Igigi. Jedni ho nenávidia, iní zas milujú. Neznáma postava hackera, ktorá sa na scéne objavila niečo vyše pred mesiacom, dnes púta pozornosť komunity, verejnosti ale i medií. Média však väčšinou papagájujú oficiálne vyjadrenia poškodených spoločností bez vlastnej analýzy prienikov.
Preto som sa rozhodol napísať tento článok, kde by som rád zhrnul a možno trošku analyzoval jednotlivé prieniky, ako aj správanie užívateľov.
Prieniky
O prvých troch obetiach som už písal pred časom tu na blogu. Od vtedy igigi publikoval informácie o prienikoch na servery spoločností, ktoré patria k špičke na slovenskom, či českom trhu.
CSFD.cz hacked
Československá filmová databáza bola prvou zverejnenou obeťou. Jedná sa o veľký portál, ktorý ako databázový server využíva PostgreSQL. Podľa môjho názoru sa mu podarilo získať dáta za pomoci techniky Blind SQL Injection, keďže ako uvádza na svojom blogu, parazitoval tam niekoľko týždňov a nepodarilo sa mu získať všetky kontá užívateľov.
Podľa všetkého, prevádzkovatelia ČSFD si útok po tých niekoľkých týždňov všimli a zraniteľnosť odstránili, pričom o prieniku informovali svojich užívateľov až po publikovaní samotného prieniku.
Racany.sk expose passwords in plaintext
Po publikovaní druhej obete sa objavili názory, že igigi mal pri ČSFD len šťastie, pričom vyhľadáva rovnaké zraniteľnosti na akomkoľvek webe. Racany.sk sú totižto stránky developerského projektu výstavby bytov v Račanoch a teda celá webová prezentácia je veľmi malá. Preto sa naskytá otázka. Prečo si vybral tento malý web?
Podľa pätičky stránky za tvorbou stránky stojí spoločnosť NEW MEDIA s.r.o., ktorá vo svojom portfóliu uvádza klientov ako Slovenskú Sporiteľňu, T-Mobile, Remax, Skanska a ďalších. Dalo by sa teda nazdávať, že v ohrození môžu byť aj tie projekty, ktoré táto spoločnosť robila pre nie zrovna malé spoločnosti.
Shoptet.cz expose passwords in plaintext
Shoptet je generátor eshopov pochádzajú od českých tvorcov. Podľa zverejnených informácií sa v databáze nachádzali informácie o približne 2000 zákazníkoch.
Podľa niekoľkých diskutujúcich na webtrhu trpel Shoptet na rôzne bezpečnostné zraniteľnosti už dlhšie, ktoré však nijak neriešil. Reakcia tvorcov systému bola na začiatku dosť arogantná, no viackrát ju odvtedy preformulovali, aby nebudila taký dojem.
Práve pri tomto prípade uverejnil igigi naformátovaný dump časti databázy, čo môže naznačovať, že sa dostal priamo do databázy systému a nevytiahol dáta cez sql injection.
Rozzlobenimuzi.com hacked
Igigimu sa podarilo taktiež získať údaje o všetkých návštevníkoch portálu RZ, ktorý je lokálne celkom populárny. Získal dáta o viac ako 300 000 užívateľoch, vrátane tvorcov systému. Podľa igigiho len pár dni po jeho prieniku niekto poškodil web RZ tzv. defacom, teda zmenil výzor stránok.
Igigi bol ešte stále dosť “ukecaný” a pri jednotlivých prienikoch vypisoval svoje osobné názory, či pocity. Napríklad pri portály RZ priznal, že ho má rád a teda ho asi aj pravidelne navštevuje.
Rockyou.com exposed more than 32 millions of passwords in plaintext
Ak aj niekto mal pocit, že sa doteraz jednalo o šťastie začiatočníka, pri RockYou dokázal, že jeho útoky nie sú zamerané len na malé lokálne portály. Z RockYou si igigi odniesol údaje o viac ako 32 miliónoch užívateľoch, čo by sa dalo považovať za jeden z najväčších prienikoch na svete (existujú rôzne prípady, ako napríklad prípad hacknutia platobného procesora Heartland Payment Systems, kedy boli odcudzené dáta väčšieho množstva užívateľov/klientov, no samotný prienik nebol na webe spoločnosti).
Igigi si týmto prienikom získal pozornosť svetových medií, kedy o ňom napísal napríklad portál Techcrunch a to hneď dvakrát v ten istý deň.
Spoločnosť RockYou sa celý prípad prieniku snažila utajiť, zavádzala svojich užívateľov, čoho výsledkom je žaloba. Tá bola podaná na spoločnosť za neschopnosť ochrániť dáta užívateľov a taktiež to, že o prieniku informovala samotných užívateľov až po 11 dňoch.
Orange.sk hacked
Už o pár dní na to zverejnil igigi informácie o jeho úspešnom prieniku do databáz spoločnosti Orange. Igigi sa však v tomto prípade nedostal priamo do databáz operátora obsahujúcich informácie o klientoch, ale do pridružených systémov, ktoré pre spoločnosť Orange prevádzkuje tretia spoločnosť, ako napríklad osporte.sk. Nedostal sa teda ani do databázy portálu Orangeportal.sk, ako sa pôvodne predpokladalo. Napriek tomu sa jednalo o zlyhanie bezpečnosti, ktoré malo za následok odcudzenie množstva užívateľských kont vrátane rôznych osobných údajoch.
Wisdomsk.sk exposed passwords in plaintext
Prečo igigi zverejnil aj tento portál, dodnes neviem. Snažil som sa objaviť ďalšie inštancie tohoto systému, ale márne. Jediné čo vyznieva trošku komicky je fakt, že Wisdomsk.sk je členom združenia SAEC, bezpečný nákup. Z mojich skúseností však veľká časť eshopov registrovaných v tomto združení je náchylných na rôzne závažné bezpečnostné zraniteľnosti. Nakoniec, samotný certifikát sa netýka webovej bezpečnosti eshopu.
Svetsluchatek.cz hacked
Opäť ďalší eshop, tentokrát však existujúci v doslova stovkách klonov. Takto igigi poukázal na to, že pravdepodobne všetky inštancie tohoto systému sú zraniteľné a môžu byť z nich odcudzené osobné údaje zákazníkov vrátane platieb, ako aj vykonané podvody na majiteľoch eshopov samo-potvrdzovaním objednávok, atď.
RockYou.com passwords list
Igigi sa rozhodol podeliť o všetky heslá užívateľov systému RockYou.com. Viac než 32 miliónov hesiel v 270 MB súbore predstavuje jednu z najlepších možností analyzovať návyky skutočných užívateľov pri vytváraní hesiel a predstavuje minimálnu hrozbu pre obete úniku, pretože súbor neobsahuje žiadne dodatočné údaje, ako napríklad emaily.
Niektorí s publikovaním týchto hesiel nesúhlasia, pre mňa predstavujú neoceniteľnú studnicu údajov, ku ktorým by sa inak dostať nedalo. Analýza týchto hesiel ukazuje, že štyri najpoužívanejšie heslá na portáli RockYou boli 123456, 12345, 123456789 a password.
Zoner.cz exposed passwords in plaintext
Zoner je známa česká spoločnosť, ktorá má v portfóliu viacero populárneho softvéru (napríklad antivírus) a k tomu prevádzkuje niekoľko služieb a webov, ako napríklad interval.cz. Igigi opätovne publikoval dáta z databázy, no tentokrát to nebola ani PostgreSQL ani MySQL, ale MSSQL. Databáza podľa všetkého obsahuje objednávky klientov naprieč rôznymi službami, ako aj samotného softvéru. Zoner ukladá v databáze hesla zákazníkov v čitateľnej forme (plain-text).
Svadobneobrucky.com hacked
Opäť jeden z malých eshopov, u ktorého som nenašiel aktívne klony systému. Tovar, ktorý portál poskytuje však môže napovedať, že informácie o objednávkach môžu byť veľmi zaujímavé. Iný dôvod mi zatiaľ nenapadol.
Union.sk hacked
Hacknutie poisťovne, ktorá v rovnakej databáze uchovávala weby banky a ďalšej poisťovne vyvolalo celkom veľký rozruch. Podľa všetkého sa igigimu podarilo získať aj všetky poistky cestovného poistenia poisťovne Uniqa, ktoré sa v databáze nachádzali.
Dôvod, prečo Union zdieľa databázu s poisťovňou Uniqa som nenašiel a ani vyjadrenia spoločnosti túto otázku nevysvetlili.
Igigi odkázal, aby si nechala urobiť penetračný aby sa vyhla podobným situáciám.
Dennik.cz hacked
Český portál denik.cz bol ďalšou publikovanou igigiho obeťou. Jedná sa o online portál informujúci o lokálnych udalostiach po celej Českej Republike.
Zaujímavé na tomto prípade je, že igigi namiesto Denik.cz uviedol Dennik.cz, podľa čoho ho mnohí označili za slováka. Na Slovensku je totižto spisovná podoba slova denník práve s dvomi n. Je teda otázna, či sa jedná o chybu, alebo zámer, keďže obe adresy vedú na ten istý portál.
