Új hozzászólás Aktív témák
-
Gergosz2
veterán
A Sony-nál mi a franc folyik???
1 millió flhasználó adatait titkosítatlanul tárolni!!
Ezt ők sem gondolhatták komolyan........Nokia 6030 Hardcore User // I Panic Restaurant by Taito
-
-
weiss
addikt
Ez a magyarázkodás engem erre emlékeztet...
I did nothing, the pavement was his enemy!
-
k.
őstag
Véleményem több dologból áll:
1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat.
2. Véreres fszt a hackereknek, hogy ellopták ezeket, ahelyett hogy szóltak volna.
3. Véreres fszt mindenkinek, aki képes ideológiai hülyeséggé kovácsolni egy ilyen cuccot. -
-
Gergosz2
veterán
ilyen trehányul bánni a felhasználók adatival.
Kb ennyi lenne.
2. Véreres fszt a hackereknek, hogy ellopták ezeket, ahelyett hogy szóltak volna.
WTF??
hogyan kellett volna kellően védeni az adatokat?
Azért valami titkosítás illett volna.
[ Szerkesztve ]
Nokia 6030 Hardcore User // I Panic Restaurant by Taito
-
SQL injection... Meg is érdemlik.
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
k.
őstag
Pl odamennek a kis Sonyhoz, hogy nézd meg, akkora biztonsági hiba van itt, hogy komplett teherautó kifér rajta.
Tudom, hogy most hacker vs Sony csata megy, de azért eléggé idegesítő, hogy pár suhanc miatt 1 hónapig nem volt psn meg az ember azon elmélkedhet, hogy az adatai biztonságban vannak-e. -
-
-
k.
őstag
Nézd, én megmondom őszintén ehhez nem értek. Ahogy ahhoz sem, hogy hogyan lehet egy házat megépíteni.
Azt tudom, hogy valamit nagyon elcsesztek, hiszen nem úgy működnek a dolgok ahogy kellene. Ahogy lecsesznéd pl a Seatot is, ha odamenne a srác az autódhoz és 10 másodperc mulva minden különösebb szakértelem nélkül kinyitná, és lelépne a kocsival. Hiszen itt sem volt olyan hű de bonyolult a bejutás, aztán az adatok elvétele. -
Gergosz2
veterán
Itt a Sony a hibás.
Nem védekeztek ennyi.
Lett volna valami normális titkosítás, akkor nem sok mindent tudtak volna kezdeni vele a heckerek(jó tudtak volna de egy kis idejükbe tellett volna)
Gondolj bele hogy nem csak a PSN-t meg a Sony-t érik támadások.
Szerintem a XBOX live! is kap eleget belölük, FBI-ról NASA-ról nem is beszélve.Nokia 6030 Hardcore User // I Panic Restaurant by Taito
-
-
A kérdés az, amit fel kell tenni: mennyivel lassította volna a betörőket, ha titkosítva vannak a jelszavak? az én tippem: semennyivel.
(#13) Gergosz2: a kriptográfiai algoritmusok halmaza véges és elég kevés elemet tartalmaz. a tény, hogy elvileg nem ismert, mivel titkosították, továbbra sem lassít szinte semmit a tolvajokon. a legnagyobb valószínűsége annak van, hogy md5-tel titkosítottak volna, ha van, a második legnagyobb valószínűsége, hogy sha256-tal.
ezek a közismert, programozói eszközökkel gyárilag támogatott módszerek. ergo a törést is ezzel kell megpróbálni először.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
rainmen
aktív tag
Az FBI leányvállalatához is benéztem és megszereztek 180 jelszót. Kissé cibálják a oroszlán bajszát. Én vigyáznék, harap....
-
Jhonny06
veterán
"az én tippem: semennyivel."
Lelassítani mindenképpen lelassította volna őket, mert evidens, hogy egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat, általános iskolai logika. Ezért bizony a Sony a hibás, az SQL injection kb. az a szint, amit egy középiskolás megvalósít, Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál.
[ Szerkesztve ]
-
dabadab
titán
"hogyan kellett volna kellően védeni az adatokat?"
Ez mennyire komolyan kérdezed egy SQL injectionös támadás után?... Basszus, SQL injections, van ennél lejjebb?
Vajon mikor linkeli valaki little Bobby Tablest?
(#14) bambano: az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.
[ Szerkesztve ]
DRM is theft
-
"egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat": marhaság, egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított.
"az SQL injection kb. az a szint, amit egy középiskolás megvalósít,": ezt nem is vitattam.
"Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál": én sem gondolom komolyan, ja.
