Új hozzászólás Aktív témák
-
Geller72
veterán
"..talán nem is...és van itt is a fórumon olyan, aki 5970 CF-el "dolgozik..ez egy relatíve régebbi description, azóta van frissebb is..
...-h:[hash] Hash to attack (16 or 20 bytes in HEX)
-t:[type] Type of hash to attack
md4 (Single byte/Unicode)
sha1 (Single byte/Unicode)
md5
md5x2 md5(md5($pass).ascii) No idea how to call it, some forum's type
md5x2s md5(md5($pass).$salt) Same as above except salt added after first md5 (without salt md5x2 and md5x2s are the same).
Can be used for vBulletin hashes especially with asalt switch
mysql5 sha1(sha1($password))
ipb md5(md5($salt).$md5($pass))
dcc md4(md4($password).lowercase($username))
-devicemask:[N] Bit mask for GPUs usage, bit 0 == first GPU (default 0xFF, i.e. all GPUs).Special parameters (like " or /) can be passed by using single or double quotes:
-asalt:"h/X"
-asalt:'-"-'
-sf:"aa//bb"Description
This software using ATI RV 7X0/8X0 and nVidia "CUDA" video cards to brute-force MD4, MD5 & SHA1 hashes. Speed depends on GPU,
ATI HD5870:
~2400M/s single MD5
~795M/s single SHA1
ATI HD4850:
~980M/s single MD5
~720M/s batch of MD5s (down to ~420M for 400K hashes)
~305M/s single SHA1
nVidia GTX260 w/ 192SP:
~550M single MD5
~410M batch of MD5s (down to ~350M for 400K hashes)
~175M single SHA1
As ************ supports salted hashes it's possible to use it for:Plain MD4, MD5, SHA1.
NTLM
Domain Cached Credentials
Oracle 11g
MySQL5
MSSQL
vBulletin
Invision Power Board
and more ..." -
válasz
sghc_toma
#131
üzenetére
Az otherOS hipervizor alatt futott és erősen korlátozott volt, pl. az RSX-hez nem fért hozzá, eredetileg azért kezdték feszegetni a határokat (amire a Sony az otherOS letiltásával válaszolt, aztán meg jött a többi), hogy hozzá tudjanak férni ahhoz is, főleg a memóriájához, mert abból elég kevés van a PS3-ban.
Szóval másolt játékokat nem vitt az otherOS
szerk: az persze igaz, hogy ha valaki hekkelt klienst akart volna a PS3-akra rakni, azt a tores elott is pont ugyanugy megtehette -
Pikari
veterán
válasz
sghc_toma
#127
üzenetére
nem, úgy gondoltam, hogy belerakom a crysis3mat, aztán átmegy a fénykábelen, kijön a monitorodból, és elénekli három nyelven a szovet himnuszt
a hadsereg play stationjait pedig nyilván feltörik, sőt, a crackert úgy hívják hogy pistike13, annyira tört hogy porhanyósabb mint az urnából kiöntött anyós
-
-
"Ha az anonnak geohothoz semmi köze nem lenne, akkor nem ugrottak volna rá úgy az ügyre azonnal"
Az anon nem igazi csoport, ellenben egy csomó olyan ügyre ugranak, ami nem érinti őket közvetlenül, csak zavarja az igazságérzetüket.
"geo se üdvözölte volna az anon ps3 bojkottját"
Mert miért nem?
Mindenesetre azt továbbra is állíthatjuk, hogy a PS3-at nem az anon, hanem pár, név szerint is ismert ember törte meg.
"Az meg, hogy onnantól bármilyen lemezt elvisz a ps3, azt hiszem, nem kell kifejtenem hogy milyen új támadási felületet biztosít."
De. Szóval ott van egy rakat PS3 egy fegyveres őrök által őrzött épületben és fut rajtuk valami number crunching, ami igazán érzékeny adatokat nem érint. Nekem nem nagyon jut eszembe, hogy milyen nagyon nyilvánvaló támadási felületet ad az, hogy lehet tört GT5-öt futtatni rajtuk.
-
Pikari
veterán
Ha az anonnak geohothoz semmi köze nem lenne, akkor nem ugrottak volna rá úgy az ügyre azonnal, mint gyöngytyúk a takonyra, és geo se üdvözölte volna az anon ps3 bojkottját.
Az meg, hogy onnantól bármilyen lemezt elvisz a ps3, azt hiszem, nem kell kifejtenem hogy milyen új támadási felületet biztosít.