Atlas.sk hacked
Slovenská štvorka Atlas.sk sa stal ďalším igigho úlovkom. Vo zverejnenej databáze sa podľa všetkého nachádzali kontá tisícov užívateľov. Tento úlovok igigi publikoval priamo na vianoce spolu s osobným želaním veselých vianoc spoločnosti.
Aaaauto.cz hacked
Československá sieť autobazárov sa tiež nevyhla igigiho útoku. Spoločnosť ukladala heslá svojich viac ako 20 000 klientov v nezašifrovanej podobe. Jedine administrátorské heslá boli hashované za pomoci md5.
Games.tiscali.cz exposed passwords in plaintext
Igigi publikoval dáta aj populárneho českého portálu o hrách. Ten ako databázový systém používa MSSQL a aj on ukladal heslá svojich užívateľov v čitateľnej podobe.
Auto.cz hacked
Auto.cz je najväčší český portál o autách. Podľa publikovaných informácií často využíva open-source publikačný systém wordpress, ktorý je možné nájsť vo výpise hneď niekoľkokrát. Zaujímavá je aj databáza illich, ktorá obsahuje tabuľky casti_webu, hodnota_ppc, kliky, penize_prevody, penize_vklady, shlednuti, ucty. Tabuľka bude mať pravdepodobne náväznosť na Michala Illicha, ktorý je tvorcom vyhľadávača jyxo. Dá sa tak súdiť aj na základe ďalších databáz blog-jyxo a jyxoblog, ktoré výpis obsahuje.
Cocky-kontaktni-levne.cz hacked
Relatívne veľký eshop, ktorý má podľa všetkého viac ako 40 000 zákazníkov. Ten používa open-source systém PrestaShop, čo by mohlo znamenať, že igigimu sa podarilo nájsť 0day zraniteľnosť na tento systém. Taktiež však mohol použiť aj nejakú špecifickú zraniteľnosť práve tohoto eshopu, alebo verejne dostupný exploit.
Jeden z čitateľov ma upozornil, že sa podľa výpisu pravdepodobne nejedná o systém pretashop. Je teda možné, že sa jednalo o starší systém, ktorý bol po útoku vymenený za pretashop.
Je však dosť možné, že sa jedná o iný systém z inej webovej adresy. V pätičke stránky českého obchodu sú odkazy na ďalšie eshopy, ktoré mohli byť potencionálne napadnuté, pričom igigi uviedol inú adresu zámerne, alebo nedopatrením.
Imagic.cz & Redakcni-system.cz hacked
Spoločnosť Imagic má vytvorený vlastný CMS, ktorý ponúka pod značkou invioCMS. Tento systém je nasadený u stoviek klientov, čo môže znamenať, že sú náchylné aj ďalšie inštancie tohoto CMS. Pre mňa ešte zaujímavejší je však fakt, že rovnaký systém používajú aj predražené portály Ministerstva výstavby, na ktorých boli demonštrované útoky za pomoci XSS.
Lepší dôkaz “bezpečnosti” týchto predražených systémov ťažko nájdeme.
Byznysweb.cz & Biznisweb.sk hacked
Systém od slovenských tvorcov (prevádzkovatelia inet.sk) sa stal ďalšou obeťou. Systém automaticky za niekoľko minúť vygeneruje inštanciu CMS, ktorá je plne kustomizovateľná. Podľa igigiho článku sa mu podarilo vytiahnuť dáta o všetkých užívateľoch, teda majiteľoch jednotlivých inštancií. Pravdepodobne sa tak dostal aj k ich užívateľom na jednotlivých vygenerovaných weboch, ktorých môže byť niekoľko desiatok tisíc.
Webareal.cz & Webareal.sk hacked
Webareal je veľmi podobný bizniswebu. I v tomto prípade sa igigi dostal ku všetkých užívateľom. Zaujímavé však je, že systém pravdepodobne pre každého nového zákazníka generuje nový súbor tabuliek a ukladá ich do tej istej databázy. Igigi uvádza, že v jedinej databáze bolo viac ako 7 000 tabuliek.
Azet.sk hacked
Nateraz posledný hackerský igigi počin, slovenská jednotka azet.sk. Mnoho ľudí v komentároch už od začiatku predpovedalo, že na tento portál dôjde a v prvý deň tohto roku sa tak aj stalo. Podľa všetkého sa igigimu podarilo odcudziť viac ako 7 miliónov užívateľských kont.
Pár dní po oznámení prieniku vydala spoločnosť Azet oficiálne stanovisko, v ktorom zakladateľ Milan Dubec dosť arogantne tvrdil:
Hacker získal prístup k jednej z databáz, kde boli uložené napríklad heslá v nečitateľnej, takzvanej kryptovanej podobe. Chceme ubezpečiť všetkých užívateľov, že tieto heslá nie sú priamo zneužiteľné na prístup do užívateľských účtov. Dekryptovanie je časovo náročná záležitosť.
Igigi na to uverejnil nový článok pod názvom Azet.sk passwords fun, v ktorom oznámil, že na základe tejto arogantnej výpovede spoločnosti sa rozhodol publikovať ďalšie informácie o heslách, i keď tak pôvodne nezamýšľal. Podľa neho sa mu podarilo (pravdepodobne v krátkom čase) získať čitateľnú podobu až 92% všetkých hesiel, ktoré boli v databáza ukladané zahashované za pomoci md5.
K tomu ešte publikoval aj heslá niekoľkých ľudí z vedenia spoločnosti, vrátane hesla samotného zakladateľa Milana Dubeca, ktorý používal heslo obsahujúce vulgarizmus (kok**som). Autenticitu hesla potvrdil aj sám Dubec, ktorý o tom napísal do svojho profilu na Azete. Zaujímavé je aj jeho vyjadrenie, že toto heslo zmenil už pred dvoma mesiacmi. Či to je alebo nie je pravda je prakticky neoveriteľné. Mimochodom pod rovnakým heslom nájdete na Facebooku aj skupinu, ktorá sa inšpirovala práve týmto prípadom.
Podľa všetkého však heslá fungovali ešte aj po ich uverejnení. Ako dokazuje screenshot, niekomu sa podarilo prihlásiť do konta spoluzakladateľa spoločnosti, Karola Gogoláka. Taktiež spoločnosť Azet nepoprela autenticitu hesiel.
Igigi zverejnil aj malú analýzu užívateľských hesiel. Medzi najpoužívanejšie patria 000000, 123456789, aaaaaa, 0000, 123789. Taktiež zverejnil aj 15 miestne heslá, ktoré by mali patriť k tým najdlhším, ako napríklad harleydavidson1, telekomunikacie, fckgwrhqq2yxrkt, asdfghjkl123456, imigracyjnym234
Ak vám heslo fckgwrhqq2yxrkt niečo pripomína, tak sa jedná o časť sériový kľúč pre Windows XP, ktorý sa kedysi šíril ako warez skôr, ako ho spoločnosť Microsoft oficiálne uviedla na trh.
Crackovanie md5
Okolo získavania hesiel z hashí sa rozbehla celkom veľká diskusia, kedy niekto tvrdí, že použil tzv. rainbow tables, teda tabuľky, ktoré obsahujú zoznamy hashí a k nim aj textovú podobu a používajú sa práve na získavanie textovej podoby danej hashe. Iní zase tvrdia, že použil tzv. GPU cracker, teda generovanie hashí podľa textových reťazcov na čipe grafickej karty a ich následne overovanie voči daným hashiam.
Pre mňa však zostáva aj naďalej záhadou, ako získal 15 miestne heslá zložené z malých, či veľkých písmen a čísel.
Aby som ozrejmil moje rozpaky, popíšem postup ako sa získavajú textové reťazce z hashí jedno ktorého typu (v tomto prípade md5).
Prevádzkovateľ, ktorý používa hashovací algoritmus md5 na ochranu hesiel to robí za pomoci jednoduchej funkcie, ktorú je možné používať v každom programovacom jazyku, md5(heslo). Takto sa z akéhokoľvek hesla vytvorí 32 znakový reťazec zložený z písmen a čísel, teda hash. Každý unikátny reťazec má svoju unikátnu hash (i keď sú už dnes objavené kolízie, ale to je iná). Aby útočník získal teda čitateľné heslo, musí vygenerovať postupne všetky heslá, ktoré by mohol užívateľ použiť, vytvoriť z nich hash a tú overiť voči pôvodnej.
Na takéto účely sa používajú dva postupy.
Buď sa používa slovník, ktorý môže obsahovať bežne používané slová, heslá a ich kombinácie. Takýto útok býva relatívne úspešný u cca 40-60% všetkých hesiel, záleží od kvality a rozmanitosti slovníka.
Druhá možnosť je postupne generovať všetky kombinácie vstupných znakov a tie následne overovať voči danej hashi. Táto technika by sa dala rozdeliť do dvoch typov, rainbow tables, alebo brute force.
