Hiszek egy Istenben, hiszek egy Hazában, hiszek egy isteni Örök Igazságban, hiszek Magyarország feltámadásában! Ámen!
Vér fröccsent rám, és ëgy csuromvíz, vérës,
forró mellű plázacica zuhant a karomba, amint
a vízágyú sugara lökte, fëlëttem röpült
a tört utcakő, így volt a fíling.
2010. február 14. vasárnap 21:25:27
Ez kemény. Ilyet még nem láttam élőben, soha. Minden esetre a linket elteszem, ha legközelebb valaki “a 25 éves Volvóra” fogadna egy kisautóval szemben.
(A kocsik jobbkormányosak, ez egy tipikus ütközési forma náluk, nálunk pont a másik felét kapná el.)
2010. február 2. kedd 14:38:06
Tisztelt Ügyfelünk!
Társaságunkhoz érkezett bejelentésére az alábbi tájékoztatást adjuk.
Szíves tájékoztatásul közöljük, hogy jelzett problémáról tudomásunk van, melyet jeleztünk az illetékes szakterületi egységünk felé. A hiba kijavítása folyamatban van, a szakterület intézkedéséig szíves türelmét és megértését kérjük.
Bízunk benne, hogy együttműködésünk a továbbiakban megelégedésére fog szolgálni.
Megértését köszönjük.
[...]
Tisztelettel:
Nagy Zsuzsanna
Elmű-Émász Ügyfélszolgálati Kft.
a Budapesti Elektromos Művek Nyrt. megbízásából
2010. január 22. péntek 19:09:05
Talán emlékeztek pár hetes levelemre, amit az ELMŰnek írtam a https-es, titkosított csatornán keresztül folytatható ügyintézést hiányolva.
Erre papír alapon az alábbi választ tudták adni. Csak én érzem úgy, hogy nem a kérdésemre válaszoltak?
Ezt válaszoltam nekik:
Tisztelt ELMÜ, kedves Bocsi Csilla!
A csatolt leveleküket kaptam ma papír alapon. Az lenne a kérdésem, hogy ezt mre válaszolták nekem? Gondolom nem az alábbiakban eredetileg feltett kérdésemre.
u.i.: kérem ne pazarolják a pénzüket papír alapon írott levelekre, nekem tökéletesen megfelel az emailben küldött válasz is, sokkal fontosabb lenne a formátumnál, hogy legyen valami köze a kérdesemhez.
Köszönöttel,
Üdv,
Ambrózy Lőrinc
2010. január 12. kedd 17:04:47
Alább egy közel egy éve húzódó levelezésem az ELMŰ-vel (lentről felfele kell olvasni!):
Tisztelt ELMŰ ügyfélszolgálat!
Kérem továbbítsák informatikai igazgatójuk felé az alábbi üzenetemet:
“Tisztelt Informatikai Igazgató Úr/Hölgy!
Arra, hogy a https-es bejelentkezést az elmúlt szűk egy év alatt sem tudták megoldani, szavakat is alig találok, de arra, hogy most már a lehetőségét is elvették, csak azt tudom mondani, hogy ez nem más, mint “BOTRÁÁÁNY”. Egyszerűen kevés olyan cég van, amelyik ennyire béna, és alkalmatlan informatikai irányítással rendelkezik, hogy évek alatt képtelenek megoldani, hogy titkosított csatornán utazzanak a személyes adatok.”
Tisztelt Ügyfélszolgálatos, köszönöm, hogy a fentit továbbítja!
——–
Üdv:
Ambrózy Lőrinc
——–
—– Original Message —–
From: “Elmű-Émász Ügyfélszolgálati Kft._Budapest”
To: “Ambrozy Lorinc”
Sent: Tuesday, March 17, 2009 7:06 PM
Subject: Tájékoztatás KLB-33629
Tisztelt Ügyfelünk!
Köszönettel vettük irodánkra érkezett bejelentését.
Tájékoztatjuk, hogy online ügyfélszolgálatunk már működik a https://ugyfelkapu.elmu.hu/ biztonságos linken keresztül is. Ennek alapértelmezett beállítása folyamatban van.
