Új hozzászólás Aktív témák
-
Pl. kivédeni az SQL injection lehetőséget. Pl. megfelelő mértékű titkosítással, salting alkalmazásával megnehezíteni a támadók dolgát.
A dolog egyébként annyira valós, hogy az Associated Press találomra felhívott egy számot a nyilvánosságra hozott adatok közül, sikerrel; ezenkívül minden más adata is stimmelt az illetőnek.
https://www.coreinfinity.tech
-
-
Matematikailag jogos a kérdésed, de a tapasztalat azt mutatja, hogy a jelszavak értelmesek, tehát ha két szónak a hash-e ugyanaz és a jelszavak hossza erősen limitált, igen nagy valószínűséggel meg lehet mondani a konkrét jelszót is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
WN31RD
addikt
"az md5 salt nélkül gyakorlatilag semmit nem ér."
Tessék, egy szerintem közepes erősségűnek számító jelszó (12 karakter, írásjelek nélkül - még segítettem is) MD5 hash-e bármiféle salt nélkül, törd fel:
45cf96fa998b778932aa0a41a55d4ac6''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
-
Az is amatőrizmus, meg a plain textben tárolt jelszó is.
Male #53: szivárvány táblák. Ha nincs salting, nincs iteratív hash, a hashelési algoritmus pedig gyenge (pl. 128 bit), akkor az általánosan elterjedt 8 karakteres jelszavakhoz relatíve rövid idő alatt lehet ilyen táblákat generálni. Lásd még a blogomon a HBGary-sztori első fejezetét.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
sghc_toma
senior tag
bambano (#31):
"Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT."
bs.. ha esetleg ugyanazt a jelszot hasznalja valaki tobb helyen, akkor nem mindegy, hogy a tamado megszerezte a jelszot, vagy talalt egy ugyanolyan hash-u plaintext-et.. egyreszt.. masreszt meg ha valaki kelloen eros jelszot hasznal, akkor azt nem fogja neked kikopni a john egy honap alatt.. harmadreszt a sony ne tudja mar a jelszavamat; egy esetleges tamado nem feltetlenul kintrol jon, olyasvalaki is lehet, aki legalisan tudja olvasni az adatbazist..ep75w (#43):
"Még mindig inkább legyen 1 "mastersalt" ami nem az adatbázisban van, minthogy odapakolod mellé, még ha mind különböző is... "
a sozas egyik indoka a birthday paradox kihasznalasanak ellehetetlenitese.. ez ugye nem valosul meg, ha mindenhol ugyanaz a salt..in asm we trust
-
-
Egyéb idézetek:
"Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn."
"Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen "... stb. stb.Még egy probléma van ezzel, hogy ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét azzal, amit az átlag userek beírnak.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Cathfaern
nagyúr
Amúgy szerintem igazán nem az a probléma, hogy a Sonyt most ennyire szétszedik, meg mik történnek most. Hanem az, hogy ha a Sony helyére bármelyik nagy multi nevét beírnánk, akkor ugyanez lenne a helyzet. Csak pont a Sony húzta ki a gyufát...
-
Male
nagyúr
Ez mondjuk igaz... viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz. (nomeg ezért kell elvárni a spec. karaktereket és kis-nagy betűket a jelszóban... persze akkor meg nagybetűvel írja a macskája nevét és mögétesz egy felkiáltójelet, de ez már az ő hülyesége)
sh4d0w: Igen, de a salt is alap lenne azért...
[ Szerkesztve ]
-
válasz Cathfaern #63 üzenetére
-1
szerintem a nagy multik és a sony hasonlítanak abban, hogy nem tudnak rendes webes cuccot csinálni. csak a normálisabb nagy multija ezt tudja is magáról és csináltat pentesztet, ahol ezek a hibák kibuktak volna, és sokadik próbálkozásra eljut odáig, hogy nem düledezik ennyire minden.
ha lenne rendes szakember a sonynál, akkor az egész kócerájt egy az egyben leveszik a netről, legkésőbb a második töréskor, nem várnak hetekig, hogy megint boruljon minden és megnézetik szakemberrel.
Szerintem a legdrágább hackerbagázsból egy tucattal is olcsóbb lett volna, mint amennyi arcvesztést meg majd büntetést el kell nekik könyvelni.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ep75w
csendes tag
"... ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét..."
Na ebben van az igazság; engem alapvetően h*lyének néznek az ismerősök,
mert egy jelszó csak egy helyen, azok is véletlenszámok, ok ennek van hátránya is, én sem tudom a jelszavaim De bizony ismerek olyat, ahol qwert, 12345...birthday paradox, ne menjünk bele, felesleges. Aki technikailag, tudásban, ott van hogy bejut egy RENDES (ezek szerint a Sony nem az) szerverre, szórakozik az FBI szervereivel, annak már adhatsz akármilyen sót, főleg, hogy NEM konkrétan emiatt mentek be. Meg a só lényege, hogy kulcsként szerepel. Remek, ha szépen ott lesz az adatbázisban, na volt értelme... Értelme akkor van, ha maga a hash kikerül ugyan, de a só, a kulcs nincs meg hozzá.
