Dnes začali cez sociálne siete kolovať informácie o úspešnom prieniku do niekoľkých menších i väčších webov. Najväčším úlovkom hackera sa stala populárna česko-slovenská filmová databáza ČSFD, z ktorej sa mu podľa vlastného vyjadrenie podarilo odcudziť až 147 901 užívateľských kont.
Na prípade samotného ČSFD je zaujímavých niekoľko vecí. Podľa informácií zverejnených na hackerovom blogu sa mu podarilo získať prístup do databázy pravdepodobne za pomoci SQL Injection, pričom takto na webe parazitoval niekoľko týždňov a napriek tomu si jeho prítomnosť nik nevšimol. Tú pravdepodobne odhalili prevádzkovatelia ČSFD len nedávno, na čo zareagovali zresetovaním všetkých užívateľských hesiel. Podľa emailu, ktorý poslal Martin Pomothy (môžete si ho prečítať nižšie), došlo k takémuto postupu kvôli technickým zmenám v databázach.
Igigi, ako sa prezýva sám hacker, upozorňuje, že sa jedná o klamstvo. Podľa jeho vyjadrenia je za tento postup zodpovedný on sám. Ako dôkaz svojho úspešného prieniku publikoval igigi niekoľko záznamov vrátane samotnej databázovej štruktúry. Igigi ďalej tvrdí, že ČSFD nevyužíva MySQL ale PostgreSQL, čo by mohlo vyvrátiť pravdivosť tvrdení Martina Pomothyho v jeho maily.
Ak je teda pravdou, že sa tím ČSFD takto postavil k vzniknutej situácii a zámerne oklamal svojich návštevníkov, potom sa jedná o viac než prehrešok. Nie je žiadnym tajomstvom, že viac ako polovica všetkých užívateľov používa rovnaké heslá pre viacero služieb, často aj pre veľmi kritické aplikácie, akou je určite email. V takomto prípade sa pokúsil tím ČSFD zamaskovať vlastné zlyhanie a ohrozil tak bezpečnosť všetkých jeho návštevníkov, pretože im nedal možnosť si heslá na iných službách zmeniť. Je mi jasné, že sa nik rád nepochváli hacknutím vlastnej služby, no majitelia takýchto webov by nemali zabúdať, že skutočnými obeťami sa stávajú ich užívatelia. Pre samotných užívateľov je toto ďalší signál, aby sa snažili heslá meniť pre každú službu a aby neboli príliš jednoduché.
Heslá, ktoré sa objavili na igigho blogu sú zahashované cez MD5 bez akejkoľvek doplnkovej ochrany, ako napríklad dlhý salt. Vďaka dostupným nástrojom na tzv. lámanie hesiel hrubou silou (ako napríklad BarsWF) je možné získať textovú podobu hesla až do 10-12 znakov relatívne rýchlo a bez väčších nákladov. Samozrejme, záleží aj od zložitosti hesla.
Mily uzivateli.
Prevod archivace hesel do nového systemu, kterym CSFD definitvne opoustí struktury zastarale mysql databaze, nebyl lizani medu a bude trvat jeste nekolik dni. Soucasna situace je nasledujici – ti z vas, kterym uz bylo zaslano nove heslo, jste “za vodou” a ti z vas, kteri jste ho z technickych duvodu neobdrzeli, si ho muzete vygenerovat ZDE (bude vám zaslano na e-mail, ktery mate evidovan ve svem CSFD profilu).
Vam, kdo jste prosli traumatem z dvoudenni nemoznosti prihlasit se do CSFD, se osobne hluboce omlouvam a pokud by u vas nedejboze tento problem pretrvaval i po pouziti zminene utilitky, okamzite mi napiste na pomo@csfd.cz.
Jsme jedna rodina. CSFD forever.
Martin Pomothy
Druhou obeťou spomínanou na igigiho blogu je malý prezentačný web projektu Račany, www.racany.sk.
