חשוב!!!! האקרים טורקים השיגו עשרות אלפי ססמא&#

[klayton]

עדכון:

מעתה תוכלו לבדוק אם המייל שלכם נמצא ברשימת הפרוצים (שידועה לנו, לפחות) בקלות יחסית:

http://designer.co.il/782/

יש לי אולי 50 מיילים(בהגזמה) אז אני לא יודע איזה מהם לבדוק

[ariebel]

נשמע לי כמו קנוניה להגדיל רשימות מיילים של חברות ספאם

[infer73]

גם האתר של פיצה האט נפרץ:

http://tech.walla.co.il/?w=/4007/1709791

[GetRich]

יש למישהו פרטים לגבי איך הם בכלל השיגו את הסיסמאות? הרי הסיסמאות במאגר לא מאוחסנות סתם כך, אלא מוצפנות [MD5 או כל שיטת הצפנה אחרת] ולכן נראה לי לא הגיוני שהם השיגו מאגר נתונים ובזה נגמר הסיפור..

[שניצל]

מי אמר שהסיסמאות בהכרח מוצפנות? בהחלט ייתכן שמי שכתב את האתר חשב לעצמו "נו, מה הסיכוי שמישהו יפרוץ ויצליח לגנוב את הסיסמאות?"

[ירח אפל]

יש למישהו פרטים לגבי איך הם בכלל השיגו את הסיסמאות? הרי הסיסמאות במאגר לא מאוחסנות סתם כך, אלא מוצפנות [MD5 או כל שיטת הצפנה אחרת] ולכן נראה לי לא הגיוני שהם השיגו מאגר נתונים ובזה נגמר הסיפור..

הרבה אתרים נבנים באמצעות חאפרים.

ובאתרים כאלה הסיסמאות לא בדיוק מוצפנות, או מוצפנות בצורה חד-חד-ערכית אשר מאפשרת מציאת הסיסמא.

בדרך כלל באתר כזה כאשר תבקש לבצע שחזור סיסמא, הסיסמא תישלח לך לאימייל ולא תיוצר לך סיסמא חדשה. אומנם זה רק אחד הסימפטומים לזהות אתר כזה, אבל זה סימפטום די נפוץ.

ברגע שמזהים סיסמא שנשלחת בשחזור, הם ינסו לנסות להשיג את הבסיס נתונים וכל הסיסמאות בשיטות שונות.

[infer73]

^^^

בדיוק

זאת גם לא בדיוק הפעם הראשונה שמשהו כזה קורה

[Kidney_stonE]

נשמע לי כמו קנוניה להגדיל רשימות מיילים של חברות ספאם

אני מכיר אישית את מי שיצר את הכלי הזה ואין שום סיכוי שבעולם שהוא עושה משהו עם המיילים האלה.

זה באמת כלי שנוצר (דקות לאחר שהרשימה התפרסמה אגב) בשביל לעזור לאנשים לבדוק האם המייל שלהם ברשימות, מתוך רצון טוב.

בנוסף ככל שמתפרסמות רשימות נוספות - הוא מעדכן את המאגר, אז גם אם חיפשתם אתמול - שווה לחפש שוב היום.

[GetRich]

זה מאוד עצוב אם זה המצב..

[ariebel]

אני מכיר אישית את מי שיצר את הכלי הזה ואין שום סיכוי שבעולם שהוא עושה משהו עם המיילים האלה.

זה באמת כלי שנוצר (דקות לאחר שהרשימה התפרסמה אגב) בשביל לעזור לאנשים לבדוק האם המייל שלהם ברשימות, מתוך רצון טוב.

בנוסף ככל שמתפרסמות רשימות נוספות - הוא מעדכן את המאגר, אז גם אם חיפשתם אתמול - שווה לחפש שוב היום.

סומך עליך.

[Psychoticat]

יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

אם כן, איך הצליחו לשלוף אלפי סיסמאות מהומלס?