-
A személyeskedést mellőzd a továbbiakban!
"Azzal hogy az anon megtörte a ps3mat, innentől fogva sokkal egyszerűbb lett annak a dolga is, aki az amerikai államgépezetben szeretne szaglászni."
Egyébként olyan nagyon rengeteg PS3-at nem használnak, de nem, abszolút semmivel sem lesz könnyebb a dolga.
Vagy ha gondolod, akkor írd le, hogy konkrétan milyen támadási vektorokat látsz ebben.Ja, és a PS3-at nem az anon törte meg, de ez már abszolút mellékszál.
-
Male
nagyúr
Volt egy kis időm ma, így ezen a részen gondolkoztam:
"Statikus salt csak addig jó, amíg nem tudunk egy olyan felhasználót, aminek ismert a jelszava is (pl saját user). Innen már csakugyanaz a folyamat Pl. az imént említett témában is előforduló példa alapján:
HASH($stat_salt.$password.$dyn_salt)
Itt ami ismert az a HASH és a $dyn_salt, és a $password - a $stat_salt ugyanúgy feltörhető, mintha az nem volna, és csak $password.$dyn_salt volna."Attól, hogy ismersz egy jelszót, és a hozzá tartozó hash-t, attól még nem fogod megtudni a statikus saltot, mert ez nem kiszámítható ebből a párból (végtelen számú saltot lehet találni, amivel a jelszó ezt a hash-t adja).
A forráskód elérése szintén nem különbség a dinamikushoz képest, mert akkor meg le lehet generálni a saltot.Ettől még a dinamikus tényleg biztosabb, de nem ezek miatt, hanem amit horvathd mondott: nem elég egy táblát legenerálni a gyakori jelszó + ismert statikus salt összetételre, hanem minden egyes felhasználónál ezt külön meg kell tenni, ami sokkal nagyobb időszükséglet.
-
Pikari
veterán
Kevesen tudják ugyanis, de az amerikai hadsereg és hírszerzés rengeteg PS3mat használ különböző kutatásokhoz és katonai létesítményekben és hadsereggel kapcsolatban lévő technológiákkal, mert annak idején a hiszékeny agyatlan it-specialistáik ezeket a szarokat halomra vásároltatták. Azzal hogy az anon megtörte a ps3mat, innentől fogva sokkal egyszerűbb lett annak a dolga is, aki az amerikai államgépezetben szeretne szaglászni. Azért vadult be az Anonymous ennyire, mert az FBI és az amcsi diktatúra titkosszolgálatai megkísérelték a közösség hacker tagjait erőszakkal és kényszerrel beszervezni. Számítani lehet arra mostantól, hogy az anon lényegében bosszúból, válogatás nélkül fogja célbavenni az imperialista vállalatokat, a titkosszolgálattal, hadsereggel, nemzetbiztonsággal, és bankrendszerrel kapcsolatosakat is. A Sonyt valszeg ki fogják csinálni: never forgive, never forget.
-
mrhitoshi
veterán
Egyre jobban kételkedek ezekben a "hacker" támadásokban. Egyrészt, ki tudja, hogy hol melyik szervereken hogyan védik az adatokat. Szóval lehet nem csak a Sony ilyen hülye, hanem lehet rajta kívül, még van egy jó pár cég, csak éppen nem tudunk róla. Másrészt, kezd egyre meseszerűbbé válni ez az egész "csatározás".
Másik dolog meg, ha ténylegesek ezek az olcsó támadások, akkor valaki lője már fejbe ezeket a hülye gyerekeket, mert most már nem tudok erre mit mondani, ezzel együtt a Sony is takaríthatna, ha már ennyire balf@szok a dolgozók/vezetők.
Még valami: szerintem egy fél éven belül lenyugszik mindenki, és ugyan olyan lesz a helyzet, mint volt, szóval értelme ennek az egésznek, szinte semmi.
-
válasz
sghc_toma
#93
üzenetére
Durva. Még a sokat szidott itthoni egyetemi mérnökképzésen is elmondják programozásból, hogy ez az egyik halálos bűn. Nem mondom, hogy mindenre jók az alternatív megoldások, de azért például egy hagyományos DAL-nál például egy NHibernateen alapuló repo vagy még jobb esetben a NoSql eléggé elterjedt ma már ahhoz, hogy ilyen alapvető dolgokat kivédhessünk vele. Vagy ott a CQRS és egy read-only db. Nehéz elhinni, hogy ekkora cégnél ilyen előfordul.