Ami nekem piszkálta a csőrömet az az a mondat a cikkben, hogy:
"a több mint egymillió felhasználói jelszót plaintext formátumban tárolták."ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó? Mert Pali úgy írta le, mintha a plaintext jelszó az armageddonnal lenne egyenértékű.
Az én véleményem az, hogy sokkal nagyobb hiba, ha ennyire egyszerűen törhető webes alkalmazás van a neten, mint az, hogy a jelszó plaintextben volt.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
idézzünk teljességében:
"1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat."
"hogyan kellett volna kellően védeni az adatokat?"én az eredeti mondatot úgy értelmeztem, hogy szintén a titkosítás hiányával van problémája.
"az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.": ebből nyithatnánk vitát, de nem érdemes. a tény az, hogy gyakorlatilag az összes fejlesztőeszköz, amit használhattak, out of the box ezeket (meg ezekhez igen hasonlókat, pl. crypt) támogat. Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet (mint kiderült, ennyit se kellene ). Ezek pedig viszonylag egyszerűen törhetők.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dabadab
titán
"ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó?"
Igen.
Basszus, plaintextben nem tárolunk jelszót, ez olyan elemi hiba, amiért kapásból ki kellene csapni mindenkit a cégtől, akinek köze volt hozzá. Itt mondjuk sikeresen meg is válaszoltam azt a kérdést, hogy van-e lejjebb az SQL injectionnél: van, a plaintextben tárolt jelszó.
"ebből nyithatnánk vitát, de nem érdemes."
Bölcs döntés, tényleg nem érdemes Ezek azért jók, mert csak az egyik irányba működnek, ami titkosításnál annyira nem nyerő dolog
Az más kérdés, hogy jelszavaknak csak a hashét tárolja az ember, de azt nem titkosításnak nevezzük."Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet"
Még az is segítene, mert az, hogy md5-nél találnak collisiont, alapjában véve nem akkora nagy tragédia, mint az, ha kikerülnek a jelszavak.
[ Szerkesztve ]
DRM is theft
-
bulbaa
tag
Engem leginkább az érdekel ki áll az egész mögött, kik pénzelik, kik adták a megrendelést a hacker/cracker csoportnak. Mert gondolom nem jódolgukban törték fel a Sony rendszereit.
-
Jhonny06
veterán
A kérdésed az volt, hogy lelassítja-e őket, nem az hogy akadály-e. Igen, lelassítja. Azt meg nem lehet tudni, hogy kinek mi az akadály. Lehet, hogy nem tudtak volna túljutni rajta, egy plaintext nem akkora kaland.
"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."
Ezt hogy sikerült kilogikázni?
[ Szerkesztve ]
-
-
-
ep75w
csendes tag
"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."
Pedig ez így van, gondold végig. Teljesen mindegy hogy mikor túrkálok az adatbázisomban, az plain vagy bármi más. Kiszedni, PONTOSAN ugyanannyi meló.
A lényeg, BEJUTNI nem mindegy, hogy mekkora. De ha már bent vagy, nem lényeges hogy az adata az text vagy bármi más. És itt a bejutás a durva a hírben. -
rt06
veterán
"Ez mennyire komolyan kérdezed egy SQL injectionös támadás után?... Basszus, SQL injections, van ennél lejjebb?"
nem kerdezi komolyan, trollkodik
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
-
dabadab
titán
"az én meglátásom és tapasztalatom szerint teljesen mindegy, hogy egy plain text jelszó kerül ki vagy a hash-e."
Egy MD5 hash-sel hogyan tudsz bejelentkezni a GMailre? Sehogy. Ugyanis ilyenkor nem az a probléma, hogy kiderül, hogy az adott site-ra mivel lépett be a user, hanem az, hogy jó eséllyel máshol is azt a jelszót használta, pl. a webmailes accountjánál (amit elég könnyű megtalálni, mert az emailcímek is kikerültek), onnan kezdve meg a jelszóemlékeztetőkkel nyitva áll minden.
"A főbenjáró vétség az én szememben az, hogy kikerült. A formátum az én szemeben nem oszt-nem szoroz."
A védelemnék mindig mélységinek kell lennie, nem lehet egyetlen rétegre alapozni. Márpedig az ilyen mélységi védelemnek az egyik abszolút alapvető, általános iskolai szintű technikája az, hogy nem tárolunk plaintext jelszavakat, csak hasht.
[ Szerkesztve ]
DRM is theft
-
#16729600
törölt tag
Fúj warezolók,fúj hackerek! Én megtisztelem annyival a Sonyt, hogy ha kiadják a felhasználók adatait egy díszdobozos DVD-n, akkor azt megveszem.