Projekt pochádza z autorskej dielne architektonickej kancelárie Alexy & Alexy. Na ploche viac ako 18 000 m2 vyrastá v miernom svahu skupina šiestich nízkopodlažných, samostatne stojacich domov s celkovým počtom 168 bytových jednotiek. V komplexe prevažujú trojizbové byty, ktorých je sto, dvojizbových je 44 bytov. Výber dopĺňajú viacúrovňové byty štvor- a päťizbové mezonety. Každý byt má balkón alebo terasu. Všetky byty, práve vďaka výnimočnému umiestneniu celého komplexu budov, poskytujú svojim obyvateľom výhľad na račianske vinice, Karpaty či Bratislavský hrad. Projektanti nezabudli ani na dostatok parkovacích miest pre majiteľov bytov i pre ich návštevníkov -266 parkovacích miest ako v objektoch, tak i na povrchu.
Spoločnosť INTERCOM Development s.r.o. tento projekt propaguje cez relatívne nový seriálo Keby bolo Keby. Web vytvorila spoločnosť NEW MEDIA Group.
Igigi publikoval screenshot z administrácie webu, vrátane celej štruktúry databázy a užívateľských prístupov. Heslá k týmto prístupom sú uchovávané vo formáte plain text, teda holý text. Tie sú však na blogu cenzurované. Podľa zverejneného screenshotu je CMS v češtine, čo by mohlo naznačovať, že spoločnosť NEW MEDIA Group ho len zakúpila a nasadila. Je však dosť možné, že sa rovnaké CMS nachádza aj na iných weboch vytvorených touto spoločnosťou.
Poslednou igigho obeťou sa stal generátor eShopov, Shoptet.cz. Podľa igigiho nemusel systém ani hackovať. Na blogu publikoval niektoré tabuľky z databázy systému a menšiu časť z vraj 2000 položkového zoznamu, ktorý obsahuje mená, heslá, emaily, mená a priezviska majiteľa vygenerovaného obchodu ako aj jeho URL. Heslá boli podľa všetkého opäť ukladané ako čistý text, na blogu sú už cenzurované.
Zaujímavá je aj dosť arogantná reakcia tvorcov tohoto systému na WebTrhu, kde sa rozpútala celkom zaujímavá diskusia.
BayWords a Igigi
Dnešné odhalenia úspešných prienikov hackera vystupujúceho pod prezývkou igigi dvíha varovný prst nad tými, ktorí budú brať bezpečnosť na ľahkú váhu. Donedávna boli spoločnosti upozorňované súkromne a len vo výnimočných prípadoch, keď takéto upozornenia ignorovali (alebo aj z iného dôvodu, zadné vrátka pre prípad NBÚ), boli tieto zraniteľnosti zverejnené. Igigho prístup je však oveľa drastickejší, určite aj krutejší. Nedáva spoločnostiam totižto žiadnu šancu na akúkoľvek včasnú reakciu a teda vystavuje ich, ale aj ich návštevníkov ďalšiemu nebezpečenstvu v podobe ďalších útokov od prípadných čitateľov.
Kto je igigi môžeme len hádať. Prečo si vybral BayWords, na to odpoveď poznáme. Nie je totižto prvý, kto sa rozhodol verejne publikovať odhalené zraniteľnosti a doložiť ich konkrétnymi dátami. Oveľa skôr tak začal robiť dnes už veľmi známy a povedal by som že aj populárny hacker unu, ktorý publikoval úspešné prieniky do portálov ako Symantec, WorldPay, Kaspersky a ďalších. Nemenej populárny je aj ďalší rumunský hacker Ne0h, ktorý identicky publikuje svoje úspešné prieniky.