Rainbow table je typ tabuliek, ktoré obsahujú zoznam hashí a ich textových vstupov (je to trošku zložitejšie). V dnešnej dobe sa dajú bezplatne stiahnuť tabuľky obsahujúce napríklad kombináciu malých písmen a čísel v dĺžke 7 znakov. Veľkosť takejto tabuľky je cca 10 GB. Pri 15 znakoch by kvalitná tabuľka mala niekoľko desiatok TB.
Druhá možnosť je využiť brute force, ktorý je dnes asi najlepšie aplikovateľný na čipoch grafických kariet, GPU. Takto je možné vygenerovať približne 400 000 000 hashí za sekundu, teda každú sekundu môže byť overených až 400 miliónov hesiel. Ešte lepší výsledok je možné získať na herných konzolách PlayStation 3, vďaka super rýchlemu procesoru, ktorý dokáže vygenerovať až 1,7 – 1,9 miliardy hashí za sekundu.
Aj napriek týmto fantastickým číslám, ak budeme počítať, že by sme použili dva typy vstupov, teda malé písmená v kombinácií s číslami, a veľké písmená v kombinácií s číslami, dostali by sme pri 15 miestnom heslo počet kombinácií 36^15=2,1841644090745702997082844376564e+42. Ak by sme teda k tomu využili jednu PS3 ktorá by nám vygenerovala a overila v priemere 1,8 miliardy hashí, všetkých 15 miest by sme vygenerovali za 39450188296793546184100828,060273 rokov.
Pre zaujímavosť, David Campbell urobil malý prieskum, koľko by stálo rozkódovanie takýchto hashí na cloude EC2 od spoločnosti Amazon. Len pri 12 miestnom hesle zloženom len z malých znakov by sa cena vyšplhala na cca 1,5 milióna amerických dolárov.
Práve pre vyššie uvedené som udivený, že sa mu podarilo získať až tak veľké množstvo hesiel vrátane 15 znakových, ktoré by mali byť aj tými najdlhšími podľa podmienok spoločnosti. Jeden z návštevníkov synopsi irc ma však upozornil na to, že je možné vytvoriť heslo až o 20 znakoch.
Po tomto článku spoločnosť Azet prešla z arogancie do pokory a vo svojom poslednom oficiálnom stanovisku pre denník SME uvádza:
Komunikujeme s našimi užívateľmi a podnikáme opatrenia, ktoré z pochopiteľných dôvodov nemôžeme konkretizovať, keďže ide o mimoriadne citlivú záležitosť.
Celá vec je v procese šetrenia a do chvíle, kým nebudeme mať v rukách konkrétne závery, nechceme sa k tejto záležitosti vyjadrovať. Doterajšie kroky hackera s prezývkou igigi sme vnímali ako snahu o upozornenie na slabé miesta v bezpečnosti a vítali sme to ako príležitosť na jej zvyšovanie, no sme pripravení podať trestné oznámenie vo chvíli, ak by došlo k zverejňovaniu či zneužívaniu údajov.
Milan Dubec, riaditeľ Azet.sk
Priznám sa, že je to pre mňa prvý krát, čo vidím spoločnosť Azet ako sklonila hlavu a sklopila uši. Moje doterajšie skúsenosti boli úplne opačné. Preto si myslím, že spoločnosť nechce igigiho ďalej provokovať, aby nezačal publikovať ďalšie osobné údaje užívateľov. Taktiež si myslím, že spoločnosť zatiaľ nevie, ako sa im igigi do systému dostal, ale o tom napíšem v druhej časti článku.
Azet v rámci upokojovania? situácie zmenil aj originálne vyjadrenie, pričom dátum správy zostal rovnaký. Text sa výrazne skrátil, zmizli aj práve arogantné časti, ktoré igigiho pravdepodobne vyprovokovali.
Odborníci, laici a teórie
V diskusiách pod rôznymi článkami venujúcim sa igigiho prienikom môžete nájsť veľké množstvá teórií, ktoré sú často postavené “na piesku”. I niektorí odborníci svoje vyjadrenia často povedia bez hlbšej znalosti jednotlivých prípadov.
Kto je igigi
Kto je igigi je stále záhadou. Zachytil som meno snáď každého, kto sa vyjadril kedykoľvek v akejkoľvek otázke okolo bezpečnosti, vrátane mňa, ľudí z hystérie, atď. Nech už je to ktokoľvek, zvolil si veľmi zaujímavý nick.
Igigi bol dávnym kráľom Akádskej ríše. Taktiež slovo igigi bolo používané ako označenie nižších božstiev no a v sumerčine igigi znamená “Tí, ktorí sa pozerajú a vidia”.
Falošné vyjadrenie
Nedávno sa objavilo vyjadrenie, ktoré vraj napísal igigi sám a to celé v slovenčine na slovenskom blogu. Podľa štýlu, ktorým to bolo napísané je podľa mňa evidentné, že nejde o tú istú osobu. Rovnako sa naskytujú otázky, prečo by písal po takom čase po slovensky a ešte aj na inom portáli. O to smiešnejšie vyznieva, že tento text použila televízia JOJ vo svojich krimi novinách.
Zázračné MySQL
Relatívne často sa objavuje v komentároch názor, že igigi zneužíva stále tu istú zraniteľnosť v MySQL. Toto je samozrejme úplná hlúposť, keďže MySQL je len jeden z databázových systémov, nie samotná technológia.
Pravdou je, že som sa aj ja od začiatku prikláňal k teórii, že igigi využíva SQL Injection na získanie dát. Až postupne vo mne začal vzrastať pocit, že to bude inak.
Vezmime si napríklad taký RockYou. Viacerí upozornili už vtedy, že niektoré hackerské fóra priniesli informáciu o objavenej SQL Injection a to už pár dni pred igigiho článkom a teda že sa “inšpiroval” práve u nich. To by pravda byť pokojne mohla, no vytiahnuť odtiaľ 32 miliónov záznamov by bol beh na veľmi dlhú trať. Silne pochybujem, že by si spoločnosť nevšimla vysokú záťaž, ktorú by vyvolali požiadavky na tak veľkú tabuľku. Schválne si sami vygenerujte tabuľku o 32 miliónoch riadkoch s náhodným zhlukom dát o povedzme 5 stĺpcoch a skúste vybrať stredných 100 záznamov. Spoločnosť pravdepodobne nikdy nerobila výber viac ako jedného riadku nad touto tabuľkou v jednej požiadavke a teda tá záťaž by sa zvýšila signifikantne. Ak by igigi vyťahoval každý záznam riadok po riadku, tak by potreboval minimálne 32 miliónov požiadaviek na server. Ak by bola každá vyriadená a spracovaná len za sekundu, tak by tabuľku získal najskôr za cca rok. Aj keby tento proces rozdelil medzi viacero procesov/robotov, nedokázal by dáta získať skôr ako za niekoľko mesiacov. Preto je tento scenár nepravdepodobný.
Druhá situácia, ktorá ma presvedčila o tom, že nepoužíva výhradne len SQL Injection, bol práve spomínaný Azet. Podľa mojich vedomostí, používal (ak sa nič nezmenilo za posledné mesiace) Azet na databázu s užívateľmi MySQL 4. Je mi jasné, že väčšine čitateľov táto informácia nič nepovie. Takže v jednoduchosti.
Ak by ste chceli získať dáta z databázy cez SQL Injection, u MySQL verzie nižšej ako 5 by ste museli poznať názvy tabuliek a stĺpcov. Samozrejme, dá sa aj tento problém vyriešiť za pomoci slovníka názvov tabuliek a stĺpcov, a slepým skúšaním. Je veľmi nepravdepodobné, že by bol úspešný u tak veľkého množstva tabuliek a stĺpcov (stačí ak sa pozriete na to ako vyzerajú vo výpise na blogu). Ak by sa mu to aj podarilo, musel by vytiahnuť viac ako 14 miliónov záznamov, pretože dáta boli rozdelené do dvoch tabuliek. To by znamenalo, že by musel urobiť obrovské množstvo požiadaviek na servery Azetu a tam už je len veľmi nízka pravdepodobnosť, že by sa to dalo robiť bez povšimnutia niekoľko mesiacov.
Nakoniec aj prípad Shoptetu, kedy zverejnil formátovaný dump štruktúry niektorých tabuliek môže naviesť k tomu, že igigi mal pravdepodobne priamy prístup minimálne do databáz týchto systémov. Ešte pravdepodobnejšie mal prístup priamo na servery a teda aj ku zdrojovým kódom systému.
Cracker, či hacker
Zopár diskutujúcich sa rozčuľovalo, že igigi je cracker a nemali by ho nazývať hackerom. V tomto prípade s týmto názorom nesúhlasím. Ja sám výraz cracker nepoužívam. Oveľa vhodnejšie mi príde rozdelenie podľa klobúkov, teda white, grey a black hat. Igigi je z môjho pohľadu grey hat. Myslím, že je to priam ukážkový prípad tejto skupiny.
Motivácia a pohnútky
Zaujímavé sú aj názory na pohnútky, prečo to igigi robí. Všeobecne sa objavili názory, že to robí kvôli mediálnej sláve, peniazom, budúcej práci, egu.
V každom názore niečo je, ťažko hádať aké ma skutočné pohnútky, ale skúsim k nim aspoň niečo povedať.