-
A saját méréseim alapján azt állítom, hogy 1 millió md5-ös hashból a saját minimál technikai színvonalamon 30 napnál hamarabb meg tudnám mondani a jelszavak minimum 85%-át.
Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn.
Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT.A többit, ellenvélemény hiányában, nem vitatom.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Samus
addikt
Nem azért, de valamiféle titkosítást alkalmazhattak volna az adatbázisban, vagy legalább a jelszavak helyett azok MD5 hash-jét tárolták volna. Az is meglepő, hogy ennyire könnyen bejutottak a szerverekre. Egy ekkora vállalat áldozhatna többet is a védelemre.
Szólni biztos nem szóltak volna, mert nem ez volt a cél. Az viszont vicces, hogy az egész, ha jól tudom amiatt robbant ki, mert a PS3on letiltották a külső operációs rendszer telepítésének lehetőségét...
'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!
-
torreadorz
csendes tag
A sony-nál amúgy tényleg full idióták dolgoznak?
Ilyen szintü biztonsági hibák 1970-ben még megbocsáthatóak lettek, de 2011-ben? Bakker ezek után már azt is el tudom képzelni hogy különösebb sql injection sem kellet, mert a root jelszó egy enter volt -
-
horvathd
aktív tag
A salt csak az előre készített hash táblázatok ellen véd, és az adatbázisban le kell tárolni, ezért a szótáras és brute force próbálkozások ellen nem jó.
Az igazi védelem az, amikor a jelszót ~ 1000-szer hasheli md5-tel, vagy még jobb, ha sha1/sha256-tal. Így már elég sokáig tart egy próbálkozás. Persze salt-ot tilos kihagyni.
Akit érdekel, itt talál egy jó videót: [link] (angol)
"The Kid just rages for a while."
-
Pikari
őstag
Talán nem az internet legveszélyesebb gyűlöletgépével kellett volna nagyképűen szarakodni éveken keresztül.
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
-
WN31RD
addikt
Plaintext jelszavak esetén az áldozatoknak nulla idejük van reagálni, mielőtt a jelszavakkal visszaélnének, kódolt jelszavak esetén pedig már gyenge-közepes jelszó mellett is sok nap, erősebb jelszónál sokkal több.
''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
-
Cathulhu
addikt
De ha annak az egymillio embernek csak 1% (tippre viszont 90) ugyanazt a jelszot hasznalta mondjuk egyeb, kritikus adatot tarolo rendszerhez, akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja. Es epp emiatt a szmemeben nagyobb bun igy tarolni az adatokat, mint a sajat rendszert nem megfeleloen vedeni.
szerk:
#29, most olvastam csak[ Szerkesztve ]
Ashy Slashy, hatchet and saw, Takes your head and skins you raw, Ashy Slashy, heaven and hell, Cuts out your tongue so you can't yell
-
ep75w
csendes tag
Még mindig inkább legyen 1 "mastersalt" ami nem az adatbázisban van, minthogy odapakolod mellé, még ha mind különböző is... Szerintem.
Viszont ennyi erővel lehet használni pl. a regisztrálási időt, a végeredmény ugyanaz, mint amit te írsz. Nem azt mondom, hogy rossz amit írsz, csak azt, hogy felesleges felhasználónként külön salt, főleg ha ott van . Kell a só, de ne tálaljuk már fel egyből a db-ben, dolgozzanak meg érte ha kell nekik Viszont ha már annyira toppon vannak akkor meg visznek mindent. Szóval, érted. -
M3Ny3'T
senior tag
Teljesen igazad van.
Nem is értem, hogy Unix esetében miért szarakodnak holmi passwd, shadow felbontásokkal és egyéb védelmekkel, ahelyett, hogy beb*sznák az egészet egy txt fájlba. Tovább megyek, mindenki root-ként rohangászna a szerveren. Sokkal kevesebb észt, időt, energiát igényel és egyébként is teljesen mindegy, mert úgyis feltörik.Skype-on lány az informatikusnak: Milyen színű a szemed? Informatikus: #0034ff
-
A saját tesztem alapján a gyenge jelszók törése nekem kettő azaz 2 másodpercbe került. Mivel én nem milliós mintán teszteltem, ezért nyilvánvaló, hogy 1 millió jelszóból a gyenge jelszavak kirostálása nem két másodperc, de szerintem 5-10 percnél nem több. Ez nálam a jelszavak kb. 60-65%-a volt.
