Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Tanel
HV Guru
liitunud: 01.10.2001
|
07.06.2012 05:18:44
LinkedIn keskkonna kasutajate andmed on väidetavalt pihta pandud |
|
|
link :: minut.ee
Ühe Venemaa päritolu foorumi kasutaja väidab, et on suutnud sisse muukida IT FaceBooki, ehk LinkedIn'i ning pihta pannud 6,5 miljoni kasutaja kontode andmed. Tõestuseks on usin kräkker üles riputanud 6458020 parooli SHA-1 räsi, kuid ilma kasutajanimedeta.
Nii mõnedki tuntud kodanikud on tunnistanud, et kontrollides on nende paroolidele vastavad kontrollvõtmed nimekirjast leitavad olnud. Keskkonna haldajad pole asja üles tunnistanud, vaid "uurivad olukorda". Samas suurem osa kasutajaskonda juba käib usinalt paroole vahetamas, tagades sellega märgatava külastuse ja miks mitte ka reklaamitulude kasvu.
EDIT: LinkedIn tunnistab häkkimist -> http://www.theverge.com/2012/6/6/3068652/linkedin-member-passwords-stolen
tsitaat: |
We want to provide you with an update on this morning’s reports of stolen passwords. We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts. We are continuing to investigate this situation and here is what we are pursuing as far as next steps for the compromised accounts:
1. Members that have accounts associated with the compromised passwords will notice that their LinkedIn account password is no longer valid.
2. These members will also receive an email from LinkedIn with instructions on how to reset their passwords. There will not be any links in these emails. For security reasons, you should never change your password on any website by following a link in an email.
3. These affected members will receive a second email from our Customer Support team providing a bit more context on this situation and why they are being asked to change their passwords.
It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases. We sincerely apologize for the inconvenience this has caused our members. We take the security of our members very seriously, if you haven’t read it already it is worth checking out my earlier blog post today about updating your password other account security best practices. |
Loe ka: http://blog.linkedin.com/2012/06/06/updating-your-password-on-linkedin-and-other-account-security-best-practices/
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Veiks96
HV vaatleja
liitunud: 09.05.2010
|
07.06.2012 09:36:50
|
|
|
Endal kasutajat pole, aga kirjutasin sinna http://www.leakedin.org lehele sisse "qwerty" ja teatati et konto on häkitud samuti on häkitud paroolid "America","BIGDOG" ja "HOTDOG"
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
limp
HV Guru
liitunud: 11.08.2003
|
07.06.2012 09:39:02
|
|
|
Veiks96 kirjutas: |
Endal kasutajat pole, aga kirjutasin sinna http://www.leakedin.org lehele sisse "qwerty" ja teatati et konto on häkitud samuti on häkitud paroolid "America","BIGDOG" ja "HOTDOG" |
kalakala, testtest jne
_________________ Ärgake lapsed, maailm on hädaohus
Windows keskkond on nagu li*s - kõik teda ke*ivad aga keegi teda ei armasta! |
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
inc
HV veteran
liitunud: 18.04.2004
|
07.06.2012 10:16:46
|
|
|
limp kirjutas: |
Veiks96 kirjutas: |
Endal kasutajat pole, aga kirjutasin sinna http://www.leakedin.org lehele sisse "qwerty" ja teatati et konto on häkitud samuti on häkitud paroolid "America","BIGDOG" ja "HOTDOG" |
kalakala, testtest jne |
123456 ka, kes oleks seda suutnud uskuda
|
|
Kommentaarid: 65 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
62 |
|
tagasi üles |
|
|
soovija
Kreisi kasutaja
liitunud: 26.12.2004
|
07.06.2012 20:24:27
|
|
|
Parool: password
Your password was leaked and cracked. Sorry, friend.
Njah, inimesed ikka võivad üllatada
|
|
Kommentaarid: 96 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
4 :: |
82 |
|
tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
11.06.2012 18:01:27
|
|
|
http://www.net-security.org/article.php?id=1727
Pikk ja huvitav artikkel tolle hashide faili uurimisest. Järeldus on, et kui password on ligilähedaseltki sarnane inimkeelele on seda suht-koht lihtne ära arvata. Näiteks suutis rakendus leida hashile vastava passwordi "m0c.nideknil" ning "lsw4linkedin"
Kõiksugu serverimanageerijatele aga taas hingele vaja panna, et kõik räsid peaks korralikult sisse soolama. Sellega muudaks ka passwordi räside lekkimise korral nendest reaalsete passwordide leidmise üüratult palju raskemaks.
_________________ Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
11.06.2012 18:35:42
|
|
|
Ho Ho kirjutas: |
Kõiksugu serverimanageerijatele aga taas hingele vaja panna, et kõik räsid peaks korralikult sisse soolama. Sellega muudaks ka passwordi räside lekkimise korral nendest reaalsete passwordide leidmise üüratult palju raskemaks. |
F-Secure arutleb samal teemal, kuid lisab ka juurde, et ainult soolamisest ei pruugi piisata. Kui saadakse süsteemi sisse, siis on enamasti ka sool sealsamast võtta, arvutid (ja graafikakaardid) on aga nii kiireks läinud, et tervest sõnastikust soolatud räside arvutamine ei võtagi enam nii palju aega. Omapoolse lahendusena pakutakse paremate räsimisalgoritmide kasutamist.