Kvôli peniazom to pravdepodobne nerobí. V takomto prípade by bolo lepšie veci nepublikovať, pretože dáta okamžite stratia hodnotu.
Druhá možnosť by bola, že takto zámerne poškodzuje spoločnosti, z čoho má profit nejaká tretia strana. Táto teória by platila, ak by mali publikované portály aspoň niečo spoločné. Ide však o takmer náhodnú zbierku portálov, ktoré nemajú (aspoň na prvý, druhý a ani tretí pohľad) nič spoločné.
Mediálna sláva znie ako pravdepodobnejšia teória, otázka je však, čo ma z mediálnej slávy, o ktorej nevie nik len on. S tým je spojená aj teória o egu. No potom sa naskytá otázka, načo by to publikoval, keď rovnaký výsledok by mal aj bez toho.
Celkom zaujímavá je je aj teória o budúcej práci. Pokiaľ sa sám dobrovoľne neudá, alebo ho nechytia, nebude táto teória moc pravdivá.
Etika
Od začiatku stojí za povšimnutie systém, akým na tieto prieniky upozorňuje. Dáta sa snaží cenzurovať, vyberá len malú časť užívateľských kont a tie rovnako patrične ošetruje. Nebolo tomu tak hneď od začiatku. Napríklad pri ČSFD necenzuroval dáta vôbec. Podľa všetkého aj vďaka tomu spoločnosti nepodávajú trestné oznámenia, pretože nedochádza ku skutočnej škode, okrem poškodenia dobrého mena (čo je podľa mňa najhoršie, ale u nás to tak nevnímajú).
Igigi je skupina
Názor, že igigi asi nie je jednotlivec, sa objavuje už od začiatku. Či to pravda je, alebo nie, to sa pravdepodobne nikdy nedozvieme.
Prieniky vykonal už dávno
V prospech tohoto názoru hovorí aj vyjadrenie Milana Dubeca, ktorý tvrdí, že si heslo zmenil už pred dvomi mesiacmi.
Podľa mňa to však tak úplne pravda nebude, lebo by to spoločnosti použili ako jednu z pozitívnych výhovoriek (jedná sa o starú databázu, atď.).
Pozitíva/negatíva
Ako to už býva, na igigiho “prácu” sa vytvorili dva názorové prúdy. Jeden by ho najradšej videl v base (už som videl aj návrhy na štvrtenie), druhý by mu rad bozkával nohy. Vzniklo celkom veľké množstvo skupín na Facebooku, ktoré sa snažia vyjadriť igigimu podporu.
Priznám sa, že som nezvládol prečítať všetky komentáre ani na SME ani na igigiho blogu. Je neuveriteľné, koľko hlúpych otázok ale aj vyjadrení je možné nájsť. Na blogu mám pocit prevládajú žiadosti na získanie hesla k jednotlivým profilom. Niekto vtipne poznamenal, že ak igigi doteraz nevedel ako monetizovať svoje úspechy, tak práve sa mu naskytá skutočne pekný biznis (pre nechápavých, že by mohol predávať prístupy, alebo informácie do jednotlivých azeťáckych kont).
Pozitíva
Ak by som mal spomenúť pozitíva, určite medzi ne patrí zvýšenie povedomia. Práve takéto prípady učia spoločnosti ale aj samotných užívateľov, ako sa viac chrániť, ako nezanedbávať bezpečnosť a ako sa prípadnou prevenciou vyhnúť prípadným problémom v budúcnosti. Rovnako aj medializácia pomáha, keďže sa všeobecné rady dostanú k veľkému množstvu užívateľov a u niektorých skutočne pomôžu bezpečnosť zvýšiť. Primárne však najdôležitejší je efekt na spoločnosti, ktoré si začnú uvedomovať, že je lepšie investovať priebežne malé sumy do bezpečnosti, ako potom vynakladať násobne viac na odstraňovanie škôd.
Ľudia si začnú uvedomovať, že žiadny portál nie je dosť bezpečný a že je aj na nich, aby sa o svoju bezpečnosť postarali.
Pevne verím, že medzi pozitíva sa bude dať časom priradiť aj, akým spôsobom a hlavne v akom časom rozpätí od útoku budú spoločnosti informovať svojich užívateľov. Ako sme doteraz mohli vidieť, spoločnosti k tomu pristupovali skutočne viac než nezodpovedne a vystavili svojich užívateľov veľkému nebezpečenstvu.
Negatíva
K negatívam patrí hlavne zvýšenie množstva útokov od tzv. skript kiddies, ktorí sa snažia rovnako zviditeľniť a môžu narobiť oveľa viac škody. Rovnako, ak igigi nebude potrestaný, bude to znamenať povzbudenie pre ďalších, čo môže viesť k ďalším škodám.
Aj napriek týmto negatívam, ja vnímam jeho praktiky pozitívne, práve kvôli spomínaným pozitívam, ktoré z toho vyplývajú.
Zaujal vás článok? Sledujte ma na Twitteri.
Vyborny clanok! Vela som sa dozvedel, aj naucil nieco aj motivoval ku bezpecnosti…
Výborný článok Rasťo :) .
Suhlasim s tym, ze azet zmenil retoriku hlavne preto, aby neprovokoval. Co je logicke. Sklopit usi a pockat, kym to cele utichne.
Pekne.
Pekný článok s hodnotným obsahom ako vždy. Dobrá práca.
Skvely clanok, nie je co dodat. Akurat ze Igigi si ty Synopsi :))
Myslim si, ze ak by chcel zo svojej cinnosti nejakym sposobom vytrieskat peniaze, skor ci neskor by sa mu to stalo osudnym.
po dlhom case jeden normalny clanok, ktory to vsetko zhrnul .. good work .. :)
perfektny clanok :)
Super článok. O pár rokov môžeš napísať román na základe tohoto. : )
Vieš o ňom až podozrivo veľa. Pekná hĺbková analýza – počnúc od spôsobu jeho útokov až po rozuzlenie významu jeho nicku. :)
#12 tomexx: všetko je dostupné na internete (narážam na význam jeho nicku). Keď sa vyznáš v obore tak to vieš dať všetko dokopy, stačí si dať 1 a 1 dokopy a vzíde ti takýto článok :)
Pekne si to zhrnul. Ja zastávam názor že skutočne k prienikom (aspoň u azetu) prišlo niekedy v novembri. Mám to potvrdené z viacerých zdrojov ktorých sa to dotklo… Takýto postup bol obozretný pretože spoločnosti zvyčajne nemajú až tak obsiahle logy (to má asi len google).
velmi pekne shrnuti, ctive napsane…
No tak igigi vie čo robí možno sa chce iba zviditeľniť on už bude mať o robotu postarané . Takých ako on berú do Microsoftu alebo do esetu a bude pracovať na programoch ktorý by takýmto napadnutiam zabránili .
Nenasiel som jasne vyjadrenie, ci suhlasis s pocinanim Igigiho alebo naopak si proti. Inak, ktore klobuky by mali byt zodpovedne v zmysle http://blog.synopsi.com/2008-07-20/zodpovedny-pristup-k-upozornovaniu-na-bezpecnostne-nedostatky – iba white, ci uz aj grey? :-D
Diky za clanek. Je to [a-z]. Docela me sokovala informace, ze SP si stranky (a bankovnictvi?) Nechava delat externi firmou. Je to bezna praxe? Pokud vim, CS si to dela sama. Myslel jsem, ze takovyhle veci se delaj “pod poklickou”.
@Jan Garaj: Posledna veta jeho postoj jasne dokumentuje ..
Inak .. To ‘rozsifrovanie’ tych hesiel nejde do hlavy ani mne .. Asi nie som jediny, kto by s nim zasiel na pivo a podebatil ;)
Paradne Rasto :) Toto bolo priam nutne, kedze vela spekulantov vsetko vedelo :)
Zaujimave citanie :)
Pri analyze brute force attacku na MD5 hashe tam mas ale drobnu chybicku: kombinacii nie je 15^36 ale 36^15, co je o HODNE mensie cislo. Stale vsak privelke na brute force attack, osobne si myslim, ze slo o velmi dobry slovnik.
Dobrý večer.
Veľmi pekný článok. K tým heslám doplním taký nápad (dohad), že keď sa pozriete na štruktúru DB
http://igigi.baywords.com/azet-sk-hacked/,
tak uvidíte :
[columns] userlogheslo
============
idLogHeslo
LogHeslo
pocZaznam
DatLast
kde je možné, že sa “logovali” preklepy hesla.