Prečo si teda všetci vybrali BayWords? Pretože tento blogovací systém postavený na systéme WordPress sa zaviazal bojovať proti cenzúre na iných blogovacích systémoch a to tak, že odmieta mazať príspevky, či dokonca celé blogy užívateľov aj za cenu prípadných právnych následkov. Taktiež prevádzkovatelia systému odmietajú poskytovať akékoľvek informácie polícii, čo značne sťažuje identifikáciu páchateľov.
Dalo by sa povedať, že sa objavuje nový trend vo webovej bezpečnosti, kedy anonymné osoby bez výstrahy publikujú informácie o svojich úspešných prienikoch či bezpečnostných zraniteľnostiach, ktoré objavili.
nic proti igigi-mu. ale to je nejake terno ownut csfd? keby som mal publikovat vsetky prieniky do takychto webov, nikdy by som neskoncil. chcem tym len povedat, ze ziadny extra hack na tom nevidim. podla mna ide len o script kiddie, ktore si honi triko na blogu.
#1 drakko: to ja neviem nakolko zlozite bolo/je sa dostat do csfd. celkom by ma zaujimali prieniky, pri ktorych by si nikdy neskoncil. a este by som chcel vediet ako vyzera extra hack.
drakko: Web má byť zabezpečený nielen podľa toho akej je “teoretickej” dôležitostí – “veď je to len filmová databáza”, ale aj podľa toho koľko má užívateľov a koľko teda hesiel uchováva. CSFD má obrovské množstvo užívateľov a sú to odborníci na filmy, nie na bezpečnosť aby mali 50 znakové heslá odolné proti rainbow tables. Mne žiadny mail od Poma neprišiel a dlhodobo s ním mám len dobré skúsenosti, ale ak naozal bol prienik takéhoto rozsahu a on sa to takto pokúsil ututlať, tak by ma hodne sklamal. A tomu ututlaniu by som prikladal oveľa vyššiu váhu, ako tomu, že mu web hackli (to sa môže stať každému). Takže by som si počkal na jeho vyjadrenie a Rasťovi gratulujem k dobrému článku.
ja si prave myslim, ze tento hack je velmi krasnym pripadom, ako ziskat z databazy vsetko, co sa len da. 180 tisic uctov = 180tisic mailovych adries = 180 tisic hesiel… alebo snad preferujes hlasku na titulnej strane: “server 0wned” ? lebo to by sa podobalo na script kiddie
prekvapuje ma, ze mi kladies taketo otazky, ehmo :). a co povazujem za extra hack? co takto hack tejto sajty. synopsi group, ktora sa zaobera bezpecnostou… myslim, ze to by bol extra hack :).
minor>
tak ty povazujes za uzasne ziskat 180 tisic uctov? a na co by to komu bolo? (teda okrem toho, ze teraz bude musiet kopec ludi menit hesla, jak blazni)
co takto radsej hacknut nejaky webhosting? potom by to uz bolo ono?
Danoboss> ano mas pravdu. ak je pravda, ze Pomothy “tutle”, tak je to vazny prehresok.
#5 drakko: ako prve, tento blog ma moderovane komentare, aby tu nebola kazda plevel, ktora sa objavi. ak budes neustale menit ip, tak bude musiet byt kazdy komentar znova potvrdeny. mimochodom, naco je dobre pouzivat sluzbu hidemyass.com pri komentovani na blogu. bojis sa, ze budem poznat tvoju ip?
za dalsie, ak myslis, ze hacknutie wordpressu na sharovanom hostingu je vacsi hack (boze to je strasne spojenie), tak to si ma teda pobavil. Ani na blogu, ani na webe neuchovavam ziadne zaujimave, ci dolezite informacie. Tzn., ze jediny uspech by tu bol asi deface. Zrovna som sa o tom rozpraval s kamaratom, ze by som bol prvy, ktory by o tom napisal. Kazdopadne, web ako taky dolezity nie je, pretoze nema ziadne zaujimave konta.
ziskat 180k uctov, pricom povedzme ze len 1/3 ma rovnake heslo do emailu znamena mat minimalne pristup k celkom peknej zbierke na spamovanie. nezabudaj, ze vela ludi je aj na inych sluzbach, ako je facebook alebo este lepsie paypal, cize dosledky mozu byt uplne ine.
hacknut webhosting nie je vobec nerealne, no i tak by si asi len tazko prisiel k 180 000 kontam, pretoze taky webhosting na lokalnej urovni asi nie je.