-
-
"Attol, hogy ismered az algoritmust, nem sokkal vagy kozelebb a megoldashoz."
De, sima dictionary attacknél tulajdonképpen ez a probléma egyik fele, a másik meg az, hogy végigmenjenek a lehetséges szavakon (mondjuk a 85%-nyi harmatgyenge jelszó első blikkre soknak tűnik, de egyáltalán nem elképzelhetetlen).
-
proci985
MODERÁTOR
najó, de ha van hárommillió adat, akkor azt mind visszafejteni elég sok idő (nyilvános kulcsú védelemnek pont ez a lényege).
plaintextnél meg ellopták, és onnantól nem kell dekódolással szórakozni.
dabadab: igen, nekem is a kis bobby tables jutott eszembe... azért ez nagyon amatőr volt.
-
-
sh4d0w
félisten
Látod, hogy van, ráadásul a Sony-nál nem ez az első SQL injection típusú bukás, hanem vagy a 10. egymás után néhány hét leforgása alatt. Ebben az egészben egyébként a legszomorúbb az, hogy a törvény csak a támadókat vonja felelősségre, azokat nem, akik lehetővé teszik az ilyen típusú behatolásokat.
-
sghc_toma
senior tag
eleg sok helyen van az, hogy probalkoznak, csak rosszul csinaljak.. az inputvalidacio kimerul abban, hogy az aposztrofokat escape-elik, eszukbe sem jut, hogy nem csak a ' or '1'='1 tipusu inject-ek leteznek.. es akkor meg nem is beszeltunk masfajta injection-okrol (pl. ldap, xml)
-
-
Hiftu
senior tag
válasz
Cathfaern
#85
üzenetére
A legtöbb multi cég lassú, mint egy tehén.
Tehát, nem fogják a patcheket azonnal felrakni, mert először (aztán másodszor és harmadszor is) azt nézik, hogy a szolgáltatás (folyamatosan) megy-e az új patch-csel.A híradás szerint itt is egy régi SQL injection hibát használtak ki. (Jó, a betörések túlnyomó része SQL injection...) Ebből is látszik, hogy nincs naprakész patch installálás.
-
Cathfaern
nagyúr
Nem mint ha sokra tartanám a Sonyt, de miből gondolod, hogy a többi multi jobb nála? Nem is beszélve a "hirtelen kinőtt" cégekről (facebook, twitter pl.). Én úgy gondolom, hogy az esetek jó részében a biztonságot a jogászok érik el, ugyanis ahogy feltörhetetlen rendszer nincs, úgy elkaphatatlan hacker se, és az esetek jó részében nem éri meg ilyennek szórakozni. Viszont ha valaki, valakik elvi kérdést csinálnak a dologból, akkor ez a "védelem" máris megszünt. Szerintem ez történt a Sonynál, és ez megtörténhet bárki másnál is (lásd a múltkorit, mikor egy netes biztonsággal foglalkozó céget törtek meg...)
-
-
rt06
veterán
megkerdezhetem, milyen vas(ak)at (es mennyi) hasznalsz, hogy masodpercenkent durvan
3 584 740 847 108 777 579 (haromtrillio-otszaznyolcvannegybilliard-hetszaznegyvenbillio-nyolcszaznegyvenhetmilliard-szaznyolcmillio-hetszazhetvenhetezer-otszazhetvenkilenc) md5 hash-t tudsz legeneralni es ellenorizni? -
ep75w
csendes tag
De mivel a kulcsok megvannak, ez nem gond, és nem egyedül szórakozik vele az éjszakában. nyilván...
És annyira szerintem nem bruteforce-olnak, szótáraznak és annyi, pár ezer találat a millából már jó, szótárral le van pörgetve hamar. Meg persze esetleg a mailcímek eladásra kerülhetnek...De nem mindegy, ha már bejutottak, megette a fene
Na ez jó volt, jó éjt mindenkinek. -
ep75w
csendes tag
"...Statikus salt csak addig jó..."
Van másmilyen is? Egy kulcsnak minndenképp lennie kell, innentől meg..."...Sőt, ha (inkább mivel) rendszer-hozzáférést szerzett a támadó,
akkor simán visszakereshető a statikus salt a kódból
(illetve ha binárisban van, akkor csak a binárist kell megszerezni,
és azzal generáltatni a hash-t, ha az embernek nincs kedve áttúrni a kódot)..."Ha mindenkinek külön adsz sót, akkor is ott lesz, nem mindegy?