Kérem a véleményedet azügyben (feltételezett verzió, ha a sony md5-ben tárolta volna a jelszavakat, nem plainben, mint itt), hogy ha betörtek a sonyhoz, ellopták a jelszavakat, de egy jó darabig csendben maradtak és magukban törögették a jelszavakat, majd mikor meglett mind és akkor borult ki a bili, mennyivel lett volna több idejük reagálni? Hint: semennyivel.
(#40) a_n_d_r_e_w: "akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult": ez igaz.
"a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja.": mint a méréseim mutatják, nincs lényegi különbség aközött, hogy plain text vagy valami nem túl átgondoltan titkosított jelszó került ki.A többihez:
mint látható, az md5 salt nélkül gyakorlatilag semmit nem ér. Egy darab xeon core-on futtatott brute force program is feltöri záros határidőn belül (ugye nem tudjuk, hogy mikor törtek be a sonyhoz és mennyi ideig kussoltak a cselekményről, tehát lehet, hogy hetek óta bent vannak, csak most szóltak).Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép, egy kicsivel okosabb program, ami képes 4 proci mind a 6 magján menni, esetleg ht-ben, az már 48 példány, rögtön megvan a két nagyságrendes gyorsítás. Ha ilyen gépből több kezd el dolgozni (ez még mindig csak pár millió forint nagyságrend), vagy nem egy ember rohan neki a jelszavaknak, hanem egy komplett megnemnevezett társaság minden tagja, akkor nagyon gyorsan eljuthatnak odáig, hogy 1 millió md5-ös jelszó komplett törése megvan pár perc alatt. Az sha256 és/vagy a saltolás meg csak lassítja őket, de nem állítja meg.
Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
ep75w
csendes tag
"...Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg..."
Így van, nem a LEGVÉRESEBB, de azért eléggé gáz rájuk nézve
De a lényeg, só ide vagy oda, amíg a legtöbb user, mit user, rendszergazda olyan jelszavakat használ, hogy uhh, addig nincs miről beszélni...És ebben a történetben a behatolás volt a lényeg, a többi, már csak a hab a tortán.
"...Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép..."
Felhő rulez?
[ Szerkesztve ]
-
M3Ny3'T
senior tag
Alapvetően szöveges, igen, de pl a jelszó el van kódolva MD5-be. Minden féle-fajta kódolás nélkül, egyetlen fájlban értettem.
És az, hogy mindenki root, arra meg mit mondjak? Talán a megfelelő fogalom: idiotizmus.Skype-on lány az informatikusnak: Milyen színű a szemed? Informatikus: #0034ff
-
WN31RD
addikt
Potenciálisan sokkal több ideje lett volna reagálni annak, aki normálisabb jelszót használ, mert azokat, főleg ha salt is volt a hash mellett (ami már régóta standard practice), nem feltétlenül fejtik vissza hónapok alatt sem. Az sem minden esetben igaz, hogy a behatolók hosszú ideig tudnak rejtőzködni. A plaintext jelszó egyszerűen iszonyatos felelőtlenség, mert a fejlesztői oldalon viszonylag kis spórolást jelent, de nagyban csökkenti azon felhasználók fiókjának biztonságát is, akik egyébként ügyelnének arra, hogy megfelelő jelszavakat használjanak.
Az sem mindegy, nagyon nem, és minél nagyobb a felhasználói bázis, annál kevésbé, hogy a jelszavak 60-65% vagy 100%-a kerül-e ki.
Hogy a plaintext jelszó a "legvéresebb" pontja-e a történetnek, azon lehet vitatkozni, de hogy "véres" pontja, az szerintem nem kérdés.
''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''
Új hozzászólás Aktív témák
- Samsung Galaxy Buds FE - rajongok és jajongok
- Xbox Series X|S
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Projektor topic
- Redmi Watch 4 - olcsó hús, sűrű a leve
- HiFi műszaki szemmel - sztereó hangrendszerek
- OLED TV topic
- Külpolitika
- Milyen légkondit a lakásba?
- Hearthstone: Heroes of Warcraft - free online CCG
- További aktív témák...
- iPad Air 1 alkatrésznek eladó
- A képen látható PC házak egyikét keresem
- BONTATLAN ÚJ iPad Pro 2021 2022 M1 M2 Chip 11 és 12,9 128-2000GB DEÁK TÉRNÉL AZONNAL ÁTVEHETŐ
- ÚJ Bontatlan Macbook Pro 16 M3 Pro 12CPU/18GPU 36GB/512GB SSD Magyar billentyűzet Azonnal átvehető.
- BESZÁMÍTÁS! GIGABYTE WindForce 2X GTX 960 4GB GDDR5 videokártya garanciával hibátlan működéssel