскому коммунити. Ты тоже наркоман штоле сука?
  • @vt, Нет, это неправда, даже в исходном исследовании ТАКОГО не утверждается, несмотря на то, что оно написано крайне ангажированоПочитай всю пачку CVE со сторонними ссылками. Все affected, Тео аккуратно пропатчился в августе, не раскрывая.
    Вообще мне вся текущая школолоистерия во всех областях не нравится нихера.
    На ЛОРе последнее время обострение какое-то среди приверженцев теоретий заговора и сторонников "альтернативных" учёных. Осень что ли влияет, ммать её.
    И ты ещё в ленте проскочил с визгами.
  • @wasd, Ну вот здесь есть @Dimez, который до сих пор не понял, что дыру нашли ТОЛЬКО в wpa_supplicant, и свято верит что ДЫРА ВЕЗДЕ. Объясни ему на вашем птичьем, а то он не слышит
  • @vt, not ur personal army
  • @Dimez, Все affectedТы это намеренно раздуваешь, или все же несознательно? Еще раз —
    affected != можно расшифровать трафик. affected — это исследование показало у всех недоработки в реализации вайфай-стека. Но дырищу, позволяющую расшифровать трафик — только в wpa_supplicant. Этот факт так сложно принять?
  • @vt, Микрософт тоже wpa_supplicant использует?
    Что же они закрыли в portal.msrc.microsoft.com ? митм он где угодно митм.
    И вообще, ещё не всю инфу раскрыли. Дальше будет интереснее.
  • @Dimez, Еще раз, медленно — микрософт, и прочие вендоры, которые не используют wpa_supplicant, устранили возможность теоретической атаки, которая описана в данном документе. В wpa_supplicant же была фактическая дыра, где обнулялся ключ шифрования
  • @vt, Это всё ты.