De itt szerintem nem emiatt mentek. Hanem azért, hogy bent legyenek, ennyi, borstörés orr alá. Ha, csak szórakozó gyerekek, elég egy mesterkulcs, hidd el. Kár bonyolítani. 10 év alatt nálunk is csak egyszer történt betörés, ott is a rendszergazda hibája volt.
#64: "...viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz..."
Ezt karattyolom én is. Emiatt, hiába ad az előző hozzászóló külön sót mindenkinek, ha ott lesz az adatbázisban... Na de, szerintem nem ezzel szokott általában a gond lenni.
#66: Na, azért vannak már remek szótárak ehhez, nem csak a BF az egyetlen út manapság... És valóban, én el bírom képzelni lassan azt is, hogy akár felhőben számoljanak és szótárazzanak a srácok...
[ Szerkesztve ]
-
pschio
őstag
ez már komédia
''Én nem süllyedek a hülyék szintjére, mert ott legyőznének a rutinjukkal''
-
hemaka
nagyúr
Elég érdekesen reagálja le a dolgokat a Sony. Jobban jártak volna, ha valami frissebb szakembereket pattintanak be a régi fogalmatlan emberek helyére.
-
ArchElf
addikt
Amúgy tisztára olyan hiszti most ez a SONY-s történet hacker berkekben, mint anno a "Free Kevin" volt. Borzasztó indulatok értelmes cél nélkül.
Jelszó hash-re:
Statikus salt csak addig jó, amíg nem tudunk egy olyan felhasználót, aminek ismert a jelszava is (pl saját user). Innen már csakugyanaz a folyamat Pl. az imént említett témában is előforduló példa alapján:
HASH($stat_salt.$password.$dyn_salt)
Itt ami ismert az a HASH és a $dyn_salt, és a $password - a $stat_salt ugyanúgy feltörhető, mintha az nem volna, és csak $password.$dyn_salt volna.
Sőt, ha (inkább mivel) rendszer-hozzáférést szerzett a támadó, akkor simán visszakereshető a statikus salt a kódból (illetve ha binárisban van, akkor csak a binárist kell megszerezni, és azzal generáltatni a hash-t, ha az embernek nincs kedve áttúrni a kódot).AE
[ Szerkesztve ]
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
ArchElf
addikt
Szerintem ez amúgy nem szakember, hanem pénz kérdés - a pénz pedig általában nem ott van, ahol a szakemberek. A vezetők (ahol a pénz van) meg hajlamosak szarni a kockázatokra, mert "miért pont velünk történne meg", meg "befenyítettük őket, most már úgyis leszállnak majd rólunk".
Persze a "felelősök" felelősségre vonása így sem marad elAE
Csinálok egy adag popcornt, és leülök fórumozni --- Ízlések és pofonok - kinek miből jutott --- Az igazi beköpőlégy [http://is.gd/cJvlC2]
-
ep75w
csendes tag
"...Statikus salt csak addig jó..."
Van másmilyen is? Egy kulcsnak minndenképp lennie kell, innentől meg..."...Sőt, ha (inkább mivel) rendszer-hozzáférést szerzett a támadó,
akkor simán visszakereshető a statikus salt a kódból
(illetve ha binárisban van, akkor csak a binárist kell megszerezni,
és azzal generáltatni a hash-t, ha az embernek nincs kedve áttúrni a kódot)..."Ha mindenkinek külön adsz sót, akkor is ott lesz, nem mindegy?
Mindegy hogy DB-ben, a kódban, lényegtelen. De ott lesz. Ez már túlsózás.
Vagy én nem értem amit írsz, de nem hiszem#72: Így van.
[ Szerkesztve ]
-
ep75w
csendes tag
De mivel a kulcsok megvannak, ez nem gond, és nem egyedül szórakozik vele az éjszakában. nyilván...
És annyira szerintem nem bruteforce-olnak, szótáraznak és annyi, pár ezer találat a millából már jó, szótárral le van pörgetve hamar. Meg persze esetleg a mailcímek eladásra kerülhetnek...De nem mindegy, ha már bejutottak, megette a fene
Na ez jó volt, jó éjt mindenkinek. -
rt06
veterán
megkerdezhetem, milyen vas(ak)at (es mennyi) hasznalsz, hogy masodpercenkent durvan
3 584 740 847 108 777 579 (haromtrillio-otszaznyolcvannegybilliard-hetszaznegyvenbillio-nyolcszaznegyvenhetmilliard-szaznyolcmillio-hetszazhetvenhetezer-otszazhetvenkilenc) md5 hash-t tudsz legeneralni es ellenorizni?Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
HyP3b0y
senior tag
Ezek mind GEOHOT haverjai!! Ha tényleg így lenne, én lennék a legutolsó aki meglepődne ezen
"ez a 3d olyan mint az űrverseny volt a hidegháborúban: sokba kerül, problémás, de muszáj csinálni, mert a versenytársak is csinálják" by JoeYi :)
-
rt06
veterán
mar miert lenne benne? a szotarba tobbnyire a surun hasznalt szavak, kifejezesek kerulnek, es sajnos az 12345 ilyen (john alap jelszofile elso helyen szerepel, ami azert arulkodo, leven nem abc-sorrendben talalhatoak a kifejezesek a file-ban)
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
Cathfaern
nagyúr
Nem mint ha sokra tartanám a Sonyt, de miből gondolod, hogy a többi multi jobb nála? Nem is beszélve a "hirtelen kinőtt" cégekről (facebook, twitter pl.). Én úgy gondolom, hogy az esetek jó részében a biztonságot a jogászok érik el, ugyanis ahogy feltörhetetlen rendszer nincs, úgy elkaphatatlan hacker se, és az esetek jó részében nem éri meg ilyennek szórakozni. Viszont ha valaki, valakik elvi kérdést csinálnak a dologból, akkor ez a "védelem" máris megszünt. Szerintem ez történt a Sonynál, és ez megtörténhet bárki másnál is (lásd a múltkorit, mikor egy netes biztonsággal foglalkozó céget törtek meg...)