Tisztelettel:
Elmű-Émász Ügyfélszolgálati Kft. a
Budapesti Elektromos Művek Nyrt. megbízásából
—–Original Message—–
From: Ambrozy Lorinc
Sent: Tuesday, March 10, 2009 11:10 AM
To: Elmű-Émász Ügyfélszolgálati Kft._Budapest
Subject: Re: ELMŰ biztonsági frissítés
Udv,
Mondjuk akkor már megcsinálhatták volna, hogy ne http-n, hanem https-en
lehessen elérni a honlapot.
http://ugyfelkapu.elmu.hu/login.php
Úgy egy “kicsit” profibb lett volna, valamint abban az esetben van is
értelme a komoly jelszónak. Így, hogy nincs titkosítás, nincs sok értelme…
u.i.: egyébként meg ha legközelebb lesz ilyen körlevél, akkor ne egyszerre
küldjék ki, mert jelenleg elérhetetlen a szerverük, gondolom a nagy
látogatói roham miatt.
——–
Üdv:
Ambrózy Lőrinc
——–
2009. május 24. vasárnap 21:22:03
Egyszerűen most már nézhetetlenek a kanálisok. Nem csak az adott műsor miatt, hanem az UPC-nek köszönhetően 30 másodpercenként megszakad, megakad az adás. Kikockásodik, vagy elfeketedik. Nézhetetlen.
UPC kapd be!
Ja, és kerülje el mindenki az UPC Digital szolgáltatását, ez egy hányadék fos.
2009. január 25. vasárnap 16:55:41
2009. január 25. vasárnap 13:55:34
T-Com-nál megállt az élet. Feltehetően Marika néni takarít a szerverszobában.
2008. augusztus 11. hétfő 11:11:06
Ha Windowsra telepítünk MySQL-t, s nem csak fejlesztési célra, akkor az alábbi pár registry-beállítást fontos megtenni, különben nagyobb forgalomnál a MySQL elkezdi dobálni a kapcsolatokat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Value Name: MaxUserPort Data Type: REG_DWORD Value: 60000 Value Name: TcpTimedWaitDelay Data Type: REG_DWORD Value: 30
2008. július 27. vasárnap 14:47:17
Frissítettem a blogmotort. Ha valami nem működik, ami eddig működött, akkor lécci szóljatok. :-)
2008. június 28. szombat 16:30:00
Az alábbi levelezést mindenkinek javaslom elolvasásra, annak is, aki nem igazán technikai guru. Röviden annyit elmondok nekik, hogy mi az a certificate: A lényeg, hogy ha egy https-es (titkosított) banki oldalt nézel, akkor a forgalom a te géped, s a bank közt ezzel a kulccsal (kulcspárral) titkosítódik, aminek az egyik fele a privát kulcs, aminek nem szabadna kikerülnie a bankból, mert ha kikerül, akkor a banki oldalon ugyan ott van a lakat, hogy titkosított a kapcsolat, de valójában bárki olvashatja a forgalmat, valamit egy ügyesebb hacker megoldhatja, hogy azt hidd, a banki oldalon vagy, de közben az adataidat ő elmenti, felhasználja. Talán a nem bitagyúak számára is érthető, hogy ez igen nagy probléma. Nos, a Kiástuk a csatabárdot topikon írta valaki, hogy van egy eszköz, amivel lehet ellenőrizni a certificateket, hogy azokkal minden a legnagyobb rendben van-e, vagy sem. Én ezt feltelepítettem, majd elmentem a bankom oldalára, ahol ezt kaptam:
Mondanom sem kell, hogy mint felelős informatikus, azonnal a bank ügyfélszolgálatát kerestem, hogy jelezzem nekik a problémát. Nos, a kálváriám itt kezdődött. A levelezésünk szerkesztetlen változatát olvassák alább el, végén még pár szóval kommentálom:
————————————————————-
2008.05.29 11:32:04 :: Feladó: Én
Tisztelt Bank,
kérem feltétlen továbbítsák levelem rendszergazdájuknak, vagy webbankjuk üzemeltetőjének!
Tisztelt Rendszergazda!