Samotná DB používateľov je (bola) MySQL 4, avšak v novších službách, ako “videoalbumy”, a ďalšie mohla byť už nejaká schéma.
velmi dobre napisane, napriek tomu ze nie som odbornik, nemal som ani raz pocit pocas citania celeho clanku, ze sa stracam v komplikovanych stylizaciach plnych odbornych (slangovych) terminov, muselo ta to stat kopec casu to napisat, len precitat to cele chce cas :), klobuk dole
Podla mojich informacii bol v pripade rockyou.com zranitelny jeden zo zakladnych parametrov. Predpokladam teda, ze ak ich netrapilo toto, tak zvysenie zataze bolo to posledne. Ja som si to neskusal, ale tiez nevidim dovod, preco by mal byt radiklany rozdiel vo vybrani 1 a 100 riadkov zo stredu DB. Mne sa v tomto pripade nezda nieco ine. Mozno som sam, ale ja som o existencii rockyou.com do oneho pripadu vobec nevedel. Aby igigi hackol ry nezavisle na informaciach ktore sa o zranitelnosti objavili par dni pred povazujem preto za nerealne (autorom mohol byt teda on, alebo sa mohol inspirovat). Koniec koncov je to jedno, bol prvy kto to zverejnil a nastartoval kauzu …
vyznam jeho nicku sa da najst aj na wikipedii :-)
Rasto, len jedna vec – rezalo mi oci sklonovanie “hash”. Odkedy preboha je v slovencine TA hash? To mi chces vazne povedat, ze to tak ti sialenci v Matici schvalili?
#ooo: velmi pekna sumarizacia temy igigi. osobne tiez vnimam “pracu” igigiho/podla mna skor igigi-ovcov/ viac pozitivne ako negativne, aj ked si myslim, ze (sic)jeho usilie je uz teraz de jure klasifikovatelne ako subeh hned niekolkych tresnych cinov. snad v tomto pripade bude platit ono zname “kde niet zalobcu, niet sudcu”, pokial tu tenku imaginarnu hranicu “gray” hat neprekroci.
a snad to najdolezitejsie… nech sme vsetci, vratane igigiho/-ovcov/ v novom roku 2010 zdravy!!!
#6 exot: Trebárz :)
Vyborny clanok a zhrnutie udalosti, Rastiku!
#14 pb: zaujimava informacia.
#18 starenka: cela erste group ma vlastny tim zlozeny z ludi z asseca. ostatni robia len nejake doplnkove veci.
#21 paapi: jesus, to nie je ziadna drobna chybicka :\ dakujem za upozornenie, uz som to opravil. velmi dobry slovnik, to by uz musel byt skutocne excelentny slovnik ;)
#24 Name: zaujimave na tom je to, ze on to zverejnil az potom, co sa objavila informacia od imprevy, takze tam mohol byt mesiace. a rozdiel je to obrovsky, skus si to a uvidis.
#26 deb00t: ja pisem podla seba. mne sa proste nepozadava prekladat slovo hash a tak ho pisem v podobe akej je.
Precizni zpracovani ve vysoce ctive forme.. Nemuzu jinak, nez dat jedenact bodu z deseti :)
zeby tento clanok bol prijemna bodka za ucinkovanim igigi-ho … :P uvidime …
ad MD5 crack
zaujimave je ze boli zverejnene len alnum hesla (ak som dobre videl). do 8char alnum hesla je mozno najjednoduchsi brutforce/RBT. pre tie vyssie hodnoty asi slovnik.
podla mna isiel cestou najmensieho odporu (nema asi prakticky zmysel lamat bezpecne heslo nad 8char) a ako sam uvadza, dostal sa len na nejakych 90%.
co to vypoveda o bezpecnostnych navykoch uzivatelov AZet (== beznej populacie) je na zvazenie ;)
pre porovnanie:
——————-
model name : Intel(R) Pentium(R) Dual CPU T2410 @ 2.00GHz
siblings : 2
john –incremental:alpha ./input
Loaded 1 password hash ( md5_gen(0): md5($p) (raw-md5) [md5-gen SSE2 16x4])
kokotsom (tester)
guesses: 1 time: 0:00:05:49 c/s: 7957K trying: kokotsah – kokotser
No neviem, keď už spekulujeme o mene, skôr ako akadsky kráľ to bude tým, že sa volá igor :-)
Ja si tiez myslim, ze igigi=igor – takze uz len prist na priezvisko a je to:)
Zaujuimave citanie, super zhrnutie.
super citanie, konecne nejake normalne zhrnutie igigiho prienikov ktore ma hlavu a patu.
diki
Předně díky za výborný článek. Doplním pár informacemi z jeho z jeho průniků:
1) zveřejňovaná data jsou minimálně měsíc stará – tj. zveřejňuje je až dost pozdě
2) používá public scanner pro nalezení SQL injection (nevím který konkrétně)
3) následně pustí robota který používá blind sql injection – nejprve načte jména tabulek, pak data, …
4) během útoku nemění IP (což mě trochu překvapuje), IP je samozřejmě proxy
#13 Snake: Ze zákona platí povinnost archivovat plné logy alespoň podobu 6 měsíců. To že to někdo nedělá je jiná věc :)
toto je orig. post z darkc0de.com, vsimnete datum a komentar ;) :
Posted: 29 Nov 2009 21:06 – Edited by: skpx
Reply Quote
http://www.rockyou.com/show_my_gallery2.php?instanceid=66772587+and+1=0+union+select+1,2,3,4,5,6,COUNT(username),8+from+UserAccount-
-
32,593,926 records in column ‘username’
their username == their email address
so 32 million email addresses mainly US
useful to someone I hope
Pěkný přehledný článek i polemika. Nabízím svůj krátký úhled pohledu na věc: http://www.mirecek.cz/536/hacker-igigi-a-osud-kradenych-dat
zopar poznamok:
orange.sk > k tomuto len tolko, ze na chyby som upozornoval v jednom svojom clanku na BH este v january 2009!
wisdomsk.sk > rasto, naozaj netusis, preco igigi zverejnil tento web? mozno si prehliadol, ze stranka je hostovana na freeserver.sk. cely server je deravy jak reseto. v pohode ti mozem poslat dump celej DB vsetkych webov, ktore bezia na danom servery. mozno toto igigi tiez prehliadol (nemyslim), alebo dalsia spolocnost, ktoru “hackne”, bude freeserver.sk.
alebo len igigi zadal do googla ten spravny “task” a tak sa k tomuto webu dostal :).
azet.sk > mozem potvrdit, ze pravdepodobne v dobe incidentu etech pouzival mysql4. namatkovo stranky, ktore boli nachylne na sql injection: bullydog.info, http://www.rk.sk (tu bezi aj moje.azet.sk). mozno vsak igigi natrafil na nejaky web s mysql5…
#37 ok > tiez si myslim, ze pouziva nejaky scaner na web aplikacie. mozno acunetix (mam s nim dobre skusenosti). na blind sql injection je fajn sqlmap
MD5:
nie je velky problem pouzit slovnik a kombinacie slov – vsetko nasvedcuje tomu, ze utok bol vedeny takto.
Staci aspon 20 masin s NVidiami (co ma skoro lubovolne script-kiddie), a hned moze skusat 6-8 miliard hesiel za sekundu. To je pri pravdepodobne maximalne 8 znakoch bruteforcovaneho hesla, takze bruteforcom by lamal 17 hodin. Pre kombinacii slovniku (cesky, slovensky, polsky, madarsky, anglicky, nemecky, mena, pouzivane hesla) a doplnania cislami do max. 15 znakov mi to vychadza vzdy lepsie ako bruteforce na 8 znakove heslo upper-lower-num.
#13:
Povinnost archivovat logy? Mozno u providerov. Na mojich serveroch (a v extreme na mojej domacej masine) mi nikto nemoze nic povedat, aj keby som logy posielal do /dev/null.
SQL injection nepouziva vyhradne, to bolo vidiet uz od zaciatku na utokoch. Pravdepodobne ale pouziva aj tu, lebo o diere v cocky-kontaktni-levne.cz som vedel na zaciatku oktobra (nezneuzival som ju, nahodou som na nu narazil a nerozvijal som to dalej). Mozno sa jedna o open-source eshop, ale asi je upraveny zaciatocnikom.