#3 Danoboss: mne ten email prisiel tiez, tazko povedat co bolo jeho dosledkom. ja sa s “pomom” nepoznam vobec, takze neviem posudit relevantnost tychto informacii.
#5 drakko:Tiež si nemyslím, že hacknúť synopsiho blogík by bolo nejaké terno, nedá sa tu registrovať, teda tu nie sú ani žiadne heslá, čo by sa dali ukradnúť a použiť k ďalším službám ktoré by som našiel cez užívateľov email (fóra, IM, Facebooky a prípande aj internet banking či paypal).
#6 oooo:Niektorí ľudia pernamentne používajú TOR, v čom konkrétne je problém (ja nie, ale zaujíma ma to).
Tebe ten email prišiel? To si mal nejaké slabé heslo? Inak pod akou prezývkou tam vystupuješ, ak to neni tajné, pridal by som si ťa do priateľov, som zvedavý, čo pozeráš.
Inak osobne sa s ním nepoznám ani ja, ale keď som niečo potreboval, tak bol veľmi ochotný a milý, tak som to myslel.
PS: sorry, že som predtým reagoval na drakka zlým spôsobom, zabudol som na hranaté zátvorky :)
ehmo> skludni hormon
ci si menim ip, to je moja vec. ziadne urazlive ani hanlive vyrazy nepouzivam, tak ti moze byt jedno, ci pisem z usa, alebo z ciny. ak mas problem s tym, ze nepoznas moju pravu ip, je to len tvoja vec a tvoj web. tak si ho kludne recenzuj.
ano myslim, ze hacknutie sajty o it bezpecnosti, je urcite zaujimavejsie ako nejaky csfd. ci sa jedna o sharovany webhosting je uplne jedno, nakolko hosting si vybera zakaznik. teraz budem pisat ciste hypoteticky:
ci tu ukladas nejake zaujimave a dolezite veci nikoho predsa zaujimat nebude. utrpel by iba tvoj goodwill a image a to je niekedy viac ako 180 tisic uctov :).
>…nezabudaj, ze vela ludi je aj na inych sluzbach, ako je facebook alebo este lepsie paypal…
ano tohoto som si vedomy a zostava len dufat, ze to igigi nijako nezneuzije.
>…hacknut webhosting nie je vobec nerealne, no i tak by si asi len tazko prisiel k 180 000 kontam, pretoze taky webhosting na lokalnej urovni asi nie je…
teraz si ma zasa pobavil ty :). kamo ani nevies ako sa mylis….
aby som to uzavrel. to ze igigi nasiel 180tisic uctov je urcite len cista nahoda. akysi vedlajsi produkt hacku stranky, na ktorej nasiel bug. keby isiel cielene po konkretnych uctoch, alebo konkretnom webe, az potom by to bol “extra hack”.
peace
#7 Danoboss: vobec ziadny. len akurat ked chodi stale z inej ip adresy, tak to musim stale povolovat. a kedze to asi nevedel, tak to posielal niekolkokrat do niekolkych komentarov, takze som ich musel spajat. inak mi je samozrejme jedno, kto pod akou ip adresou chodi :)
moj nick sice tajny nie je, ale kedze na csfd chodim velmi zriedka, tak ho zverejnovat nebudem (mam tam nulovu aktivitu, som tam uz roky). heslo tam bolo generovane, ako ostatne na vacsine webov kam chodim, takze si nemyslim, ze by malo byt jednoduche
#8 drakko: ako som uz pisal vyssie, je mi jedno pod akou ip chodis, len ma to zaujimalo. slo mi vyslovene o to, ze si publikoval komentare viackrat a este si ich aj rozdeloval.