Mint bizonyára tudja, a Debián alapú rendszerek által az elmúlt időszakban kiadott certificate-ek rendkívül könnyen feltörhetők, s ahogy nézem, az önök internetes bankja is ilyen certificate-et használ.
További infók:
http://codefromthe70s.org/sslblacklist.asp
Magyarul:
http://buhera.blog.hu/2008/05/16/debian_openssl_elso_resz
http://buhera.blog.hu/2008/05/16/debian_openssl_masodik_resz
Kérem jelezzenek vissza, mikor cserélik le certificate-jüket megbízhatóbbra, mert utána feltehetően jelszót fogok változtatni.
Üdv,
Ambrózy Lörinc
————————————————————-
2008.05.29 11:36:33 :: P. Hermina (NetBank)
Tisztelt Ambrózy Lörincz! (Érdemes figyelni, hogy a nevem lemásolása mekkora bonyodalmat okoz egy-egy embernek!)
Levelét megkaptuk és továbbítottuk a netbank oldalt fejlesztő kollégáink felé.
Üdvözlettel: P. Hermina
————————————————————-
2008.06.20 11:24:05 :: Én
Tisztelt Bank!
Mivel a mai napig nem léptek a hibás, kompromittált certificate lecserélése érdekében, a mai napon a problémát nyílt szakmai fórumok elé vezetem.
Azt hiszem, az elmúlt majd egy hónap elég kellett volna hogy legyen a kompromittálódott certificate kijavítására.
————————————————————-
2008.06.20 11:41:07 :: Én
Kiegészítés:
Immár a bank weblapja fenn is van egy olyan oldalon, amelyik azon oldalakat listázza, amelyiknek a certificate-je nem ér semmit:
http://codefromthe70s.org/sslblacklist-badcerts.aspEz azt jelenti, hogy az összes jelszó kb. 2 perc alatt megszerezhető egy olyan ember számára, aki tudja sniffelni a hálózatot.
(Azaz egy cégen belül pl. a rendszergazdák, vagy aki admin módban használja a gépét, s tud telepíteni sniffelő programot.)
Emellett mindenki, aki WiFi-n intézi bankügyeit, bízva a https-ben, meg hogy ott a lakat a böngészőben, szintén veszélyben van.
Örület, hogy Önök egy hónap alatt nem javították ki ezt a hibát, amire egyértelműen figyelmeztettem még időben Önöket. Meg vagyok döbbenve.
————————————————————-
2008.06.20 12:41:46 :: M. László (NetBank)
Tisztelt Ambrózy Lőrinc Gábor!
Elnézését kérjük, amiért fejlesztőink értesítése nem jutott el Önhöz. Szervereink nem használják az Ön levelében említett OpenSSL csomag hibás verzióját, a hitelesítés biztonsága ezáltal nem szenvedett csorbát.
Ugyanakkor rendkívül felelőtlen megoldásnak tartjuk, hogy Ön ezt a téves információját nyilvánosságra hozta azelőtt,
hogy a valóságtartalmáról meggyőződhetett volna.
A banki rendszerek foltozása nem történhet úgy, mint egy asztali rendszeré és az esetleges verzióváltás teszteléssel,
dokumentálással, audittal legtöbbször hosszabb időt vesz igénybe, mint az első levele óta eltelt idő.
Amennyiben a hiba tényleg fennállna, lehetőséget adott volna rá, hogy bárki próbálkozzon egy betöréssel.
Mivel jelen esetben ez az információ téves, nagy baj nem történhet, de nyomatékosan kérjük, hogy a netbank.hu
domain-t távolítsa (távolíttassa) el az Ön által belinkelt listáról.
Remélem, válaszunk kielégítette és megteszi a megfelelő lépéseket.
M. László
fejlesztő
————————————————————-
2008.06.20 18:50:55 :: Én
Tisztelt M. László!
Úgy tűnik, nem sikerült megértenie, hogy mi a baj, s feltehetően ezért nem léptek az elmúlt hetekben. Gondolom az angol nyelvvel lehet gond, így pár mondatban összefoglalom magyarul:
Nem Önök használják az OpenSSL függvénykönyvtárat, hanem az, aki kiadta azt a certificate-et, amit a www.netbank.hu használ ahhoz, hogy az oldalak https-en keresztül elérhetők legyenek. Mivel a certificatekibocsájtó egy olyan certificatet adott ki, amiből ki lehet találni, hogy hibás, így az adott hekkernek egyszerü dolga van, hiszen az összes ilyen kulcs rövid idö alatt legenerálható.
