Skocz do zawartości

Zablokowane Game Maker Community Zhackowany!


Snake

Rekomendowane odpowiedzi

Wczoraj oryginalne forum Game Makera http://forums.gamemaker.nl zostało zhackowane.

Gość zarejestrował się i zdobył prawa admina, zmienił szablon forum i dał iframe'a na każdej podstronce.

Każdy kto otwierał forum w internet explorerze, pobrały się mu trojany, exploity i inne virusy.

W dodatku ponad 3000 użytkowników dostało maila z linkiem do virusa (loadadv598.exe).

Konto które zostało zhackowane miało login: Mark Overmars, więc wiadomo czyje.

 

Przetłumaczyłem kawałek tego komunikatu który możecie zobaczyć na http://forums.gamemaker.nl

Odnośnik do komentarza
Udostępnij na innych stronach

  • Administratorzy

Wcale nie musiał dodawać iframe na każdej stronce, wystarczy że podmienił tylko jedną stronę szablonu ;]

Przy okazji w każdym z tych prgramów exe na początku mógłby się pojawić komunikat "For safe browsing use only Opera or Firefox" :P

I śmieszy nie jeden z komentarzy w shoutboxie, żeby pozmieniać nasze hasła jeżeli mieliśmy takie same jak na oficjalnym forum - widocznie ktoś nie słyszał o MD5 ;]

A ja bym na miejscu tego kolesia zrobił przeładowanie na stronę xnxx.com tak dla beki :D

Odnośnik do komentarza
Udostępnij na innych stronach

I śmieszy nie jeden z komentarzy w shoutboxie, żeby pozmieniać nasze hasła jeżeli mieliśmy takie same jak na oficjalnym forum - widocznie ktoś nie słyszał o MD5 ;]
To nie jest wymysł nikogo z naszego forum. Masz tu cytat z GM Community:

I urge you all, if you use the same password at this forum as other places, then change it in that other place as soon as possible.
A co do MD5, to np. ja o czymś takim nie słyszałem. Pojaśnij trochę. :)
Odnośnik do komentarza
Udostępnij na innych stronach

Teoretycznie mozna złamać hasło zaszyfrowane MD5. Różne wyrazy po zaszyfrowaniu mogą wyglądać tak samo. W necie są ogólnodostępne, codzienie aktualizowane bazy haseł, więc wystarczy, że hipek sprawdzi sobie zaszyfrowane hasło i być może coś znajdzie ;)

Odnośnik do komentarza
Udostępnij na innych stronach

  • Filar Społeczności

Właśnie. MD5 jest bardzo łatwo i szybko złamać metodą brute force, jeżeli jest krótkie. Bodajże powyżej 8 znaków zaczynają się już schody w postaci dużego wydłużenia czasu. Typek powinien sobie zrobić automatyczny skrypt, który na jednego hasha przeznacza do godziny i jak go nie złamie, to bierze się za następny.

 

edit:

Zapomniałem, że w IPB od wersji 2.0 generowany jest także klucz salt cośtam, który służy do zaszyfrowania hasha md5 specjalnym algorytmem właśnie w celu zwiększenia bezpieczeństwa. Hm... a może od wersji 2.1? Nie pamiętam. :)

 

W 2.0 Ranma, 2.0 :)

Tymon

Odnośnik do komentarza
Udostępnij na innych stronach

  • Administratorzy
Mój kolega złamał MD5 na IPB 1.9 czy coś wersji nie pamietam :)

Jakby na innych ipb były inne md5...

md5 dość długo był nie do zaszyfrowania, ale chyba jest tak że kilka różnbych wyrazów może mieć te same hashe md5 dzięki czemu wpisując (założenie czysto teoretyczne) oko i trolejbus może okazać się że hash tych haseł jest taki sam dzięki czemu włamiemy się na czyjeś konto nie znając jego hasła. Ale to mi sie tak wydaje a czy to tak faktycznie jest to niech się wypowie ktoś kto na temat algorytmów szyfrujących wie więcej.

Odnośnik do komentarza
Udostępnij na innych stronach

jest tak że kilka różnbych wyrazów może mieć te same hashe md5 dzięki czemu wpisując (założenie czysto teoretyczne) oko i trolejbus może okazać się że hash tych haseł jest taki sam dzięki czemu włamiemy się na czyjeś konto nie znając jego hasła
Dokładnie o to chodzi :)
Odnośnik do komentarza
Udostępnij na innych stronach

  • Filar Społeczności
Mój kolega złamał MD5 na IPB 1.9 czy coś wersji nie pamietam :)
Yyy... ta wypowiedź się kupy nie trzyma. ;)

 

wpisując (założenie czysto teoretyczne) oko i trolejbus może okazać się że hash tych haseł jest taki sam dzięki czemu włamiemy się na czyjeś konto nie znając jego hasła

Ale nie przy tak krótkich wyrazach. Ale nie przy tak krótkich wyrazach. W końcu md5 to 32 znaki, więc kłopoty zaczynają się kiedy hashuje się większy ciąg znaków. Swoją drogą na dzisiejszych komputerach hashe do 3 znaków łamie się w około sekundę, 4 w około minutę, 5 w parę minut. Powyżej już nie sprawdzałem, ale 6 do paru godzin, więc lepiej mieć hasła minimum 10 znakowe.

Odnośnik do komentarza
Udostępnij na innych stronach

  • Administratorzy

Wiesz to jest zabawne, jak shackujesz stronę, bo fajnie sobie popatrzeć jak dajmy na to na stronie rządu będzie giertych w stringach :P Ale po chwili fajnie by jednak było aby wszystko wróciło do normy :P

Bardziej od hackowania złości to, że ciągle są ludzie którym chce się pisać wirusy komputerowe, przecież o ile lepiej zyło by się gdybyśmy nie mieli wirusów, nie trzeba by formatować windowsa co chwilę, nikt by nie wiedział o jego dziurach, programiści dalej by go dziurawili, ale za to może szybciej wymyslili jakieś nowe technologie zamiast ciągle dbać o zabezpiecznia. Skoro ludzie to wymyślają to znaczy że i tak musi być sposób aby to obejść, co oznacza że nawet najlepsze zabezpieczenie wymyślone przez człowieka prędziej czy później ktoś złamie bo skoro umiemy coś zrobić w jedną stronę to i wymyslimy jak zrobić to w drugą (przykład - hash MD5).

Odnośnik do komentarza
Udostępnij na innych stronach

Zgadzam się z gnyskiem. Podmiana strony startowej jakiegoś serwisu, aby ośmieszyć administratora i zmusić go do poprawy zabezpieczeń, to według mnie całkiem fajna sprawa. Ale już rozsyłanie wirusów itp., to głupota, która (przeważnie) nikomu nie służy, a wielu ludziom szkodzi.

Odnośnik do komentarza
Udostępnij na innych stronach

Zgadzam się z gnyskiem. Podmiana strony startowej jakiegoś serwisu, aby ośmieszyć administratora i zmusić go do poprawy zabezpieczeń

 

Mnie to nie pasuje. Tym bardziej wtedy, gdy dane zostają stracone na amen.

 

A co do wirusów: a to już kompletny bezsens.

 

PS. Twórcą pierwszego robaka był Tappan Morris ;).

Odnośnik do komentarza
Udostępnij na innych stronach

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...