takze poznas webhosting so 180 000 klientami? mozes mi nejaky prosim uviest?
ci igigi isiel po tom webe, alebo to bola nahoda, to skutocne neviem ani len odhadnut. kedze publikuje aj dalsie veci, vyzera, ze nema nejaky pevny ciel, len bludi hore dole. kazdopadne, az taka nahoda to asi nebude.
no a 100% suhlasim, ze vyber hostingu, ako aj dalsich veci je na majitelovi webu a teda su to rozhodnutia, ktore ovplyvnuju bezpecnost. akurat som dnes chcel o tom pisat, takze si to celkom trafil
ehmo>
>…pod akou ip chodis, len ma to zaujimalo. slo mi vyslovene o to, ze si publikoval komentare viackrat a este si ich aj rozdeloval….
za tie viacnasobne posty sa ospravedlnujem. chyba bola pravdepodobne v mojom prehliadaci.
nikde som nepisal, ze poznam webhosting so 180tisic klientami. bola rec predsa o kontach. a tolko kont moze byt v DB hocakeho webu.
>…no a 100% suhlasim, ze vyber hostingu, ako aj dalsich veci je na majitelovi webu a teda su to rozhodnutia, ktore ovplyvnuju bezpecnost. akurat som dnes chcel o tom pisat, takze si to celkom trafil…
aspon v niecom sme sa zhodli :) mozes mi potom vysvetlit preco si si vybral yegon?
#10 drakko: tak 180 000 kont (nie je na hostingu jeden klient, jedno konto?). samozrejme, drzme sa predpokladu, ze tie konta nie su na danom webe vymyslene. mozes mi dat priklad?
preco yegon? lebo ja sa rad vystavujem riziku. po pravde,keby mal niekto silnu motivaciu, uz mohol byt dnu. dostat sa do wp nie je az tak velky problem, plus yegon trpi na niekolko nepeknych chyb, cize ak mas hosting na rovnakej masine ako ja, je dost pravdepodobne, ze sa ti podari ziskat pristup k datam, mozno aj uploadnut shell, atd.
ehmo> konto na webhostingu je predsa odlisne od konta v databaze hostovaneho webu…
…nie, ziadny priklad ti uvadzat nebudem.
>…lebo ja sa rad vystavujem riziku. po pravde,keby mal niekto silnu motivaciu, uz mohol byt dnu…
ale toto riziko ti moze uskodit. teda za predpokladu, ze ta ludia beru ako it bezpecnostneho konzultanta. ked ti niekto sfukne web, kto potom s tebou bude konzultovat bezpecnost? :D kazdy si len povie: Rasto Turek? to je ten it expert co mu hackli sajtu? =
goodwill, image, povest a pod. totalne v kybli. a ako prislo k defaceu, nikoho zaujimat nebude.
> …cize ak mas hosting na rovnakej masine ako ja, je dost pravdepodobne, ze sa ti podari ziskat pristup k datam, mozno aj uploadnut shell, atd…
opat sa kardinalne mylis, ziadny hosting na rovnakej masine ako mas ty nepotrebujem.
#12 drakko: no uz je to len natahovanie pipikov, nikam to nevedie. takze kludne ma mozes presvedcit o mojich kardinalnych omyloch, ja sa vzdy rad nieco nove naucim a rad sa aj poucim.