Tehát a privát kulcs kitalálható a publikus kulcs ismeretében, ami azt jelenti, hogy nem ér semmit, hogy HTTPS-en át nézem az oldalukat.
Kérem olvassa el újra a linkelt oldalakat, mert itt komoly biztonsági probléma esete forog fenn!
Arról meg, hogy én okoznék gondot a közzététellel, csak annyit, hogy az általam linkelt oldalra nem én kértem, hogy a netbank.hu felkerüljön, hanem azt mások jelentették oda. Én ott csak megtaláltam, miközben kerestem a megoldást arra, hogy a böngészőm miért mondja, hogy az önök oldala nem biztonságos, mert kompromittált SSL certificate-et használ.
Még egyszer mondom, nem a “banki rendszert kell frissíteni”, nem azzal van gond, hanem a kompromittálódott SSL certificate-et kéne visszavonatni, s helyette egy újatt telepíteni. Ez a netlocknál feltehetően teljesen ingyenesen megtehető, mindössze pár percig lenne a netbank elérhetetlen, de én ezt bevállalnám, hiszen most vehetjük úgy, hogy titkosítatlanul mennek az adatok az önök szervere, és az én gépem közt, hiszen a privát kulcs könnyedén kitalálható….
u.i.: sajnálom, hogy nem a jobbító szándékot vette ki levelemből…
Üdv,
Ambrózy Lőrinc
————————————————————-
2008.06.23 09:47:57 :: M. László
Tisztelt Ambrózy Lőrinc Gábor!
Megértettem a problémát és a nyelvtudásom is rendben van. Úgy látszik, nem írtam le
elég érthetően a választ, illetve Ön nem ismeri a tanúsítványkiadás menetét. A kulcsot
a kérelmező szervezet generálja. A jelenség a hibás OpenSSL csomag alatt generált
hitelesítő kulcsokat érinti. Mivel mi nem használjuk a hibás verziót, az általunk generált
és a Netlock által hitelesített kulcsunkat a hiba nem érinti. A hitelesítésszolgáltató a
kérelemben szereplő kulcsot nem változtatja meg, csupán hitelesíti (azonosítja a
benyújtó szervezetet) és beilleszti a hitelesítési láncba.
Az SSL kulcs minösége tehát egyértelműen kizárólag a a mi rendszereinktől függ.
Ami a Netlock rendszerét illeti, nincs tudomásom róla, hogy Debian alapú rendszert
használnak-e a saját hitelesítő kulcsuk előállítására, de feltételezem az eddigi
tapasztalataim alapján, hogy ha az ö rendszerük hibája miatt lenne szükség
kulcscserére, azonnal figyelmeztetnék az ügyfeleiket.
Remélem, ez a válaszom már elég érthető és megnyugtató volt.
M. László
fejlesztő
————————————————————-
2008.06.24 13:19:35 :: Én
Tisztelt M. László!
Az Önök weblapján levő biztonsági réssel kapcsolatban felvettem a kapcsolatot a netlockkal is, ahol az alábbi választ kaptam:
From: V. Viktor
To: Ambrózy Lőrinc
Sent: Tuesday, June 24, 2008 11:20 AM
Subject: code80
Tisztelt Ambrózy Lőrinc,
A problémával találkoztunk, és folyamatban van sebezhetőség által érintett tanúsítványok visszavonása.
Kérem kis türelmét.
üdvözlettel/best regards:
V. Viktor
rendszerüzemeltetö
Netlock Kft.
———————Eredeti levél:———————
Tisztelt NetLock!
Érdeklődnék, hogy erről mi a véleményük?
http://codefromthe70s.org/sslblacklist.asp
Ez alapján pl. a www.netbank.hu oldal certificate-je is hibás, amit Önök adtak ki.
A bankot már értesítettem róla egy hónappal ezelőtt, de egy teljesen értetlen rendszergazdánál elakadtam.