Mindegy hogy DB-ben, a kódban, lényegtelen. De ott lesz. Ez már túlsózás.
Vagy én nem értem amit írsz, de nem hiszem#72: Így van.
-
ArchElf
addikt
Szerintem ez amúgy nem szakember, hanem pénz kérdés - a pénz pedig általában nem ott van, ahol a szakemberek. A vezetők (ahol a pénz van) meg hajlamosak szarni a kockázatokra, mert "miért pont velünk történne meg", meg "befenyítettük őket, most már úgyis leszállnak majd rólunk".
Persze a "felelősök" felelősségre vonása így sem marad el
AE
-
ArchElf
addikt
Amúgy tisztára olyan hiszti most ez a SONY-s történet hacker berkekben, mint anno a "Free Kevin" volt. Borzasztó indulatok értelmes cél nélkül.
Jelszó hash-re:
Statikus salt csak addig jó, amíg nem tudunk egy olyan felhasználót, aminek ismert a jelszava is (pl saját user). Innen már csakugyanaz a folyamat Pl. az imént említett témában is előforduló példa alapján:
HASH($stat_salt.$password.$dyn_salt)
Itt ami ismert az a HASH és a $dyn_salt, és a $password - a $stat_salt ugyanúgy feltörhető, mintha az nem volna, és csak $password.$dyn_salt volna.
Sőt, ha (inkább mivel) rendszer-hozzáférést szerzett a támadó, akkor simán visszakereshető a statikus salt a kódból (illetve ha binárisban van, akkor csak a binárist kell megszerezni, és azzal generáltatni a hash-t, ha az embernek nincs kedve áttúrni a kódot).AE
-
ep75w
csendes tag
"... ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét..."
Na ebben van az igazság; engem alapvetően h*lyének néznek az ismerősök,
mert egy jelszó csak egy helyen, azok is véletlenszámok, ok ennek van hátránya is, én sem tudom a jelszavaim De bizony ismerek olyat, ahol qwert, 12345...birthday paradox, ne menjünk bele, felesleges. Aki technikailag, tudásban, ott van hogy bejut egy RENDES (ezek szerint a Sony nem az) szerverre, szórakozik az FBI szervereivel, annak már adhatsz akármilyen sót, főleg, hogy NEM konkrétan emiatt mentek be. Meg a só lényege, hogy kulcsként szerepel. Remek, ha szépen ott lesz az adatbázisban, na volt értelme... Értelme akkor van, ha maga a hash kikerül ugyan, de a só, a kulcs nincs meg hozzá.
De itt szerintem nem emiatt mentek. Hanem azért, hogy bent legyenek, ennyi, borstörés orr alá. Ha, csak szórakozó gyerekek, elég egy mesterkulcs, hidd el. Kár bonyolítani. 10 év alatt nálunk is csak egyszer történt betörés, ott is a rendszergazda hibája volt.
#64: "...viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz..."
Ezt karattyolom én is. Emiatt, hiába ad az előző hozzászóló külön sót mindenkinek, ha ott lesz az adatbázisban... Na de, szerintem nem ezzel szokott általában a gond lenni.
#66: Na, azért vannak már remek szótárak ehhez, nem csak a BF az egyetlen út manapság... És valóban, én el bírom képzelni lassan azt is, hogy akár felhőben számoljanak és szótárazzanak a srácok...
-
bambano
titán
válasz
Cathfaern
#63
üzenetére
-1
szerintem a nagy multik és a sony hasonlítanak abban, hogy nem tudnak rendes webes cuccot csinálni. csak a normálisabb nagy multija ezt tudja is magáról és csináltat pentesztet, ahol ezek a hibák kibuktak volna, és sokadik próbálkozásra eljut odáig, hogy nem düledezik ennyire minden.
ha lenne rendes szakember a sonynál, akkor az egész kócerájt egy az egyben leveszik a netről, legkésőbb a második töréskor, nem várnak hetekig, hogy megint boruljon minden és megnézetik szakemberrel.
Szerintem a legdrágább hackerbagázsból egy tucattal is olcsóbb lett volna, mint amennyi arcvesztést meg majd büntetést el kell nekik könyvelni.