díky za výborný článek. neměl jsem tušení, že rozsah igigiho řádění je tak velký
ad MD5:
na krátká hesla igigi zřejmě používá rainbow tabulky – je to nejjednodušší způsob
ze zveřejněného vzorku patnáctimístných hesel z azet.sk je ale zřejmé, že na dlouhá hesla byl použit slovníkový útok. nenašel jsem mezi nimi jedinné, které by neodpovídalo nějakému vzoru
slovníků je použito několik:
1) slovník anglických názvů filmů a pořadů (jeeperscreepers, highschoolmusic, responsibility, h2ojustaddwater, devilwearsprada…) a jmen herců (wentworthmiller)
to je první zajímavá věc. je to tiž celkem možné, že tento slovník vyrobil z vykradené databáze filmů z csfd.cz. ale je také možné, že si jej opatřil jinak
2) slovník POLSKÝCH slov (ekskluzywnych, geometrycznosc, dalekobieznymi, antykoscielna…)
- je zvláštní že byl použit právě slovník polských slov. slovenský možná také, ale jediné slovenské slovo ve vzorku je “nanebovstupenie” – to je dost málo. polští uživatelé na tomto serveru přeci musí být menšina
zdá se, že nebyl použit český či anglický. ač se může zdát, třeba z hesla “responsibility”, že anglický sovník použit byl, toto slovo je zároveň názvem filmu a tudíž to nic nedokazuje. jiná anglická slova jsem ve vzorku nenalezl
proč igigi použil právě poslký slovník? nalezení slovníku v jiném jazyce (třeba slovník pro kontrolu překlepů z open office nebo knihovny aspel) je jednoduchá záležitost. nepoužití českého či anglického slovníku je podle mě dost podivné. nevěřím tomu, že zveřejněný vzorek hesel je tak krátký, že se tam náhodou žádné takové slovo nedostalo. je to prostě příliš nepravděpodobné
5) slovenský místopis (rimavska sobota). to už dává lepší smysl
4) slovník různých primitivních sekvencí znaků, ležících vedle sebe na klávesnici (qazwsxedcrfvtgb, asdfghjkl123456, 123456789321654 apod.) a jiných primitivních kombinací znaků (kkkkkkkkkkkkkkk, kolkolkolkolkol). je možné, že to je součást nějakého obecného slovníku
5) zřejmě nějaký obecný podle počtu výskytů sestavovaný slovník různých populárních hesel:
footballmanager, worldofwarcraft, ilovesexandporn – hry
manchesterunite, cristianronaldo, ilovevolleyball – sport
123metallica321, 50centisthebest – hudba
nissansilvias
baileathacliath
expectopatronum
internetcafe
harleydavidson
fckgwrhqq2yxrkt (v článku zmíněný kód windows)
ke všem slovníkům navíc generuje dodatek. přidává na konec číselnou kombinaci
ze zbylých nerozluštěných 8% hesel troří podle mého názoru velkou část anglické a české výrazy. je zřejmé, že velmi dlouhá čistě kombinatorická hesla nepoužívá prakticky nikdo
také je evidentní, že v dnešní době nejen hesla v plaintextu, ale i MD5(heslo) je naprostý bezpečnostní hazard. mezi plaintextem a MD5 prakticky není žádný rozdíl (číslu 8% věřím)
vývojáři, SOLTE HESLA! používejte neokoukané hashovací algorytmy, na které zatím řadoví hackeři zatím nemají rainbow tabulky (SHA224, SHA256…). SHA1 je další na řadě, proto bych ho rovnou přeskočil. buďte paranoidní :P
#38 OK: ako vies tieto veci? napr ake su stare data, alebo co pouziva?
#39 xmnzdr: ja som nasiel aj este o par dni mladsie fora, ale stale to nic nemeni na tom, ze sa to vytahat hentym sposobom nedalo. ked si precitas tie prispevky, kazdy vytiahol trosku, len jediny tam tvrdi ze ma vsetko aj to pisal, ze sa dostal priamo na masinu. takze teoria stale plati
#41 drakko: priznam sa, ze som si nepozeral masinu na ktorej to bezi. to by mohlo byt voditko, dik za upozornenie.
na orange som upozornoval 3x, ani raz to neriesili. dodnes tam su funkcne SQLi
no a co sa tyka scanneru, tam je jedno co pouziva, ci to najde rucne alebo scannerom, i ked zrovna acunetix je dost kram. ovela lepsi je burp, alebo potom custom pre kazdy web, pretoze predsalen kazdy je iny a automatizovane nastroje su len predlzene ruky testera. rovnako sqlmap je skvely nastroj, akurat ze je nevhodny na 30-40% utokov, kedy musis ist do vlastneho riesenia, pretoze sqlmap neumoznuje upravovat logiku aplikacie (teda nie bez zasahu do kodu).
#42 without_name: logika so slovnikom je asi najpravdepodobnejsia, len to musel byt viac nez kvalitny slovnik
btw script kiddie s 20 masinami a 20 nvidiami, to by som rad videl ;)
#43 paranoiq: pekna analyza. akurat ako som spomenul uz vyssie, musel to byt extremne kvalitny slovnik, aby sa dostal k 92% vsetkych hesiel? no a samozrejme, ze tie zoznamy co zverejnil su ovela dlhsie, uz v prikaze vidno ze ich limituje na 100 nalezov.
#42 paranoiq: veru dobry komentar. ak uvazime, ze je rok 2010 a ludia stale pouzivaju md5/Cryptofest 2005 – RNDr. Klima: http://www.avc-cvut.cz/avc.php?id=2254/, je to jemne povedane adventura… na druhej strane, ehm, este v novembri 2009 som absolvoval prezentaciu nemenovaneho implementatora o.i. webovskych rieseni na baze Microsoftu v BA a dotycny prednasajuci md5 popisal ako tak excelentnu a neskutocnu ficuru, az som sa z toho skoro… proste stav bezpecnostneho povedomia v nasich koncinach je vskutku zufaly!
Podľa mňa sa zabúda na ešte jednu možnosť prečo to robí, pretože každý v tom vidí len hmotné cieľe, osobné obohatenie, ale možno to robí naozaj iba aby sa ľudia začali viac starať o svoju bezpečnosť a aby firmy do nej investovali – tak ako niekto robí charitu pre bezdomovcov, tak igigi možno robí toto. :)
Čo sa týka jeho etiky, tak som sa dosť čudoval, že na začiatku zverejnil celé hashe csfd, keďže ako som už písal v komentári k tomu minulému článku, tak ja sám som sa pod jeden z inkriminovaných účtov prihlásil, pretože dostať pôvodné heslo z hashu nebol problém, pretože bolo triviálne.
K tomu jeho údajnému vyjadreniu písanému po slovensky snáď ani netreba komentár, to bola očividná hlúposť, písaná niekým, čo nemá ani potuchu o čom píše.
#25 NickVK: “Schvaľovanie” nových slov má na starosti Jazykovedný ústav Ľudovíta Štúra, nie Matica slovenská. A tých ľudí z toho ústavu poznám, tak slovo hash sa k nim iste ešte nedostalo. :) Ale súhlasím, že TEN hash znie lepšie.
Slovník pro 15ti znaková hesla: A nemohl použít třeba tabulku hesel z předchozích průniků? Přijde mi, že tomu by odpovídala i ta 92 procentní úspěšnost.
Azet heslo je mozne vytvorit az do dlzky 30-tich znakov, nie len dvadsiatich.
#48 Peter: ked som to pisal, slo do 30. dnes ide do 1000
@natman: jenže proražení bezkoliznosti nemá na hashování hesel vliv (při znalosti hesla a hashe je útočník schopen vyrobit jiné heslo se stejným hashem – no, tím si moc nepomůže, že :P). podstatné je, že funkce SHA2 jsou výpočetně náročnější a výstupy delší, takže útok hrubou silou trvá déle a rainbow tabulky se budou déle generovat a stahovat. to script-kiddies odradí. stejně tak dostupnost je dnes mizivá. zkuste si někde stáhnout rt pro SHA256
nejdůležitější je ale hashe solit. např. při útoku na databázi 10000 neosolených hesel stačí útočníkovi pro každou kombinaci spočítat hash jednou a porovnat ho s celým seznamem. pokud by byla hesla osolená musí pro každou dvojici sůl+heslo počítat hash zvlášť. útok na celou (libovolně velkou) databázi neosolených hesel je tedy řádově stejně náročný jako útok na každé jednotlivé osolené heslo. navíc rt jsou naprosto ze hry a je nutné použít hrubou sílu
moja teroria je podstatne odlisna ako je to tu prezentovane ale nebudem to tu rozoberat, neskorsie napisem aj preco. napisem len ze si myslim, ze igigi podla mna tie dlhe hesla nemusel ani crackovat, skratka ich dostal ako plain text. ak si ich ovsem nevymyslel. :o) byt spravcami webov ako prve by som si preparsoval Apache logy a potom vsetky ostatne, snad si ich aj zalohuju. a co sa tyka clanku, je fajn(dobre sa to citalo, autor ma spisovatelsky dar) ale je tiez zalozeny na dohadoch tak ako aj moja teoria, preto ju nerozoberam a ani nebudem. na to by sa hodil Ludvík Souček. :o) ale nie toto som chcel napist ale toto:
mne je uplne jedno kto je igigi(alebo viac ludi), ako to urobil(i), ci to bolo SQL injection, XSS, kompromitovanie sluzieb na otvorenych portoch, …, mna zaujima vysledok. a ten sa podla mna podaril vskutku dobre. toto je podla mna zatial cesta ako pohnut bezpecnost dalej, nie sukromna korespodencia medzi adminom a clovekom co objavil dieru. a to tu este nastastie nemame rozbehnuty cloud computing ale to uz je ina kapitola. :o))
celkom dobre to vystihol Jozef Vyskoč – http://pocitace.sme.sk/c/5182048/co-odhalil-pripad-igigi.html a aj ked nesuhlasim uplne so vsetkym, v globale s nim suhlasim.
btw., to osetrenie formularu si si mohol urobit aj normalnejsie a aspon napisat, ktore polozky su required! neviem naco ti je moj mail, ale dal som ho potom z principu skutocny.
I.