Várom mielőbbi válaszuk!
————————————————————-
2008.06.24 15:19:59 :: M. László
Tisztelt Ambrózy Lőrinc Gábor!
Még egyszer leszögezem, az Ön által említett biztonsági rés nem létezik a Netbank
felületén. Intézkedését szíves köszönettel vettük, de ezidáig a Netlock Kft. nem
keresett meg bennünket azzal, hogy a kulcsunk hibás lenne.
Természetesen mint minden ügyfelünk hozzáférésének biztonságáért, úgy az
Önéért is felelősek vagyunk, de ebben az esetben a legnagyobb gondosság
mellett sincs semmilyen további teendőnk.
M. László
fejlesztö
————————————————————-
2008.06.25 16:32:17 :: Én
Tisztelt M. László!
A NetLock Kft. jogi osztálya a mai napon adta fel azt a levelet, amiben az Önök által használt kulcsnál is problémát okozó biztonsági sérülékenységről írnak. Kérem majd azt figyelembe véve cserélje le a szerveren a certificate-et.
Feltételezem egyébként, hogy nem az Önök certificate request-je volt hibás, hanem a NetLocké, amivel (üzleti B) hitelesítették az Önök aláírását, ami ugye pontosan ugyanakkora probléma, hiszen ha akarnék, akkor tudnék saját magamnak hitelesíteni egy www.netbank.hu certificate-et a NetLock nevében. (Az az igazság, hogy itt már kezdtem elbizonytalanodni, s azt hittem, hogy akár a NetLock is lehet hibás, főleg mert közben több olyan oldalra is rábukkantam a neten, amiknek NetLockos Üzleti B aláírása volt, s hibás certificate-je is egyben…)
A NetLock támogatási csoportja azt írta nekem, hogy míg Önök nem intézkednek a levélben leírtaknak megfelelöen, addig biztonságosabb, ha nem használom az Önök szolgáltatását. (Ami teljesen érthető, hiszen pl. akár Ön is lehetne egy Man-In-The-Middle hacker, aki azért ad ilyen válaszokat nekem, hogy ne aggodalmaskodjak tovább.)
A fentieket figyelembe véve, én továbbra is azt mondom, hogy egy banknál a biztonság LÁTSZATÁRA is adni kéne, s ha nem is lett volna hiba, én rendszergazdaként akkor is felvettem volna a kapcsolatot a NetLock-kal, s kértem volna a certificate-em cseréjét, csak hogy minél rövidebb ideig szerepeljen az általam üzemeltetett szerver neve egy olyan listán, ahol a nem megbízható weblapokat tartják nyilván, s hogy az ügyfeleimet ne frusztrálja, hogy az általuk használt böngésző biztonsági fegyelmeztetést ad, hiszen ha most “leokézom” a figyelmeztetést, akkor legközelebb is le fogom, mikor hasonló komoly biztonsági rés lesz, s ezzel az egész netes bankolásba vetett bizalmat rombolja a netbank.hu hozzáállása.
Üdv,
Ambrózy Lörinc
————————————————————-
2008.06.26 12:51:47 :: M. László
Tisztelt Ambrózy Lörinc Gábor!
A Netlock Kft. tájékoztató levelét megkaptuk. A velük történt személyes egyeztetés
során kiderült, hogy sem a Netlock Kft., sem a mi rendszerünk nem érintett a
sérülékenység által. Ezért az Ön félelme alaptalan.
Kérem, hogy a fentieket figyelembe véve távolítsa/távolíttassa el a netbank.hu domain-t
minden olyan listáról, amely a sérülékenység által érintett szervereket listázza és Ön
közreműködött, hogy arra felkerüljön.
Ha ennek az udvarias felkérésnek nem tesz eleget, a pénzintézet Jogi osztálya felé
továbbítom a levelezésünk tartalmát és felkérem őket a jogi lépések megtételére.
A sérülékenység látszatát is szeretnénk kerülni, ezért nem kívánjuk lecserélni a kulcsunkat,
mert ez azt a látszatot keltené, mintha az ügyfeleink adatai nem lettek volna eddig
biztonságban.