-
Male
nagyúr
Ez mondjuk igaz... viszont a salt miatt, amit elvileg nem ismerhetsz, nem a megfelelő értelmes szóhoz jutsz. (nomeg ezért kell elvárni a spec. karaktereket és kis-nagy betűket a jelszóban... persze akkor meg nagybetűvel írja a macskája nevét és mögétesz egy felkiáltójelet, de ez már az ő hülyesége)
sh4d0w: Igen, de a salt is alap lenne azért...
-
bambano
titán
Egyéb idézetek:
"Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn."
"Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen "... stb. stb.Még egy probléma van ezzel, hogy ne hasonlítsuk össze 1-2 számtech szakember által generált jelszó minőségét azzal, amit az átlag userek beírnak.
-
sghc_toma
senior tag
bambano (#31):
"Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT."
bs.. ha esetleg ugyanazt a jelszot hasznalja valaki tobb helyen, akkor nem mindegy, hogy a tamado megszerezte a jelszot, vagy talalt egy ugyanolyan hash-u plaintext-et.. egyreszt.. masreszt meg ha valaki kelloen eros jelszot hasznal, akkor azt nem fogja neked kikopni a john egy honap alatt.. harmadreszt a sony ne tudja mar a jelszavamat; egy esetleges tamado nem feltetlenul kintrol jon, olyasvalaki is lehet, aki legalisan tudja olvasni az adatbazist..ep75w (#43):
"Még mindig inkább legyen 1 "mastersalt" ami nem az adatbázisban van, minthogy odapakolod mellé, még ha mind különböző is... "
a sozas egyik indoka a birthday paradox kihasznalasanak ellehetetlenitese.. ez ugye nem valosul meg, ha mindenhol ugyanaz a salt.. -
sh4d0w
félisten
Az is amatőrizmus, meg a plain textben tárolt jelszó is.
Male #53: szivárvány táblák. Ha nincs salting, nincs iteratív hash, a hashelési algoritmus pedig gyenge (pl. 128 bit), akkor az általánosan elterjedt 8 karakteres jelszavakhoz relatíve rövid idő alatt lehet ilyen táblákat generálni. Lásd még a blogomon a HBGary-sztori első fejezetét.
-
-
-
-
sh4d0w
félisten
Pl. kivédeni az SQL injection lehetőséget. Pl. megfelelő mértékű titkosítással, salting alkalmazásával megnehezíteni a támadók dolgát.
A dolog egyébként annyira valós, hogy az Associated Press találomra felhívott egy számot a nyilvánosságra hozott adatok közül, sikerrel; ezenkívül minden más adata is stimmelt az illetőnek.
-
WN31RD
addikt
Potenciálisan sokkal több ideje lett volna reagálni annak, aki normálisabb jelszót használ, mert azokat, főleg ha salt is volt a hash mellett (ami már régóta standard practice), nem feltétlenül fejtik vissza hónapok alatt sem. Az sem minden esetben igaz, hogy a behatolók hosszú ideig tudnak rejtőzködni. A plaintext jelszó egyszerűen iszonyatos felelőtlenség, mert a fejlesztői oldalon viszonylag kis spórolást jelent, de nagyban csökkenti azon felhasználók fiókjának biztonságát is, akik egyébként ügyelnének arra, hogy megfelelő jelszavakat használjanak.
Az sem mindegy, nagyon nem, és minél nagyobb a felhasználói bázis, annál kevésbé, hogy a jelszavak 60-65% vagy 100%-a kerül-e ki.
Hogy a plaintext jelszó a "legvéresebb" pontja-e a történetnek, azon lehet vitatkozni, de hogy "véres" pontja, az szerintem nem kérdés.
-
ep75w
csendes tag
"...Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg..."
Így van, nem a LEGVÉRESEBB, de azért eléggé gáz rájuk nézve
De a lényeg, só ide vagy oda, amíg a legtöbb user, mit user, rendszergazda olyan jelszavakat használ, hogy uhh, addig nincs miről beszélni...És ebben a történetben a behatolás volt a lényeg, a többi, már csak a hab a tortán.
"...Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép..."
Felhő rulez?
-
bambano
titán
A saját tesztem alapján a gyenge jelszók törése nekem kettő azaz 2 másodpercbe került. Mivel én nem milliós mintán teszteltem, ezért nyilvánvaló, hogy 1 millió jelszóból a gyenge jelszavak kirostálása nem két másodperc, de szerintem 5-10 percnél nem több. Ez nálam a jelszavak kb. 60-65%-a volt.