#49 paranoiq: pravda, pravda. ved aj v insitnom umeni mame “SOL NAD ZLATO” :-). o koncepte nasej bezpecnosti postavenom na “probleme efektivneho algoritmu” a balastu okolo toho som ale v mojom komentary #44 nechcel polemizovat. nieco, malicko o tom viem aj ja. skor som narazal na to, ze aj ked sa aj v nasom regione verejne a zrozumitelne/a v tom najlepsom umysle/ o comsi hovori/a Cryptofest-y su dobrym prikladom/ a povie sa ludom ako veci okolo bezpecnosti riesit lepsie, tak aj po 5 rokoch narazis na az neuveritelnu laxnost/alebo ignoranciu?/ a to doslova v “masovom” nasadeni.
#43
Ani nie som script-kiddie (pouzivam len to, co si sam spravim+veci z repo) a mam raz tolko len tych, ktore uzivatelia nevypinaju. Ak si niekto stiahne aj niekolkomesacny exploit, tak podla mna najde aj 10k masin bez zaplaty. Staci sa len pozriet na Windows userov, ktori sa boja, ze sa im nainstaluje WGA, pricom antivir a firewall povazuju za zbytocnost.
#44
Na niektorych strankach pre par ludi sa to neoplati prerabat, ak je tam vynutene dlhe heslo a viditelne diery tam po niekolkych scanoch a rucnych kontrolach nie su.
#46
Je to velmi pravdepodobne.
#49
Solit niekedy nestaci (ak vie salt, moze bruteforcit na konkretne heslo, ako keby tam sol nebola). Preto aj tu niekedy pomoze security by obscurity: vlastny vymysel na ziskavanie soli/hashovanie. Uz len doplnit niekolko (nahodnych) znakov do osoleneho hashu na pozicie vypocitane pomocou username moze spravit z upraveneho posoleneho hashu prazdneho hesla (extrem) nieco neprelomitelne. Dobre sa niekomu bude utocit na SHA512, ked pouzivam SHA256. Podmienkou je, ze utocnik nesmie dostat pristup k zdrojakom.
lol… ešte hacknúť microsoft a je to :-)
chcel by som vediet, ci hackol uz nejaky portal, ktoremu si (resp. firma synopsi) robil bezpec. testy…
idete na to moc zlozito… igigi sedi na nejakom dolezitom uzle ako zamestnanec a sniffuje si do lava do prava :)).
Zoner nemá nic společného s antiviry. Zoner dělá grafické programy, registrátora domén a webhosting.
#56 Ola: http://www.zonerantivirus.com/
Dneska je igigiho stranka nedostupna, divne…, v archivu google je snimek z 9. leden 2010 20:59:44 GMT..
#54 – tak presne nad tymto som uvazoval aj ja ;)
Díky, moc pěkné a přístupně napsané shrnutí – jako člověk mimo obor jsem se dozvěděl nejen něco o igigim, ale i obecně o vektorech útoků atd., což je super :).
A jinak, asi bych v igigiho roli dělal to samé, až do veřejné ostudy se, podle toho co jsem četl, naprostá většina webmasterů omezí na výhrůžky, případně soukromé upozornění na díry ignoruje, a dotyční si tedy vybrali sami: pokud je tohle jediná cesta jak je přinutit starat se o bezpečnost, staniž se. Igigimu za tohle děkuju, a přeju mu ať ho nenajdou (jinak bude spravedlnost procesu závidět i středověkým “čarodějnicím”).
#57 cely baywords bol nedostupny
#44 oooo: Data mám z jednoho z jeho útoků. Omlouvám se, ale nechci více publikovat na veřejném fóru. Díky za pochopení.
Veľmi dobré čítanie, ale najzaujímavejšie na tom asi je, že podľa všetkého si Igigi svoje blogerské konto úplne zrušil … :-)
This user has elected to delete their account and the content is no longer available.
otazocka ohladom md5 a jeho rozkodovania. tak ma napadlo, nemaju nahodou 2 rovnake hesla rovnaky hash? ked su vo velkej databaze pouzivane rovnake hesla, tak nie je az taky problem uhadnut co najbeznejsie hash predstavuje: najpravdepodobnejsie 123456 atd. a ked k tym heslam priradime hash tak by nemal byt az taky problem rozkodovat dalsie hesla.
mozes sa k tomu vyjadrit? dik
#66 ondris: Samozrejme, že majú, veď na tom je celá tá technológia odtlačkov hesiel založená. Keby bol odtlačok vždy iný, ako by to server overil, či sa užívateľ prihlasuje pod svojim heslom alebo nie? Tu si to môžeš skúsiť: http://vault.tym.sk/scripts/dano-hash.php
Nejako tu nefunguje to číslovanie komentárov.
Nechápem prečo veľké (ale aj MALÉ!) portály nemenia spôsob hashovanie z MD5. Napríklad na SHA(MD5 + salt).
Zdravím, chcem len reagovať na časť textu, konkrétne o obchode Cocky-kontaktni-levne.cz. Pozrel som si v pamäti google (keďže blog igigiho už nefunguje) výpis z databázy tohto obchodu. Nejedná sa ani náhodou o prestashop. S prestashopom pracujem, ten má úplne inú štruktúru a názvy tabuliek. Jednotlivé tabuľky majú v danom obchode české názvy, už len preto to nemôže byť prestashop. Prestashop sa teraz len nachádza na danej stránke, pravdepodobne administrátor o útoku vedel, starý obchod odstránil a nahradil ho práve prestashopom kvôli bezpečnosti. Nebolo by rozumné to v článku upraviť aby sa tu nešírili bludy o tom že je prestashop deravý?
Mňa udivuje najmä to, že tých webov je tak veľa a že sú technicky natoľko rôznorodé. Myslím, že nie je možné za tak krátky čas vymyslieť toľko rôznych, inovatívnych spôsobov útoku a to ani keby sme pripustili, že útoky v skutočnosti prebiehali nejaký ten mesiac-dva skôr a nie iba posledných pár týždňov.
Preto si myslím, že igigi použil len jeden spôsob a treba si klásť otázku, čo majú všetky tie weby spoločné. Problémom je, že na prvý pohľad sa zdá, že nemajú spoločné takmer nič a preto sa domnievam, že všetky doteraz formulované hypotézy o používaní “neznámej chyby v MySQL” alebo o “SQL injection” sú úplne mimo.
Moja hypotéza je, že šiel na to z úplne iného konca, než si všetci myslíme – napríklad že zneužil dôverčivosť adminov, ktorých použitím vhodnej techniky “sociálneho inžinierstva” naviedol na inštaláciu trojana. Alebo že sa mu podarilo naimplementovať trojana do nejakého programu, ktorý admini alebo dokonca väčšina používateľov bežne používajú, napr. QIP, Total Commander, Putty alebo hocičo podobné.
Ak pripustíme, že môže ísť o niekoho, kto disponuje doteraz neidentifikovanou sieťou trojanov resp. bot-ov, ktorá bola cielene rozdistribuovaná, otvárajú sa nám veľmi široké možnosti uvažovania o možných spôsobov útoku, ktoré nakoniec ani nemuseli byť robené z vonku, ale možno aj z vnútra, využitím takto získaných informácií.
#70 Dan: dakujem za upozornenie, pozeral som na to a mas pravdu. upravim povodny text.
#68 Danoboss: to je tym pluginom, musim najst nejaku normalnu nahradu, lebo toto je vazne katastrofa.
#71 Matej Ondrusek: nie je to nemozne, ale je to nepravdepodobne. ozvali sa mi dve dotknute spolocnosti s ktorymi postupne riesime tieto utoky a pri jednom viem celkom dobre popisat cestu ako sa dostal dnu, u druheho ciastocne. takze tato teoria asi nebude tou spravnou, ale ako hovorim, nic nie je nemozne
Dobry den Rasto,
pekne ste to zosumarizovali, konecne nieco odborne, nie len bulvarne hluposti co urazaju inteligenciu.
Pekny vecer,
Martin Kohut
Super clanok, zhrnute vsetko co sa okolo toho stalo. A pridany aj odborny pohlad
#71 oooo: Je ale otázne, či tá “popísaná cesta” bola prvotným a jediným spôsobom prieniku, alebo šlo už len o spôsob “skopírovania dát” či dokonca “zahladzovania stôp” robený až na základe znalosti vnútorného riešenia webu, získanej iným spôsobom.
Podľa mňa, nabúrať 21 rôznych webov za jeden mesiac je jednoducho nad ľudské sily. Aj na rok by to bola riadna fuška. Preto by sa mal hľadať taký spôsob, ktorý mohol byť univerzálne použitý, myslím si.
#75 Matej Ondrusek: ako som napisal, u jedneho pripadu to viem povedat dost urcito. Predsalen, technologie maju svoje obmedzenia a neexistuje nekonecne mnozstvo moznosti. je dost pravdepodobne, ze niektore z webov mal uz dlhsie a len ich dumpol par dni pred uverejnenim, u inych sa urcite da zmapovat cesta ako sa dostal dnu.
nechapem preco by to malo byt na ludske sily, ktovie ako dlho su tam tie chyby a ako dlho ich zneuzival, za to ze nieco pastoval do blogu nemusi ist o chronologicke poradie a uz vobec nemusi ist o presne datumy….
vyborny clanok, synopsi, vyborny igigi, tvoj lnk mam davnjesie ako first security favorit, len tak dalej
vyborny clanok!
ja len este doplnim, ze dnes som si menil heslo na profesii a nasledne na to mi prislo mailom, cize je viac ako velky predpoklad ze ich maju v databaze nezahashovane…
a teraz si predstavme situaciu, ze sa niekomu(napr. igigimu) podari preniknut dnu…
uzivatelov je tam dost, maju tam vsetky mozne osobne udaje- cele zivotopisy, k tomu vstekemu este pravdepodobne aj nezahashovane hesla ako ceresnicka na torte…
myslim ze podobnych “janosikov” ako igigi by mohlo a malo byt rozhodne viac :) a minimalne grey hat pristup hackera si dnesna doba vyzaduje.