urcite by to mojej povesti dobre neurobilo, ale tak treba si prejst vsetkym. mozno potom zacnem predavat v stanku, ktovie
ehmo> hehehehe, to prirovnanie si trafil. ok beriem ta za slovo. daj mi nejaky cas a ja sa pokusim dokazat tvoj omyl :)
mna by zaujimalo, moze admin webu detekovat, ze mu niekto dumpuje data skrz sql injetion?(a nezatazujem server tym, ze sa snazim vsetko dumpnut naraz)
drakko, nepovazujem za uzasne ziskat 180k uctov, ale je to urcite omnoho zaujimavejsie, ako tam nechat nejaky stupidny obrazok. to ze rozposlal maily niektorym uzivatelom svedci o tom, ze mal umysel ziskat aj dalsie hesla a pristupy, co v konecnom dosledku hovori o tom, ze to urcite nie je script kiddie, ale ze premysla nad tym, co robi.
apropos hacknutie webhostingu je zaujimava strategia hlavne pre siritela spamu/malwaru a podobneho svinstva. ja osobne preferujem strategiu hacknutia virtual server hostingu…
a k hacknutiu synopsi, neviem, ci je toto zaujimavy ciel na hacknutie, tych 180k uctov sa mi zda zaujimavejsich, ale proti gustu ziaden disputat.
#15 pomaranc: Podľa článku rozposlal maily Martin Pomothy, nie ten igigi.
Drago napisal>kto potom s tebou bude konzultovat bezpecnost? :D kazdy si len povie: Rasto Turek? to je ten it expert co mu hackli sajtu?
Nesho pise> preco by snim nemali konzultovat bezpecnost, hackol sa narodny bezpecnostny urad, slovenske telekomunikacie, rozne banky, weby vladnych cinitelov a mnozstvo, mnozstvo dalsich… vidis hadam niekde, ze by z tymi ludmi ktorí im robili pezpecnost, web nikto nespolupracoval? Odvrhol sa od nich? ….. ;-)
Danoboss> mas pravdu, zle som pochopil par slov v igigiho blogu. aj tak si myslim, ze nad tym, co urobil aj premyslal a nerobil to len tak naslepo pre zabavu. inak by o tom asi nepisal blog
Nesho> velmi dobri specialisti su ti, ktorym uz nieco niekedy hackli, a este lepsi su ti, ktorym nic nehackli ;)
nesho> minor to pekne vystihol. nemam co dodat.
rasto> dokaz je na http://www.synopsi.com. mam u teba pivo? :)
#15 pomaranc: samozrejme, su na to aplikacie, ktore dokazu zaznamenavat taketo utoky, ako napriklad WAF, ci IDS.
#20 drakko: jo, daj vediet, na nejake skocime (i ked pivo nepijem)
21 ehmo> ok, ak budes mat teda chut na nejake to mlieko, napis mi mail. (ja si dam predsa radsej to pivo :))
apropo… nepodelis sa s ostatnymi s nejakym tym screenom z deface-u? a stacilo ti to ako dokaz?
#22 drakko: no jo, napisem, i ked by si skor mohol ty, ked budes mat v ba trochu volna. zvysok mozeme prebrat osobne
Súkromná správa CSFD: “Milí uživatelé, v pátek v noci někteří z vás obdrželi e-mail ohledně doporučené změny hesel pro přihlášení do ČSFD. Berte prosím tento e-mail jako drobnou chybku v systému a ignorujte ho. Děkujeme za pochopení. Zároveň bychom Vás rádi pozvali na pražský Hitchcock…” no kurva, tak asi ma Pomo predsa sklamal…
Ono ziskat stotisice kont pri hacknuti webhostingu nie je az tak nerealne v dnesnom svete socialnych sieti. Uvedomil som si to az pri citani komentarov… mam u Yegona Facebook aplikaciu s user tabulkou nad 200tisic usrov. Mam sa bat? :)
Netusil som ze yegon ma nedostatky v zabezpeceni, taketo klebety som pocul zatial len o Atlantise.
#24 Danoboss: a teraz uz ostava len hadat, kde je pravda
No a dnešný email:
“Milí ČSFD uživatelé, předem se omlouváme za tento nevyžádaný, ale důležitý e-mail.
