עבור לתוכן

חשוב!!!! האקרים טורקים השיגו עשרות אלפי ססמא&#

על-ידי Klayhamn
ב אקטואליה ותרבות

Featured Replies

פורסם

עדכון:

מעתה תוכלו לבדוק אם המייל שלכם נמצא ברשימת הפרוצים (שידועה לנו, לפחות) בקלות יחסית:

http://designer.co.il/782/

יש לי אולי 50 מיילים(בהגזמה) אז אני לא יודע איזה מהם לבדוק :silly:

  • ציטוט
    • תגובות 41
    • צפיות 5.4k
    • נוצר
    • תגובה אחרונה
    פורסם

    נשמע לי כמו קנוניה להגדיל רשימות מיילים של חברות ספאם :smile1:

  • ציטוט
    • פורסם

    יש למישהו פרטים לגבי איך הם בכלל השיגו את הסיסמאות? הרי הסיסמאות במאגר לא מאוחסנות סתם כך, אלא מוצפנות [MD5 או כל שיטת הצפנה אחרת] ולכן נראה לי לא הגיוני שהם השיגו מאגר נתונים ובזה נגמר הסיפור..

  • ציטוט
    • פורסם

    מי אמר שהסיסמאות בהכרח מוצפנות? בהחלט ייתכן שמי שכתב את האתר חשב לעצמו "נו, מה הסיכוי שמישהו יפרוץ ויצליח לגנוב את הסיסמאות?"

  • ציטוט
    • פורסם

    יש למישהו פרטים לגבי איך הם בכלל השיגו את הסיסמאות? הרי הסיסמאות במאגר לא מאוחסנות סתם כך, אלא מוצפנות [MD5 או כל שיטת הצפנה אחרת] ולכן נראה לי לא הגיוני שהם השיגו מאגר נתונים ובזה נגמר הסיפור..

    הרבה אתרים נבנים באמצעות חאפרים.

    ובאתרים כאלה הסיסמאות לא בדיוק מוצפנות, או מוצפנות בצורה חד-חד-ערכית אשר מאפשרת מציאת הסיסמא.

    בדרך כלל באתר כזה כאשר תבקש לבצע שחזור סיסמא, הסיסמא תישלח לך לאימייל ולא תיוצר לך סיסמא חדשה. אומנם זה רק אחד הסימפטומים לזהות אתר כזה, אבל זה סימפטום די נפוץ.

    ברגע שמזהים סיסמא שנשלחת בשחזור, הם ינסו לנסות להשיג את הבסיס נתונים וכל הסיסמאות בשיטות שונות.

  • ציטוט
    • פורסם

    ^^^

    בדיוק

    זאת גם לא בדיוק הפעם הראשונה שמשהו כזה קורה

  • ציטוט
    • פורסם

    נשמע לי כמו קנוניה להגדיל רשימות מיילים של חברות ספאם :smile1:

    אני מכיר אישית את מי שיצר את הכלי הזה ואין שום סיכוי שבעולם שהוא עושה משהו עם המיילים האלה.

    זה באמת כלי שנוצר (דקות לאחר שהרשימה התפרסמה אגב) בשביל לעזור לאנשים לבדוק האם המייל שלהם ברשימות, מתוך רצון טוב.

    בנוסף ככל שמתפרסמות רשימות נוספות - הוא מעדכן את המאגר, אז גם אם חיפשתם אתמול - שווה לחפש שוב היום.

  • ציטוט
    • פורסם

    זה מאוד עצוב אם זה המצב..

  • ציטוט
    • פורסם

    אני מכיר אישית את מי שיצר את הכלי הזה ואין שום סיכוי שבעולם שהוא עושה משהו עם המיילים האלה.

    זה באמת כלי שנוצר (דקות לאחר שהרשימה התפרסמה אגב) בשביל לעזור לאנשים לבדוק האם המייל שלהם ברשימות, מתוך רצון טוב.

    בנוסף ככל שמתפרסמות רשימות נוספות - הוא מעדכן את המאגר, אז גם אם חיפשתם אתמול - שווה לחפש שוב היום.