Matej Ondrusek: nie je urcite tajomstvom, ze vacsina spolocnsoti co robi weby na bezpecnost kasle a tak isto klienti chcu radsej lacny ako bezpecny web. to je realita, v ktorej netreba nadludske schopnosti, botnety, trojany, phising…
koniec koncov hackeri uz bez problemu lamu zahashovane hesla a niektore spolocnosti nedospeli este ani do stadia uvazovania nad tym, ze by hesla vobec zacali hashovat :))
#78 peter.walki: To že ti príde heslo pri registrácii je celkom časté aj u hashovaných systémov, či je zahashované si overíš, tak že dáš “zabudol som heslo” a ak ti pošlú na mail pôvodné, tak nehashujú, ak nové, tak pravdepodobne áno.
AD informacie o tabulkach a tak podobne… vsetky verzie MySQL ak nie su osetrene uzivatelske prava, tak maju pristup k databaze “information_schema” a tabulke “TABLES” ktora obsahuje aj informacie o vsetkych tabulkach a databazach, ktore na danom mysql bezia… takze asi tolko. tym padom je pekne vidiet vsetky rozne data, ktore sa daju stahovat. Rovnako tak tato databaza obsahuje aj informacie o typoch tabuliek, ci su dynamicke, staticke a pod. takze az taky problem to nie je… ak si date vyhladavat napr. sql injecty, najdete miliony roznych stranok, kde su miliony navodov ako cez rozne inputy sa da vydolovat aj data…. skuste si do googlu dat napr. “concat() username” kolko vysledkov dostanete
#81 Informator: nemas pravdu, aspon nie v prvom tvrdeni. nie vsetky verzie mysql, len vsetky od verzie 5. inak zvysok sedi
Fakt je ten, že když jsem to proběhl, co se mu všechno povedlo získat, tak mě jako první napadlo zneužití “strojového času”. Tedy za předpokladu, že dokázal najít nějaký úsek mezi zadáním dat a jeho zpracováním, při kterém dochází k situaci, která umožňuje tyto data získat v nechráněné podobě, včetně dat, které s tím nesouvisí. Musel by najít nestandartní situaci, se kterou nikdy nikdo nepočítal. Nemám to ničím podloženo a pravděpodobně to je mimo…. ale docela by mě zajímalo, jak jsou na tom někteří lidé daleko ve svých poznatcích. Protože na sw se zaměžuje dost lidí, ale hw má taky svoje chyby včetně CPU.
Ale chtěl jsem něco napsat k pohnutkám. Nemám to ničím podepřeno, ale podle mě tento odborník si v praxi chtěl zjistit co dokáže všechno a touha se nepodělit o takové úspěchy musí být ohromná, no a pak možná už jen pozoroval reakce…. Jinak si ani celkem nemyslím, že to dělala skupina více lidí, protože víc lidí dělá více chyb a čím víc lidí tím větší riziko a tím více svědků :-D
tuto diskusiu nezablokuju alebo nevymazu, po case sa urcite spolocne pride na to ako na ten hlupy md5 :D
velmi pekny clanok :)
dnes nadranom podla slov jedneho z operatorov padla celoslovenska siet orange-u. sluzby nefunguju uz od od noci, pracuje sa no odstraneni. 3. feb. 2010 – 8:26
Co sa tyka toho md5, tak Vlastimil Klima uz davnejsie uverejnil nejaku pracu, kde dokazal pomocou tunelov v md5 najst kolizie za velmi kratky cas – dokonca okolo 17 sekund :-): http://cryptography.hyperlink.cz/2006/tunely.pdf
Vyborny clanek, diky!
#42 without_name: Najlepší slovník je reálny slovník. Mal kompletnú databázu z rockyou, vyhodil opakujúce sa heslá, čo bolo pri prvých miestach aj tisíce opakovaní(desiatky tisíc ak sa dobre pamätám). Z 36 miliónov hesiel sa mu to skresalo na …. hmmm…. 5 miliónov napríklad. A to na GPU podľa autora tohoto článku zrátate do sekundy – ak teda stihnete z disku prečítať 100MB plaintextu a uložiť ich do pamäte. A podobnosť medzinárodného webu a slovenského na úrovni 92% (najme pri opakovaní sa najbežnejších hesiel) je viac než uveriteľná.
Čo sa týka solenia hesiel – veľmi vhodné je napríklad ukladať do databáz md5(meno+heslo). Takže každý login má iný salt, a teda akékoľvek slovníkové útoky sú na dve veci. A k dokonalosti sa to blíži v okamihu, kedy užívateľ posiela cez internet prihlásenie v tvare md5(sessionid+md5(meno+heslo)). Takže ani počúvaním na linke nič nezískate.
Bezpečnosť nie je stav, ale proces. Dnes bezpečná stránka (aj keď neexistuje) bude zajtra na smiech. A pozajtra si z jej hesiel budú deti robiť srandu.
Ohledne toho crackovani MD5 by to ukazovalo na to, ze igigi ma asi slusny botnet :)
Je hlúpe ako hovoríš, že ak by nemal blog a neuverejňoval by svoje počiny bol by aj tak slávny. Predstav si inú situáciu. Pokec povie:
Napadol nás hacker, došlo k úniku, už sme to napravili.
Ak by sa to aj stalo na viacerých stránkach, nikdy by nikoho nenapadlo, že sa jedná o jedného človeka, nebola by známa jeho prezývka… atď… Preto sa mi to zdá hlúpe…
A ja si osobne myslím, že to robí kvôli egu a virtuálnej publicite…
A tiež si myslím, že ho nevystopujú. Stačí, že má verejnú IP.
Najlepší článok aký som za VEĽMI dlhú dobu čítal ..! Myslím že obsahovo zaujímavejší blog ako je blog.synapsi.com som za roky surfingu nenašiel. EriM
Pre mňa však zostáva aj naďalej záhadou, ako získal 15 miestne heslá zložené z malých, či veľkých písmen a čísel.
Ani toto nieje velmi narocne ovsem pyta si to obrovske mnozstvo casu. Nemusis stiahnut tabulku s kombinaciami plan/text a md5. Urobis si nejakeho bota (najskor v pythone, ale moze byt aj v kompilovanom jazyku napr. c++ tym to nebude take narocne na cas) urobi si v nom cyklus ten bude generovat kombinatorikou postupne plain/text a zakazdim ho hodi do md5 a skontroluje ci sa nerovna tomu co hladal a hned to zahodi. Je to ovsem velmi narocne na cas, ale nezabera to ziadne miesto (okrem potrebnej cache pre program, ktora potom zanikne).
@Pip.o: no ano, vola sa to brute force (utok hrubou silou). pri 15 miestnej kombinacii cisel a pismen je to na niekolko rokov ;)
super článok………aleeee podla mna pracuje igigi v skupine lebo neraz ….mozno ste videli nektory ze zautocil igigi a hned nato dalsi…..nechapem to celkom ale dava to rozum nie?….ale to nevie nikto na isto …..daukujem
dobrý članok…. nevieťe ako sa sným človek spojí… potrebujem pomôcť s iním hackerom co si hovorí Nitro , a pokecom… som ozaj zufalý ak si to čítas prosím ozvy sa…. Dakujem
Naozaj nádherne spracovaný článok. Nevyhol som sa opakovanému čítaniu a to nie z dôvodu, žeby som tomu nerozumel, ale jednoducho som si to chcel opäť vychutnať :)
Môj obdiv určite má, nie som hacker, práve naopak, som na opačnej strane barikády, kde sa snažím predchádzať podobným útokom na svojich weboch. Tým, ktorí ho za to nenávidia chcem iba odkázať, že radšej 10 takých ako je igigi, ktorý na chyby upozorní, ako jedného, ktorý vám narobí na webe doslova paseku, ak vám z neho vôbec niečo zostane. Osobne považujem za veľmi slušné upozorniť na prienik vlastníka webu tak, ako sa to stalo aj mne a za čo som ochotne útočníkovi aj poďakoval. Takto vznikol podivný vzťah, kde ja som sa pár dní bránil a on útočil. Vďaka tomu som sa v tejto oblasti mohol posunúť ďalej.
Azet si zverejnenie informácií zaslúžil za svoju aroganciu a urobil by som to isté, aby som ich ego verejne popravil.
Aj pre mňa zostáva veľkou záhadou, ako to všetko dokázal a rád by som sa o ňom v budúcnosti ešte dočítal.