Doporučujeme Vám změnit si heslo, pod kterým se přihlašujete do ČSFD, nebo si nechat vygenerovat heslo nové. I když to tak ještě o víkendu nevypadalo, máme podezření, že byla nabourána část ČSFD systému, která zahrnuje databázi uživatelských hesel. Tato událost nebude mít vážné následky a pouze poukazuje na drobnou slabinu v systému, jejíž ošetření bude krokem k vyšší bezpečnosti. Heslo Vám doporučujeme změnit do formátu v rozsahu nejméně 8 znaků, tak aby obsahovalo malá a velká písmena i číslice.
a) Cesta ke změně hesla po přihlášení do ČSFD účtu je: Můj účet / Můj profil / změnit heslo
b) Sekce pro vygenerování nového hesla, které vám bude posláno na váš e-mail (bez nutnosti logovat se do ČSFD účtu), je zde: http://www.csfd.cz/lostpwd.php
Děkujeme za pochopení a moc se omlouváme za potíže.
ČSFD navěky!
Martin Pomothy”
Už mi to celé pripadá ako zlý vtip. :)
no pozrite, bezpecnost vacsich svk a cz webov by som charakterizoval asi takto:
azet.sk > 700 users zaznamov, md5
sme.sk > 130, md5
zoznam.sk > 50, md5
stv.sk > 5, md5
csfd.cz > 16 (bolo uz davnejsie;)))), md5
libimseti.cz > 130, cleartext
obchodnydom.sk > 19, cleartext
autobazar.eu > 15, md5
iinfo.cz (root,lupa,…) > 40, salted …
vsetko * 10^4 samozrejme
#28 name> ale no… nie tak verejne :D
no to by praveze malo byt verejne, dostat sa k tymto udajom nie je problem a podla mna ich ma dost ludi
to je naozaj take tazke pouzit iny sposob autentifikacie ako priamy pristup do db?
[30[ co myslis pod tym 'to je naozaj take tazke pouzit iny sposob autentifikacie ako priamy pristup do db'? akoze myslis formu utoku? ze pouzijes session fixation a pod? lebo nejak som tomu neporozumel.
ale ano, su weby, ako azet, ktore dodnes maju vsade velke mnozstvo XSS a utok nie je az tak problematicky. da sa nazbierat relativne velke mnozstvo kont. samozrejme, rovnako je to aj na inych weboch, ale napr iinfo weby sa celkom drzia co sa tyka osetreni. ano, aj tam sa z casu na cas nieco najde, ale hned to opravia, takze s nimi spokojnost
ake xss, ake relativne velke mnozstvo, ja hovorim o celych db dumpoch
to som myslel tak ze samotny deravy web by nemal mat pristup do users db, ta by bola na nejakej dedikovanej masine vystavena cez webserivce alebo co …
proste nestaci cloveku hodit shell a … alebo sqli …
#32 Name: aha, takze hovoris uz o technickej realizacii samotnej autentifikacie. no ano, ta by skutocne mala byt riesena inak. rovnako ako aj ukladanie hesiel do db, zaklad je urcite saltovanie. chcem uz dlhsie urobit cheat sheet pre tvorcov webov, co by vsetko mali ponukat uzivatelom a ako by mali jednotlive konta chranit
z mojich skusenosti su pravidla dve
dedikovany server pre users table + pristup z webu nie cez db
dedikovany server pre uploadovane data (alebo zakazat ich interpetaciu …)
vsetky uvedene sajty boli hacknute len kvoli poruseniu jedneho z tychto pravidiel
ci je saltovanie zaklad, no neviem …
offline cracking bez rainbow tables (ak ma clovek dobry wordlist hesiel napr z obchodnydom.sk;)))) moze byt tiez efektivny
co takto vytvorit pre kazdy web 2 databazy? 1. na web data, 2. na users konta. v pripade ownutia databazy webu sa aspon nebudu dat ziskat ucty userov…
rasto> ako sa hesla v db ukladaju moze byt niekedy jedno. pokial ziskas full pristup do db, ziskas aj hash. ci je saltovany, alebo nie, je v tomto pripade jedno. pokial sa bude chcet hacker prihlasit do administracie, jednoducho ten hash prepise….