ואם לא, מישהו מוכן בבקשה להסביר לי את העניין?

[shai11]

יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

אם כן, איך הצליחו לשלוף אלפי סיסמאות מהומלס?

ואם לא, מישהו מוכן בבקשה להסביר לי את העניין?

כן כל מערכת של אתר שעובדת עם database כמו sql וחבריו מקודדת את הסיסמא

למשל הצפנה של MD5

http://www.asp.org.il/article/%D7%94%D7%A6%D7%A4%D7%A0%D7%AA-%D7%A0%D7%AA%D7%95%D7%A0%D7%99%D7%9D-%D7%91%D7%A9%D7%99%D7%98%D7%AA-MD5

פשוט מאוד הטורקים ישבו אחרי שהם הצליחו לפרוץ את ההגנה של המערכת באתר עצמו הורידו את כל המאגר נתונים שבעצם מכיל סיסמאות, משתמשים וכו'

והחלו להריץ על זה תוכנות שאין לי מושג מה הן עד שפענחו את ההצפנה וגילו את כל הסיסמאות

בדומה למה RAZOR וחבריו עושים כדי לבנות keygun למשחקים

[שניצל]

יכול להיות שאני סתם עושה סלט בין כמה דברים, אבל חשבתי שכל דבר שדורש ממך סיסמא לא באמת מאחסן אותה אצלו, אלא מאמת אותה מול נוסחא מתמטית שהוא משתמש בה?

כמו שאמרנו קודם - זה שאמורים לעשות את זה לא אומר שבאמת עושים את זה.

[Milford Cubicle]

אכן. יש הרבה מאוד אתרים (בעיקר ישראלים) שברגע שאתה עושה "שחזור סיסמה" פשוט שולחים לך את הסיסמה הנוכחית למייל.

המשמעות היא שהסיסמה שמורה ללא הצפנה.

אני מניח שזה בדיוק מה שקרה בהומלס, פיצה האט וכו'.

[GGuyZ]

הרבה אתרים נבנים באמצעות חאפרים.

ובאתרים כאלה הסיסמאות לא בדיוק מוצפנות, או מוצפנות בצורה חד-חד-ערכית אשר מאפשרת מציאת הסיסמא.

בדרך כלל באתר כזה כאשר תבקש לבצע שחזור סיסמא, הסיסמא תישלח לך לאימייל ולא תיוצר לך סיסמא חדשה. אומנם זה רק אחד הסימפטומים לזהות אתר כזה, אבל זה סימפטום די נפוץ.

ברגע שמזהים סיסמא שנשלחת בשחזור, הם ינסו לנסות להשיג את הבסיס נתונים וכל הסיסמאות בשיטות שונות.

האש קריפטוגרפי לעולם לא יהיה חד-חד ערכי. למעשה, אין דרך פרקטית למצוא פונקציה הפיכה לפונקציית האש, ובפרט md5 הנפוצה. אני מניח שהתכוונת ליכולת להריץ שאילתות על טבלאות rainbow (יש עוד שיטות) וככה למצוא את הסיסמה מתוך ההצפנה, אך חשוב לציין שלא מדובר בפונקציה הפיכה, אלא בטבלאות שנבנו בתהליך ארוך של ניסיון לשקלל את כל מרחב הסיסמאות.

מה שהיום קל ונפוץ לעשות הוא לבצע המלחה (salting) של כמות ביטים מסויימת לסיסמה, ואז לבצע את ההצפנה, לרוב md5. בשיטה זו הכלים לעיל הופכים לחסרי תועלת באופן תיאורטי. באופן פרקטי -אולי- אפשר להוציא גם אז חלקיק של אחוז מהסיסמאות.

בכל מקרה, די ברור שהחברות כאן פשוט לא ביצעו שום צורה של הצפנה, בנוסף על העובדה שהם היו חשופים מספיק על מנת שיוכלו לשלוף את מאגר המשתמשים והסיסמאות. פשוט מחדל וביזיון.