Kérem a véleményedet azügyben (feltételezett verzió, ha a sony md5-ben tárolta volna a jelszavakat, nem plainben, mint itt), hogy ha betörtek a sonyhoz, ellopták a jelszavakat, de egy jó darabig csendben maradtak és magukban törögették a jelszavakat, majd mikor meglett mind és akkor borult ki a bili, mennyivel lett volna több idejük reagálni? Hint: semennyivel.
(#40) a_n_d_r_e_w: "akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult": ez igaz.
"a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja.": mint a méréseim mutatják, nincs lényegi különbség aközött, hogy plain text vagy valami nem túl átgondoltan titkosított jelszó került ki.A többihez:
mint látható, az md5 salt nélkül gyakorlatilag semmit nem ér. Egy darab xeon core-on futtatott brute force program is feltöri záros határidőn belül (ugye nem tudjuk, hogy mikor törtek be a sonyhoz és mennyi ideig kussoltak a cselekményről, tehát lehet, hogy hetek óta bent vannak, csak most szóltak).Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép, egy kicsivel okosabb program, ami képes 4 proci mind a 6 magján menni, esetleg ht-ben, az már 48 példány, rögtön megvan a két nagyságrendes gyorsítás. Ha ilyen gépből több kezd el dolgozni (ez még mindig csak pár millió forint nagyságrend), vagy nem egy ember rohan neki a jelszavaknak, hanem egy komplett megnemnevezett társaság minden tagja, akkor nagyon gyorsan eljuthatnak odáig, hogy 1 millió md5-ös jelszó komplett törése megvan pár perc alatt. Az sha256 és/vagy a saltolás meg csak lassítja őket, de nem állítja meg.
Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg.
-
M3Ny3'T
senior tag
Teljesen igazad van.
Nem is értem, hogy Unix esetében miért szarakodnak holmi passwd, shadow felbontásokkal és egyéb védelmekkel, ahelyett, hogy beb*sznák az egészet egy txt fájlba. Tovább megyek, mindenki root-ként rohangászna a szerveren. Sokkal kevesebb észt, időt, energiát igényel és egyébként is teljesen mindegy, mert úgyis feltörik. -
ep75w
csendes tag
Még mindig inkább legyen 1 "mastersalt" ami nem az adatbázisban van, minthogy odapakolod mellé, még ha mind különböző is... Szerintem.
Viszont ennyi erővel lehet használni pl. a regisztrálási időt, a végeredmény ugyanaz, mint amit te írsz. Nem azt mondom, hogy rossz amit írsz, csak azt, hogy felesleges felhasználónként külön salt, főleg ha ott van . Kell a só, de ne tálaljuk már fel egyből a db-ben, dolgozzanak meg érte ha kell nekik Viszont ha már annyira toppon vannak akkor meg visznek mindent. Szóval, érted. -
Cathulhu
addikt
De ha annak az egymillio embernek csak 1% (tippre viszont 90) ugyanazt a jelszot hasznalta mondjuk egyeb, kritikus adatot tarolo rendszerhez, akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja. Es epp emiatt a szmemeben nagyobb bun igy tarolni az adatokat, mint a sajat rendszert nem megfeleloen vedeni.
szerk:
#29, most olvastam csak -
horvathd
aktív tag
A salt csak az előre készített hash táblázatok ellen véd, és az adatbázisban le kell tárolni, ezért a szótáras és brute force próbálkozások ellen nem jó.
Az igazi védelem az, amikor a jelszót ~ 1000-szer hasheli md5-tel, vagy még jobb, ha sha1/sha256-tal. Így már elég sokáig tart egy próbálkozás. Persze salt-ot tilos kihagyni.
Akit érdekel, itt talál egy jó videót: [link] (angol)
-
#34
torreadorz
csendes tag
torreadorz
csendes tag
A sony-nál amúgy tényleg full idióták dolgoznak?
Ilyen szintü biztonsági hibák 1970-ben még megbocsáthatóak lettek, de 2011-ben? Bakker ezek után már azt is el tudom képzelni hogy különösebb sql injection sem kellet, mert a root jelszó egy enter volt -
Samus
addikt
Nem azért, de valamiféle titkosítást alkalmazhattak volna az adatbázisban, vagy legalább a jelszavak helyett azok MD5 hash-jét tárolták volna. Az is meglepő, hogy ennyire könnyen bejutottak a szerverekre. Egy ekkora vállalat áldozhatna többet is a védelemre.