    סומך עליך.

  • ציטוט
    • פורסם

    יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

    אם כן, איך הצליחו לשלוף אלפי סיסמאות מהומלס?

    ואם לא, מישהו מוכן בבקשה להסביר לי את העניין?

  • ציטוט
    • פורסם

    יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

    אם כן, איך הצליחו לשלוף אלפי סיסמאות מהומלס?

    ואם לא, מישהו מוכן בבקשה להסביר לי את העניין?

    כן כל מערכת של אתר שעובדת עם database כמו sql וחבריו מקודדת את הסיסמא

    למשל הצפנה של MD5

    http://www.asp.org.il/article/%D7%94%D7%A6%D7%A4%D7%A0%D7%AA-%D7%A0%D7%AA%D7%95%D7%A0%D7%99%D7%9D-%D7%91%D7%A9%D7%99%D7%98%D7%AA-MD5

    פשוט מאוד הטורקים ישבו אחרי שהם הצליחו לפרוץ את ההגנה של המערכת באתר עצמו הורידו את כל המאגר נתונים שבעצם מכיל סיסמאות, משתמשים וכו'

    והחלו להריץ על זה תוכנות שאין לי מושג מה הן עד שפענחו את ההצפנה וגילו את כל הסיסמאות

    בדומה למה RAZOR וחבריו עושים כדי לבנות keygun למשחקים

  • ציטוט
    • פורסם

    יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

    כמו שאמרנו קודם - זה שאמורים לעשות את זה לא אומר שבאמת עושים את זה.

  • ציטוט
    • פורסם

    אכן. יש הרבה מאוד אתרים (בעיקר ישראלים) שברגע שאתה עושה "שחזור סיסמה" פשוט שולחים לך את הסיסמה הנוכחית למייל.

    המשמעות היא שהסיסמה שמורה ללא הצפנה.

    אני מניח שזה בדיוק מה שקרה בהומלס, פיצה האט וכו'.

  • ציטוט
    • פורסם

    הרבה אתרים נבנים באמצעות חאפרים.

    ובאתרים כאלה הסיסמאות לא בדיוק מוצפנות, או מוצפנות בצורה חד-חד-ערכית אשר מאפשרת מציאת הסיסמא.

    בדרך כלל באתר כזה כאשר תבקש לבצע שחזור סיסמא, הסיסמא תישלח לך לאימייל ולא תיוצר לך סיסמא חדשה. אומנם זה רק אחד הסימפטומים לזהות אתר כזה, אבל זה סימפטום די נפוץ.

    ברגע שמזהים סיסמא שנשלחת בשחזור, הם ינסו לנסות להשיג את הבסיס נתונים וכל הסיסמאות בשיטות שונות.

    האש קריפטוגרפי לעולם לא יהיה חד-חד ערכי. למעשה, אין דרך פרקטית למצוא פונקציה הפיכה לפונקציית האש, ובפרט md5 הנפוצה. אני מניח שהתכוונת ליכולת להריץ שאילתות על טבלאות rainbow (יש עוד שיטות) וככה למצוא את הסיסמה מתוך ההצפנה, אך חשוב לציין שלא מדובר בפונקציה הפיכה, אלא בטבלאות שנבנו בתהליך ארוך של ניסיון לשקלל את כל מרחב הסיסמאות.

    מה שהיום קל ונפוץ לעשות הוא לבצע המלחה (salting) של כמות ביטים מסויימת לסיסמה, ואז לבצע את ההצפנה, לרוב md5. בשיטה זו הכלים לעיל הופכים לחסרי תועלת באופן תיאורטי. באופן פרקטי -אולי- אפשר להוציא גם אז חלקיק של אחוז מהסיסמאות.

    בכל מקרה, די ברור שהחברות כאן פשוט לא ביצעו שום צורה של הצפנה, בנוסף על העובדה שהם היו חשופים מספיק על מנת שיוכלו לשלוף את מאגר המשתמשים והסיסמאות. פשוט מחדל וביזיון.

  • ציטוט

    • ארכיון

    דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

    עבור לרשימת הדיונים

    דיונים חדשים