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
neros
HV Guru
liitunud: 26.11.2003
|
12.06.2012 13:10:55
|
|
|
Sha512(UserUUID + Password + Decrypt(EncryptedUserSalt) + Global Salt)
Probleem?
_________________ GitHub
.NET Core & Azure baasil lahendused ja arhitektuur - kontakt. |
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
40 |
|
tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
12.06.2012 13:22:04
|
|
|
madedog kirjutas: |
Probleem? |
Yep.
SHA eri vormid on üles ehitatud olema lihtsalt arvutatavad. Säärased asjad tuleks krüptida confitava arvutusvõimsusega algoritmidega, mida ei ole võimalik kümnete miljonite kaupa sekundis GPU peal genereerida
_________________ Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
tagasi üles |
|
|
neros
HV Guru
liitunud: 26.11.2003
|
12.06.2012 18:39:25
|
|
|
UserUUID = midagi mis on andmebaasis, plaintext kujul, iga kasutaja jaoks unikaalne, nagu GUID.
Password = mis kasutaja sisestab (ehk parool, HERPDERP!)
EncryptedUserSalt = krüpteeritud kujul pikk, unikaalne kasutaja kohta käiv juhuslikult genereeritud, sool. Decryptida oskab ainult rakendus mingi sisemise võtmega/private keyga/millega iganes.
Global Salt = globaalne sool mis otsa topitakse hashidele.
Võib ka Sha512(Sha512(UUID + Password) + Decrypt(EncryptedUserSalt) + WHIRLPOOL(Password + GlobalSalt))
Sellist hashi on võimalik lõpmatult pikaks ajada, aga point ongi selles, et niimoodi ära soolatud hashi rainbowga lahti murda ei ole võimalik. Kui koodile ei saa ligi, siis ei tea ka millist algoritmi kasutatud on. Lisaks on võimalik sisse torgata veel üks sool, näiteks failisüsteemis olevast konfist mis a la iga korraga sisse loetakse ja dispositakse peale hashi leidmist.
Endless possibilities.
_________________ GitHub
.NET Core & Azure baasil lahendused ja arhitektuur - kontakt. |
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
40 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
12.06.2012 19:27:02
|
|
|
madedog kirjutas: |
..niimoodi ära soolatud hashi rainbowga lahti murda ei ole võimalik |
Polnudki ju juttu vikerkaaretabelite abil soolatud paroolide murdmisest, vaid ikkagi sellest et masinad on muutunud nii kiireks et soola ja algoritmi teadmisel (aga mõlemad saab kätte samast lahtimurtud süsteemist) lammutab sõnastiku ja GPU abil selliselt krüptitud paroole juba täiesti mõistliku ajaga. Loota et ise kokkukombineeritud täiendavad mudimised murdjale saladuseks jääks, on natuke naiivne, aga kaudselt oled sa juba sellel teel mida tegelikult soovitatigi - tuleks kasutada suurema arvutusvajadusega algoritme. Omaette küsimuseks jääb see, kas neid algoritme peaks hakkama ise üksikutest tükkidest kokku panema (nagu sina üritad) või võtta kohe kuskilt teegist mõni vastav.
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
neros
HV Guru
liitunud: 26.11.2003
|
12.06.2012 19:57:05
|
|
|
Mõtle natuke palun. Point on selles, et sul oleks mitmekihiline kaitse.
1 kiht - andmebaas. Okei, keegi saab ligi ja teeb Users tabelist koopia. Tal on nüüd: Hashitud salasõnad, emailid, kasutajanimed, UUID, krüptitud (iga kasutaja jaoks unikaalselt) sool. Tal on puudu globaalne sool, krüptivõti ning viis kuidas see hash arvutatakse tegelikkuses. Eeldusel, et global salt ja decrypted user salt piisavalt pikad (kasvõi suvalise 255 baidi näol), kaua kuluks, et see lahti murda? Hmm, paar... universumiajastut vist.
2 kiht - programm ise. Isegi kui sul on olemas source, sul on ikka vaja globaalset salti (mis küsitakse näiteks suvalisest kohast failisüsteemis kuhu on lubatud sissepääs ainult kohalikul kasutajal kellena on rakendus käivitatud). Jällegi, oletades et see on piisavalt pikk ja keeruline, et bruteforce võtaks paartuhat aastat kauem aega kui füüsiliselt masina üles otsimine ja selle faili leidmine.
3 kiht - see fail kus on mingi süsteemisool sees. Okei, keegi saab füüsiliselt ligi ja saab kogu kupatuse enda kätte. Aga näeks seda ette ja lisaks veel neljanda kihi - võtame algoritmi peaprogrammist välja ja paneme hoopis suvalise teenuse sisse mis teisel pool maakera asub - isegi kui sortsust tuleb välja kuidas selle teenusega ühendust saab, on seal ikka IP blokid ja muud asjad peal, et ainult üks masin suudaks teenust kasutada - ja ehk isegi ainult teatud arv kordi tunnis sarnaste andmetega.