Szólni biztos nem szóltak volna, mert nem ez volt a cél. Az viszont vicces, hogy az egész, ha jól tudom amiatt robbant ki, mert a PS3on letiltották a külső operációs rendszer telepítésének lehetőségét...
-
bambano
titán
A saját méréseim alapján azt állítom, hogy 1 millió md5-ös hashból a saját minimál technikai színvonalamon 30 napnál hamarabb meg tudnám mondani a jelszavak minimum 85%-át.
Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn.
Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT.A többit, ellenvélemény hiányában, nem vitatom.
-
"az én meglátásom és tapasztalatom szerint teljesen mindegy, hogy egy plain text jelszó kerül ki vagy a hash-e."
Egy MD5 hash-sel hogyan tudsz bejelentkezni a GMailre? Sehogy. Ugyanis ilyenkor nem az a probléma, hogy kiderül, hogy az adott site-ra mivel lépett be a user, hanem az, hogy jó eséllyel máshol is azt a jelszót használta, pl. a webmailes accountjánál (amit elég könnyű megtalálni, mert az emailcímek is kikerültek), onnan kezdve meg a jelszóemlékeztetőkkel nyitva áll minden.
"A főbenjáró vétség az én szememben az, hogy kikerült. A formátum az én szemeben nem oszt-nem szoroz."
A védelemnék mindig mélységinek kell lennie, nem lehet egyetlen rétegre alapozni. Márpedig az ilyen mélységi védelemnek az egyik abszolút alapvető, általános iskolai szintű technikája az, hogy nem tárolunk plaintext jelszavakat, csak hasht.
-
ep75w
csendes tag
"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."
Pedig ez így van, gondold végig. Teljesen mindegy hogy mikor túrkálok az adatbázisomban, az plain vagy bármi más. Kiszedni, PONTOSAN ugyanannyi meló.
A lényeg, BEJUTNI nem mindegy, hogy mekkora. De ha már bent vagy, nem lényeges hogy az adata az text vagy bármi más. És itt a bejutás a durva a hírben. -
Jhonny06
veterán
A kérdésed az volt, hogy lelassítja-e őket, nem az hogy akadály-e. Igen, lelassítja. Azt meg nem lehet tudni, hogy kinek mi az akadály. Lehet, hogy nem tudtak volna túljutni rajta, egy plaintext nem akkora kaland.
"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."
Ezt hogy sikerült kilogikázni?
-
"ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó?"
Igen.
Basszus, plaintextben nem tárolunk jelszót, ez olyan elemi hiba, amiért kapásból ki kellene csapni mindenkit a cégtől, akinek köze volt hozzá. Itt mondjuk sikeresen meg is válaszoltam azt a kérdést, hogy van-e lejjebb az SQL injectionnél: van, a plaintextben tárolt jelszó.
"ebből nyithatnánk vitát, de nem érdemes."
Bölcs döntés, tényleg nem érdemes
![;]](//cdn.rios.hu/dl/s/v1.gif)
Ezek azért jók, mert csak az egyik irányba működnek, ami titkosításnál annyira nem nyerő dolog
Az más kérdés, hogy jelszavaknak csak a hashét tárolja az ember, de azt nem titkosításnak nevezzük."Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet"
Még az is segítene, mert az, hogy md5-nél találnak collisiont, alapjában véve nem akkora nagy tragédia, mint az, ha kikerülnek a jelszavak.
-
bambano
titán
idézzünk teljességében:
"1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat."
"hogyan kellett volna kellően védeni az adatokat?"én az eredeti mondatot úgy értelmeztem, hogy szintén a titkosítás hiányával van problémája.
"az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.": ebből nyithatnánk vitát, de nem érdemes. a tény az, hogy gyakorlatilag az összes fejlesztőeszköz, amit használhattak, out of the box ezeket (meg ezekhez igen hasonlókat, pl. crypt) támogat. Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet (mint kiderült, ennyit se kellene
). Ezek pedig viszonylag egyszerűen törhetők. -
bambano
titán
"egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat": marhaság, egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított.
"az SQL injection kb. az a szint, amit egy középiskolás megvalósít,": ezt nem is vitattam.
"Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál": én sem gondolom komolyan, ja.