Amennyiben ez az intézkedés nem elégíti ki Önt, kérem, vegye igénybe pénzintézetünk
hagyományos és telebankos szolgáltatásait, amikre természetesen a sérülékenység
gyanújának árnyéka sem vetülhet.
M. László
fejlesztö
————————————————————-
2008.06.27 11:23:22 :: Én
Tisztelt Bank!
Ezúton jelzem a jogi osztályuk felé, hogy nem működtem közre a netbank.hu domain listára kerülésében, a domain, s a hibás certificate tőlem független módon került oda fel.
Üdv,
Ambrózy Lörinc
————————————————————-
2008.06.27 13:27:19 :: Én
Tisztelt M. Úr!
Ha adna egy e-mail címet, akkor elküldeném Önnek a privát kulcsukat, s azt össze tudná hasonlítani a saját, meglevő kulcsukkal. Ha van egyezés, akkor aszerint járjon el, ha nincs, akkor megígérem, hogy minden olyan helyen ahol eddig szóbajött a netbank.hu, ott a levelezésünk mellé ezt a privát kulcsot is odateszem, azzal, hogy a félreértést ez okozta, s mindent elkövetek, hogy értesüljön róla mindenki, hogy én tévedtem.
Üdv,
Ambrózy Lörinc
————————————————————-
2008.06.27 14:20:00 :: Én
Tisztelt V. Viktor (NetLock)!
Önhöz az lenne a kérésem, hogy ha Ön szerint a certificate ezek után veszélyben van, akkor intézkedjen, s a további károk megakadályozása érdekében vonassa vissza a certifikate-et, s intézkedjen, hogy a netbank.hu a jogászokkal való fenyegetés helyett valóban intézkedjen az ügyfeleik biztonsága érdekében így egy hónappal azután, hogy az első figyelmeztetésem elküldtem nekik.
Tisztelt M. László Úr (netbank.hu)!
Attacsolva a private key, s azt össze tudja hasonlítani a saját, meglévö kulcsukkal. Ha van egyezés, akkor aszerint járjon el, ha nincs, akkor megígérem, hogy minden olyan helyen ahol eddig szóbajött a netbank.hu, ott a levelezésünk mellé ezt a privát kulcsot is odateszem, azzal, hogy a félreértést ez okozta, s mindent elkövetek, hogy értesüljön róla mindenki, hogy én tévedtem.
Ha a következő parancsot beírja:
openssl rsa -noout -text -in key-1024-rnd-6761-i686.pem
Akkor ez lesz az output:
Private-Key: (1024 bit)
modulus:
00:e5:5c:b3:34:2f:ed:71:5f:35:a9:8b:be:d0:6f:
85:98:d6:06:c2:9c:ea:76:2d:de:37:85:a9:2d:b7:
a7:48:e3:fd:e9:e4:80:09:c4:1e:75:3a:33:35:fc:
8e:47:fa:cc:d0:bd:06:f0:00:fa:4c:b5:25:39:59:
8d:cc:28:97:37:30:1c:32:53:3b:70:80:f2:d6:84:
d1:05:f0:84:76:a7:bf:31:c3:70:3d:da:0d:7a:1b:
0a:12:61:16:89:62:2d:97:3b:84:84:ff:d9:af:3a:
54:a5:09:c5:18:bb:e8:8a:80:92:42:f1:32:21:57:
f5:a9:cc:e6:20:7e:35:1a:a3
publicExponent: 65537 (0x10001)
privateExponent:
00:cd:b9:93:27:69:21:c1:c1:d3:61:2a:ee:51:08:
e6:bc:ca:a4:2f:a5:0d:8c:48:e1:fb:cd:10:8c:e8:
20:cc:f9:6a:c3:82:e7:f1:5a:8e:b3:39:2b:bb:ed:
b7:35:0a:d8:f1:15:cb:86:34:6a:4d:a9:61:25:0a:
95:6c:1c:b0:5b:e6:32:03:40:5b:85:ff:7e:70:b8:
3e:c3:fc:24:62:af:27:d0:e5:9f:a8:3d:dd:39:f0:
d3:de:fe:ff:0e:cd:14:67:77:82:87:24:bf:ce:6f:
b3:c0:79:21:84:6a:8f:f3:23:f4:60:4d:79:c0:05:
83:f6:72:d0:16:98:10:af:21
prime1:
00:f6:8f:9e:5b:29:54:5e:7a:10:93:43:32:26:de:
c2:38:b2:49:f8:e9:f2:95:f5:da:fe:30:69:81:2a:
c2:87:bc:af:80:cd:ed:0c:3c:9e:7f:81:eb:95:63:
7c:ae:cb:25:0b:93:9d:91:7a:bb:94:45:bf:c9:2d:
c8:17:7a:9c:f1
prime2:
00:ee:24:86:c1:1c:92:cb:97:8a:55:6c:d5:32:f8:
ab:18:24:ea:11:1d:e2:2a:1b:b9:8c:1c:d3:de:2a:
6b:83:e8:01:fa:31:17:af:da:b3:6b:f2:eb:91:70:
19:c3:28:17:ef:1e:a7:74:cb:5b:d2:1e:a4:ff:59:
85:a9:81:c0:d3
exponent1:
09:db:5b:fd:50:fd:aa:79:3e:c8:64:5b:50:ea:7e:
e1:3d:5f:6f:b0:0a:9e:ac:21:81:1f:f6:57:cf:99:
cf:4b:5f:c8:ca:72:bb:96:80:cf:a0:26:06:e6:df:
49:2d:9d:e1:84:99:3c:03:a8:14:19:65:bd:69:33:
22:9d:28:41
exponent2:
43:16:d9:3b:c8:2f:f6:d9:4f:68:77:8b:ac:9b:6f:
a0:12:ae:3a:7a:3f:bf:fb:25:8f:ba:83:59:a0:7b:
bf:a2:7a:04:21:16:7a:3d:53:b4:c2:af:e8:be:3b:
13:c6:d4:cf:51:c4:7d:5b:d9:17:5d:f8:bf:d3:59:
9b:82:69:6f
coefficient:
47:45:f2:4c:c4:44:87:4f:a6:2b:39:a3:53:c2:fd:
09:55:75:81:0f:c5:16:3e:fc:8c:67:7a:c9:7b:fe:
31:58:7a:8b:9c:9a:bc:e5:9e:2b:fc:4b:57:00:f9:
05:cb:d4:01:44:de:9c:b4:21:cb:44:c1:dc:19:11:
5d:65:48:05
Az attacsolt pem fájl tartalma:
Private-Key: (1024 bit)
-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDlXLM0L+1xXzWpi77Qb4WY1gbCnOp2Ld43haktt6dI4/3p5IAJ
xB51OjM1/I5H+szQvQbwAPpMtSU5WY3MKJc3MBwyUztwgPLWhNEF8IR2p78xw3A9
2g16GwoSYRaJYi2XO4SE/9mvOlSlCcUYu+iKgJJC8TIhV/WpzOYgfjUaowIDAQAB
AoGBAM25kydpIcHB02Eq7lEI5rzKpC+lDYxI4fvNEIzoIMz5asOC5/FajrM5K7vt
tzUK2PEVy4Y0ak2pYSUKlWwcsFvmMgNAW4X/fnC4PsP8JGKvJ9Dln6g93Tnw097+
/w7NFGd3gockv85vs8B5IYRqj/Mj9GBNecAFg/Zy0BaYEK8hAkEA9o+eWylUXnoQ
k0MyJt7COLJJ+OnylfXa/jBpgSrCh7yvgM3tDDyef4HrlWN8rsslC5OdkXq7lEW/
yS3IF3qc8QJBAO4khsEcksuXilVs1TL4qxgk6hEd4iobuYwc094qa4PoAfoxF6/a
s2vy65FwGcMoF+8ep3TLW9IepP9ZhamBwNMCQAnbW/1Q/ap5PshkW1DqfuE9X2+w
Cp6sIYEf9lfPmc9LX8jKcruWgM+gJgbm30ktneGEmTwDqBQZZb1pMyKdKEECQEMW
2TvIL/bZT2h3i6ybb6ASrjp6P7/7JY+6g1mge7+iegQhFno9U7TCr+i+OxPG1M9R
xH1b2Rdd+L/TWZuCaW8CQEdF8kzERIdPpis5o1PC/QlVdYEPxRY+/Ixnesl7/jFY
eoucmrzlniv8S1cA+QXL1AFE3py0IctEwdwZEV1lSAU=
-----END RSA PRIVATE KEY-----
Ebből ugye a “privateExponent” ill. “prime1″, “prime2″, stb az, aminek baromira nem kéne senki kezébe kerülnie. Ha a fenti parancsot lefuttatja a szerverén tárolt, a netbank.hu private key .pem file-on, ugyanezt az outputot fogja kapni.
