Új hozzászólás Aktív témák
-
bambano
titán
A kérdés az, amit fel kell tenni: mennyivel lassította volna a betörőket, ha titkosítva vannak a jelszavak? az én tippem: semennyivel.
(#13) Gergosz2: a kriptográfiai algoritmusok halmaza véges és elég kevés elemet tartalmaz. a tény, hogy elvileg nem ismert, mivel titkosították, továbbra sem lassít szinte semmit a tolvajokon. a legnagyobb valószínűsége annak van, hogy md5-tel titkosítottak volna, ha van, a második legnagyobb valószínűsége, hogy sha256-tal.
ezek a közismert, programozói eszközökkel gyárilag támogatott módszerek. ergo a törést is ezzel kell megpróbálni először.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
"egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat": marhaság, egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított.
"az SQL injection kb. az a szint, amit egy középiskolás megvalósít,": ezt nem is vitattam.
"Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál": én sem gondolom komolyan, ja.
Ami nekem piszkálta a csőrömet az az a mondat a cikkben, hogy:
"a több mint egymillió felhasználói jelszót plaintext formátumban tárolták."ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó? Mert Pali úgy írta le, mintha a plaintext jelszó az armageddonnal lenne egyenértékű.
Az én véleményem az, hogy sokkal nagyobb hiba, ha ennyire egyszerűen törhető webes alkalmazás van a neten, mint az, hogy a jelszó plaintextben volt.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
idézzünk teljességében:
"1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat."
"hogyan kellett volna kellően védeni az adatokat?"én az eredeti mondatot úgy értelmeztem, hogy szintén a titkosítás hiányával van problémája.
"az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.": ebből nyithatnánk vitát, de nem érdemes. a tény az, hogy gyakorlatilag az összes fejlesztőeszköz, amit használhattak, out of the box ezeket (meg ezekhez igen hasonlókat, pl. crypt) támogat. Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet (mint kiderült, ennyit se kellene ). Ezek pedig viszonylag egyszerűen törhetők.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
bambano
titán
-
bambano
titán
A saját méréseim alapján azt állítom, hogy 1 millió md5-ös hashból a saját minimál technikai színvonalamon 30 napnál hamarabb meg tudnám mondani a jelszavak minimum 85%-át.
Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn.
Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT.A többit, ellenvélemény hiányában, nem vitatom.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
A saját tesztem alapján a gyenge jelszók törése nekem kettő azaz 2 másodpercbe került. Mivel én nem milliós mintán teszteltem, ezért nyilvánvaló, hogy 1 millió jelszóból a gyenge jelszavak kirostálása nem két másodperc, de szerintem 5-10 percnél nem több. Ez nálam a jelszavak kb. 60-65%-a volt.
Kérem a véleményedet azügyben (feltételezett verzió, ha a sony md5-ben tárolta volna a jelszavakat, nem plainben, mint itt), hogy ha betörtek a sonyhoz, ellopták a jelszavakat, de egy jó darabig csendben maradtak és magukban törögették a jelszavakat, majd mikor meglett mind és akkor borult ki a bili, mennyivel lett volna több idejük reagálni? Hint: semennyivel.
(#40) a_n_d_r_e_w: "akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult": ez igaz.
"a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja.": mint a méréseim mutatják, nincs lényegi különbség aközött, hogy plain text vagy valami nem túl átgondoltan titkosított jelszó került ki.A többihez:
mint látható, az md5 salt nélkül gyakorlatilag semmit nem ér. Egy darab xeon core-on futtatott brute force program is feltöri záros határidőn belül (ugye nem tudjuk, hogy mikor törtek be a sonyhoz és mennyi ideig kussoltak a cselekményről, tehát lehet, hogy hetek óta bent vannak, csak most szóltak).Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép, egy kicsivel okosabb program, ami képes 4 proci mind a 6 magján menni, esetleg ht-ben, az már 48 példány, rögtön megvan a két nagyságrendes gyorsítás. Ha ilyen gépből több kezd el dolgozni (ez még mindig csak pár millió forint nagyságrend), vagy nem egy ember rohan neki a jelszavaknak, hanem egy komplett megnemnevezett társaság minden tagja, akkor nagyon gyorsan eljuthatnak odáig, hogy 1 millió md5-ös jelszó komplett törése megvan pár perc alatt. Az sha256 és/vagy a saltolás meg csak lassítja őket, de nem állítja meg.
Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
Matematikailag jogos a kérdésed, de a tapasztalat azt mutatja, hogy a jelszavak értelmesek, tehát ha két szónak a hash-e ugyanaz és a jelszavak hossza erősen limitált, igen nagy valószínűséggel meg lehet mondani a konkrét jelszót is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
Egyéb idézetek:
"Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn."
"Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen "... stb. stb.Még egy probléma van ezzel, hogy ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét azzal, amit az átlag userek beírnak.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz Cathfaern #63 üzenetére
-1
szerintem a nagy multik és a sony hasonlítanak abban, hogy nem tudnak rendes webes cuccot csinálni. csak a normálisabb nagy multija ezt tudja is magáról és csináltat pentesztet, ahol ezek a hibák kibuktak volna, és sokadik próbálkozásra eljut odáig, hogy nem düledezik ennyire minden.
ha lenne rendes szakember a sonynál, akkor az egész kócerájt egy az egyben leveszik a netről, legkésőbb a második töréskor, nem várnak hetekig, hogy megint boruljon minden és megnézetik szakemberrel.
Szerintem a legdrágább hackerbagázsból egy tucattal is olcsóbb lett volna, mint amennyi arcvesztést meg majd büntetést el kell nekik könyvelni.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Retro teló rajongók OFF topicja
- Háztartási gépek
- Indiában startolt a Poco X6 és X6 Pro
- Autós topik
- Azonnali informatikai kérdések órája
- Kerékpárosok, bringások ide!
- Samsung Galaxy A54 - türelemjáték
- Milyen okostelefont vegyek?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- EAFC 24
- További aktív témák...