Ami nekem piszkálta a csőrömet az az a mondat a cikkben, hogy:
"a több mint egymillió felhasználói jelszót plaintext formátumban tárolták."ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó? Mert Pali úgy írta le, mintha a plaintext jelszó az armageddonnal lenne egyenértékű.
Az én véleményem az, hogy sokkal nagyobb hiba, ha ennyire egyszerűen törhető webes alkalmazás van a neten, mint az, hogy a jelszó plaintextben volt.
-
"hogyan kellett volna kellően védeni az adatokat?"
Ez mennyire komolyan kérdezed egy SQL injectionös támadás után?...
Basszus, SQL injections, van ennél lejjebb?Vajon mikor linkeli valaki little Bobby Tablest?
(#14) bambano: az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.
-
Jhonny06
veterán
"az én tippem: semennyivel."
Lelassítani mindenképpen lelassította volna őket, mert evidens, hogy egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat, általános iskolai logika. Ezért bizony a Sony a hibás, az SQL injection kb. az a szint, amit egy középiskolás megvalósít, Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál.
-
bambano
titán
A kérdés az, amit fel kell tenni: mennyivel lassította volna a betörőket, ha titkosítva vannak a jelszavak? az én tippem: semennyivel.
(#13) Gergosz2: a kriptográfiai algoritmusok halmaza véges és elég kevés elemet tartalmaz. a tény, hogy elvileg nem ismert, mivel titkosították, továbbra sem lassít szinte semmit a tolvajokon. a legnagyobb valószínűsége annak van, hogy md5-tel titkosítottak volna, ha van, a második legnagyobb valószínűsége, hogy sha256-tal.
ezek a közismert, programozói eszközökkel gyárilag támogatott módszerek. ergo a törést is ezzel kell megpróbálni először.
-
Gergosz2
veterán
Itt a Sony a hibás.
Nem védekeztek ennyi.
Lett volna valami normális titkosítás, akkor nem sok mindent tudtak volna kezdeni vele a heckerek(jó tudtak volna de egy kis idejükbe tellett volna)
Gondolj bele hogy nem csak a PSN-t meg a Sony-t érik támadások.
Szerintem a XBOX live! is kap eleget belölük, FBI-ról NASA-ról nem is beszélve. -
k.
őstag
Nézd, én megmondom őszintén ehhez nem értek. Ahogy ahhoz sem, hogy hogyan lehet egy házat megépíteni.
Azt tudom, hogy valamit nagyon elcsesztek, hiszen nem úgy működnek a dolgok ahogy kellene. Ahogy lecsesznéd pl a Seatot is, ha odamenne a srác az autódhoz és 10 másodperc mulva minden különösebb szakértelem nélkül kinyitná, és lelépne a kocsival. Hiszen itt sem volt olyan hű de bonyolult a bejutás, aztán az adatok elvétele. -
k.
őstag
Pl odamennek a kis Sonyhoz, hogy nézd meg, akkora biztonsági hiba van itt, hogy komplett teherautó kifér rajta.
Tudom, hogy most hacker vs Sony csata megy, de azért eléggé idegesítő, hogy pár suhanc miatt 1 hónapig nem volt psn meg az ember azon elmélkedhet, hogy az adatai biztonságban vannak-e. -
-
Ez a magyarázkodás engem erre emlékeztet...
.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Dell Latitude 5320 -60% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1145G7 8/256 FHD IRIS Xe
- Apple IPad pro 12.9 4th gen 256GB wifi+sim 97%-os Gyári akku
- PlayStation 5 (PS5.) SLIM 1TB. SSD. Digital Edition & Sony PlayStation VR2. Virtuális szemüveg.
- Dell Precision 3580 i7-1370P//32GB DDR5 RAM// 1TB SSD/ RTX A500
- ÁRCSÖKKENTÉS Menő retró konfig: Q9550, Gigabyte P43, 4GB RAM, ASUS GT730
- iKing.Hu -Xiaomi 14T Pro Titan Gray Használt, karcmentes állapotban 12 GB RAM / 512 GB tárhely
- Eladó karcmentes Apple iPhone 12 128GB / 12 hó jótállással
- BESZÁMÍTÁS! MSI B450M R5 5500 16GB DDR4 512GB SSD RTX 2060 Super 8GB Rampage SHIVA ADATA XPG 600W
- Jogtiszta Microsoft Windows / Office / Stb.
- Apple iPhone 11 64GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: FOTC
Város: Budapest