Nagu ma ütlesin, võimalusi on lõpmatult*. Tuleb ainult pea lahti teha ja mõelda kaugemale kui "mis tarvis ikka keerulisi algoritme teha, nagunii murtakse lahti".
Kui hooletu olla, murtakse jah lahti. Kui kaval olla, võib selle niivõrd keeruliseks teha, et huvilistel kaob lihtsalt huvi ära.
*siin kohal tähendab seda, et neid võimalusi ei aruta foorumipostis läbi)
_________________ GitHub
.NET Core & Azure baasil lahendused ja arhitektuur - kontakt. |
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
40 |
|
tagasi üles |
|
|
ThedEviL
HV Guru
liitunud: 13.03.2003
|
12.06.2012 20:06:56
|
|
|
Kuradi hea mõte vendadel...
Õnnestub kätte saada kasutajate nimekiri.... Mitte paroole
Riputame ülesse 6 miljonit random fraasi hashi.
Tekitame müüdi, et nüüd on paroolid häkitud.
Tekitame lehe, kus saad kontrollida kas su parool on häkitud.
Salvestame nüüd kõik need katsetatud paroolid.
Seega oleme vähendanud brute force aja mõnele sekundile kuna nüüd on vaja paroolide häkkimiseks vaja kasutada dictionary attack'i kus on healjuhul lõpuks miljoni jagu fraase. Kui sedagi.
VOT TAK
|
|
Kommentaarid: 108 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
97 |
|
tagasi üles |
|
|
Ho Ho
HV Guru
liitunud: 16.02.2002
|
12.06.2012 22:14:54
|
|
|
madedog kirjutas: |
1 kiht - andmebaas. Okei, keegi saab ligi ja teeb Users tabelist koopia. Tal on nüüd: Hashitud salasõnad, emailid, kasutajanimed, UUID, krüptitud (iga kasutaja jaoks unikaalselt) sool. Tal on puudu globaalne sool, krüptivõti ning viis kuidas see hash arvutatakse tegelikkuses. Eeldusel, et global salt ja decrypted user salt piisavalt pikad (kasvõi suvalise 255 baidi näol), kaua kuluks, et see lahti murda? Hmm, paar... universumiajastut vist. |
Kui on ligipääs süsteemile, et sel tasemel andmeid kopeerida pole mingi probleem ka too globaalne sool, krüptovõti ega ka hashi arvutusviis selgeks teha/maha kopeerida. Punkt #3 vastu piisab lihtsalt sellest, kui kurikaelad endale teadaoleva andmehulga sinna teenusele ette söödavad ning seejärel tagastatud tulemust veidi analüüsivad.
Nagu seal F-Secure artiklis öeldi tuleks turvasüsteemid üles ehitada eeldusega, et kurikaeltel on ligipääs nii kõigile andmetele kui täielikule programmi koodile.
_________________ Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity" |
|
Kommentaarid: 106 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
86 |
|
tagasi üles |
|
|
neros
HV Guru
liitunud: 26.11.2003
|
12.06.2012 23:21:51
|
|
|
Oleks pidanud spetsiiflisem olema, et lisa hashid asuvad teenusega samas. Ette söödetakse ainult UUID, krüptitud kasutajasool (igasugune krüptimine toimub teenuses, kasvõi public-key infrastructure peal, privaatvõti on teenuses, et saaks ka rakenduses krüptida ühtpidi aga mitte teist). Teenusel on endal kõik muud andmed, jällegi, milles probleem? Muidugi nüüdseks oleme süsteemi niivõrd keeruliseks ajanud, et maintainimine võib omajagu aega võtta. Samahästi võiks igal programmi käivituskorral olla tarvis mingit digitaalsignatuuri millega tehakse rakenduse võtmed lahti (näiteks ID-kaardil põhinev krüpto) ja igasugused võtmed on programmile kättesaadavad ainult käivituse ajal ning ainult ühel persoonil on võimalik rakendust käivitada. Kas see on ka seda väärt?
Ja kui turvasüsteemid tuleks samal põhimõttel ehitada (jättes välja pakutud"ID-Kaardi krüpto"), et "kurikaeltel on kõigele ligipääs" siis miks mitte lihtsalt md5+"myrandomsalt"ina salvestada? Nagunii võtaks "lahtimurdmine" ainult paar tundi.
Ehk siis... thanks but no thanks.
_________________ GitHub
.NET Core & Azure baasil lahendused ja arhitektuur - kontakt. |
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
40 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
13.06.2012 07:54:20
|
|
|
siiamaani ei saa aru, miks ei sobi see eelnevalt välja pakutud suht lihtne variant - rohkem arvutusvõimsust nõudvad räsimisalgoritmid, vaid selle asemel üritatakse meeleheitlikult jalgratta varuosadest kosmosesüstikut kokku konstrueerida.
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
|