#35 drakko: samozrejme, ak mas plny pristup s plnymi pravami do db, potom uz je to jedno. salt je vsak dolezity a pomaha hodne, teda ak nie ulozeny vo vedlajsom stlpci.
poznam par webov, ktore pouzivaju dve separatne databazy. jednu na content, druhu na autentifikaciu uzivatelov a dostat sa tam nebol zas az taky problem. chce to inu formu pristupu. to co vsak navrhol #34 Name: moze byt zaujimave, pokial ziskas pristup len do jednej db, ziskas aj limitovane prava. problem je, ak sa dostanes k obom, potom uz nespravis nic.
rasto> nechces tych cca 10mil udajov na nejaku analyzu (napr. reuse hesiel medzi sluzbami …)? ja s tym nemam co robit …
#37 Spracovanie obsiahlych slovníkov v pythone: urcite chcem, uz dlho sa chystam urobit analyzu hesiel. ak tam je aj meno (prve mi staci) a heslo. Bodli by aj maily, aby som vedel urobit posudenie na zaklade mailoveho systemu. Chcel by som urobit aj analyzu podla pohlavia, atd. Posli mi info na email, resp. posli mi tvoj IM a ja sa ti ozvem.
rasto> vyvaruj sa chyb, ktore som robil ja… (http://blackhole.sk/maly-prieskum-pouzivanych-hesiel)
#39 oooo: aka bola ta chyba? lebo tak ja to nechcem postavit na datach jedneho webu ale tak vseobecne.
Neviem či sa k tomuto komentáru ešte niekto vráti, ale musím upozorniť na ďalšiu podľa mňa dosť nechutnú nedbanlivosť zo strany csfd. Nech už je story o omylom spustenom skripte, čo poslal tie maily pravdivá alebo nie, v každom prípade sa stalo ešte aj niečo ďalšie. To že hacker má tú databázu je ešte celkom “bezpečné”, je to len jeden človek, ale že admini csfd okamžite nezmenili heslá užívateľom ( neposlali im nové na email), ktorých hash priamo na stránkach zverejnil, to je ozaj trestuhodné. Ešte keď sme si tu o tom písali, som skúšal tie heslá cez rainbow tables (iba takú tu webovú), niekoľko z nich sú bežne triviálne slová, veď to všetci poznáte. S tými čo išli som sa potom skúšal prihlasovať. http://i50.tinypic.com/2yvqrs9.jpg Nič zrovna zložité. Tomu užívateľovi “imf” ktorý je podľa počtu bodov celkom významný som poslal správu, že ako sa veci majú a že nech informuje vedenie. Nechcel som im písať priamo ja, pretože som čakal, že takto demonštratívne s týmto screenshotom to hádam bude mať väčší efekt To bolo viac ako 10 dní naspäť, odvtedy žiadna odpoveď. Dneska som to teda skúsil znova, prihlásiť sa už nedá, takže sú dve možnosti, buď je užívateľ iba nevďačný, že ani neodpísal, :) čo by bol ten lepší prípad alebo už na túto techniku prišiel niekto ďalší a ukradol mu profil.
http://igigi.baywords.com/games-tiscali-cz-exposed-passwords-in-plaintext/
#41 oooo: hesla z baywords este stale funguju minimalne na csfd.cz a rozzlobenimuzi.cz
p.s.
Igigi v sumerštině znamená ‘Ti, kteří hledí a vidí’.
mna by velmi zaujimalo, podla coho si dotycny vybral nick igigi, zeby sa venoval Annunaki a sumerskej mytologii? :D