-
Hiftu
senior tag
válasz Cathfaern #85 üzenetére
A legtöbb multi cég lassú, mint egy tehén.
Tehát, nem fogják a patcheket azonnal felrakni, mert először (aztán másodszor és harmadszor is) azt nézik, hogy a szolgáltatás (folyamatosan) megy-e az új patch-csel.A híradás szerint itt is egy régi SQL injection hibát használtak ki. (Jó, a betörések túlnyomó része SQL injection...) Ebből is látszik, hogy nincs naprakész patch installálás.
[ Szerkesztve ]
Tessék mondani, lehet itt hazudni? - Kaszt: Decker, Faj: Troll, Működési Terület: Prohardver
-
blueMerle
veterán
Azért ugye nem baj ha kicsit bepisiltem a röhögéstől (pedig nincsenek ilyen jellegű gondjaim).Ennyi crackert hackert meg kitudjamit rég láttam egy helyen
-
-
wikings2
őstag
A harmadik világháború egyértelműen zajlik már. Ez a Hackerek forradalma x)
Talán én is Pest vagyok... Pest a pestiségem. Pest,hogy rég Pesten lakok, s nem lettem pesti mégsem.
-
Hogy-hogy nem Anon volt a cracker csoport?? Lassan, ha eltűnik a lomtár tartalma egy cégnél, azt is Anon-ra fogják.
-
nagyúr
"Pl. kivédeni az SQL injection lehetőséget. Pl. megfelelő mértékű titkosítással, salting alkalmazásával megnehezíteni a támadók dolgát."
Van még ember, aki nem védi le a saját cuccát injection ellen? Multinál ez olyan hiba, ami instant kivégzés kellene, hogy legyen...
[ Szerkesztve ]
-
sghc_toma
senior tag
eleg sok helyen van az, hogy probalkoznak, csak rosszul csinaljak.. az inputvalidacio kimerul abban, hogy az aposztrofokat escape-elik, eszukbe sem jut, hogy nem csak a ' or '1'='1 tipusu inject-ek leteznek.. es akkor meg nem is beszeltunk masfajta injection-okrol (pl. ldap, xml)
in asm we trust
-
Látod, hogy van, ráadásul a Sony-nál nem ez az első SQL injection típusú bukás, hanem vagy a 10. egymás után néhány hét leforgása alatt. Ebben az egészben egyébként a legszomorúbb az, hogy a törvény csak a támadókat vonja felelősségre, azokat nem, akik lehetővé teszik az ilyen típusú behatolásokat.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
-
válasz Cathfaern #92 üzenetére
De tudjuk. A sonypictures.com-on keresztül, de ugyanígy védtelen volt pl. a Sony zenei kiadójának görög weblapja is. Még súlyosbítja a helyzetet, hogy a sonypictures.com mögött volt a cég zenei kiadójának holland és belga weblapjainak adatbázisa is.
https://www.coreinfinity.tech
Új hozzászólás Aktív témák
- Hearthstone: Heroes of Warcraft - free online CCG
- Counter-Strike: Global Offensive (CS:GO) / Counter-Strike 2 (CS2)
- 5.1, 7.1 és gamer fejhallgatók
- Stellar Blade
- Vezetékes FEJhallgatók
- Amlogic S905, S912 processzoros készülékek
- Gitáros topic
- EAFC 24
- Mibe tegyem a megtakarításaimat?
- PlayStation 5
- További aktív témák...
- iPad Air 1 alkatrésznek eladó
- A képen látható PC házak egyikét keresem
- BONTATLAN ÚJ iPad Pro 2021 2022 M1 M2 Chip 11 és 12,9 128-2000GB DEÁK TÉRNÉL AZONNAL ÁTVEHETŐ
- ÚJ Bontatlan Macbook Pro 16 M3 Pro 12CPU/18GPU 36GB/512GB SSD Magyar billentyűzet Azonnal átvehető.
- BESZÁMÍTÁS! GIGABYTE WindForce 2X GTX 960 4GB GDDR5 videokártya garanciával hibátlan működéssel