——–
Üdv:
Ambrózy Lőrinc
————————————————————-
2008.06.27 14:55:19 :: V. Viktor (NetLock Kft.)
Kedves István, (itt a nevem megint tudták lemásolni!)
A tanúsítvány felfüggesztéséről tájékoztattuk M. Lászlót, és már beadták a tanúsítványkérelmet a rendszerünk, melye a mai nap során kiadnak kollégáink. A kiadással egy időpontban a régi felfüggesztésre kerül.
Az érintett tanúsítványok esetén, felkészülendő, hogy a tulajdonosok igényeljék meg az új tanúsítványt, napokon beül megtörténik az összes visszavonása, az ügyfelek tájékoztatása megtörtént.
A netbank.hu álláspontja egyébként elfogadható, rendszerük a sérülékenységgel nem érintett, csupán a véletlen véletlensége eredményezi azt, hogy a közsimertté vált tartományban sikerült a kulcsot létrehozniuk.
üdvözlettel/best regards:
V. Viktor
rendszerüzemeltető
Netlock Kft.
————————————————————-
2008.06.27 15:22:32 :: Én
Kedves Viktor!
Semmiképpen nem nevezném elfogadhatónak, hogy az első figyelmeztetésem után egy hónap tellt el addig, mire a certificate-csere megtörténik.
Attól, hogy a véletlen véletlene okozta a problémát, a bank privát kulcsa pont egy hónapja közkézen forog.
Én ezt semmiképpen nem tudom “elfogadhatónak” nevezni, annak ellenére, hogy elismerem, hogy a bank ártatlan abban, hogy hibás certificate-jük van.
Abban azonban, hogy az elmúlt hónapban nem adtak védelmet az ügyfeleiknek, már egyértelműen hibásak, s az a helyzet, hogy ha az elmúlt napokban nem verem az asztalt, s annak ellenére, hogy jogászaikkal fenyegettek, nem lépek tovább, s tovább, akkor lehet, hogy nem is jutott volna el idáig a dolog.
Minden esetre most örülök, hogy egy hónap után a probléma rendeződik.
Üdv,
Ambrózy Lőrinc
————————————————————-
És akkor a kommentem:
V. Viktor írta ezt: “A netbank.hu álláspontja egyébként elfogadható, rendszerük a sérülékenységgel nem érintett, csupán a véletlen véletlensége eredményezi azt, hogy a közsimertté vált tartományban sikerült a kulcsot létrehozniuk. ”
Ebből ez a véletlen véletlensége az, ami nagyon fura. Kb, annyi esély van erre, hogy véletlen pont ilyen kulcsot generáljanak, mint annak, hogy én holnap reggel a Marson ébredek fel, vagy hogy nyerek úgy a Lottón, hogy nem adok fel szelvényt. :)
A lényeg egyébként még az, hogy a mai napon mikor megnéztem, már friss, ropogós certificate-et használt a bank. Egyébként függetlenül attól, hogy a netbank használta-e a hibás openSSL függvénykönyvtárat, a certificate hibás volt, azaz ismert volt hozzá a privát kulcs már májusban is, mikor az első levelemet írtam a banknak, magyarul egy hónapig minden banki tranzakció szinte bárki számára olvasható, s hamisítható volt.
Szeretném itt megjegyezni, hogy a http://codefromthe70s.org/sslblacklist-badcerts.asp oldalon még mindig több olyan magyar weblap szerepel, amelyiknek hibás a certificate-je. Én nem fogom mindegyikkel felvenni a kapcsolatot, a fentiek függvényében remélem mindenki megérti, hogy miért.
