|
0 Всего найдено: 37
msobolev
Сообщение
22/03/2009 07:52
Копия темы
О событиях текущей ночи . "сайт free-lance.ru был подвержен DDoS-атаке" DDOS атака приводит к недоступности сервера из-за перегруженности его запросами. Дальнейшие размышлизмы – под катом. DDOS атака приводит к недоступности сервера из-за перегруженности его запросами. Но никак DDOS атака не может привести к тому, чтобы "в целях безопасности" принудительно(!) сменить пароли пользователей. Значит, сайт взломали через SQL-инъекцию в каком-то скрипте, слили базу пользователей. Но! Узнать об этом практически невозможно, за исключением того, что через ту же уязвимость сменили пароль администратора и вот тогда только админы поняли что "дело труба". Восстановить пароль администратора можно только прямой записью в таблицу БД. Нам удалось вычислить данные злоумышленника Максимум что имеется – это IP-адрес нападавшего. И вычислять его не надо – он в логах пишется в панели сервера. Я не думаю что ломали напрямую, а скорее всего через proxy-сервер. Т.е. передача адреса в органы вкупе с заявлением – не более чем формальность. Кстати, эта фраза "нам удалось вычислить и данные переданы в органы" звучит здесь уже не первый раз, но еще ни разу не было поста – "злоумышленник найден и ему предъявлено обвинение по ст.276 УК". В связи с участившимися случаями взлома аккаунтов, мы сменили всем пользователям пароли доступа на сайт..... Мы крайне не рекомендуем менять пароль на старый после восстановления доступа к аккаунту! Взлом аккаунтов – проблема пользователя в плане не соблюдения им правил безопасности для личных данных. Администрация может только помочь восстановить аккаунт. Но менять все пароли разом, используя генератор случайных последовательностей плюс рекомендация не менять пароль на старый говорит о том, что либо в БД сайта пароли хранились вообще не кэшированными, а если нет и все-таки использовался хэш пароля, то это только подтверждает факт того что БД пользователей сайта "ушла" налево. Вопрос расшифровки хэша – вопрос времени, и если будут использованы rainbow таблицы – то вопрос малого времени. Если кому-то ранее пароль приходил в открытом виде (от администрации или от сервиса напоминания) – то пароли не хэшировались. Как говорят, на ошибках учатся. Но хотелось бы в будущем не наблюдать с утра вот таких "ободряющих" постов от администрации, а наоборот, надеяться, что вопросу защиты сайта будет уделено пристальное внимание, а во-вторых, все таки со стороны администрации будет говориться правда в том виде как она есть, а не "завуалированно".
Fla_PS
Сообщение
22/03/2009 07:55
Копия темы
. Правильно все, но если взлом был, то об этом нельзя говорить напрямую по нескольким причинам: 1. Это может помешать расследованию 2. Это бьет по престижу ресурса. 3. Это посеет панику среди пользователей.
capricioussleep
Сообщение
22/03/2009 08:00
Копия темы
. чтот вы меня испугали...хотя я ничего и не понимаю.
META_SIrIuS
Сообщение
22/03/2009 08:01
Копия темы
. Одна маленькая поправочка – хэш это односторонняя функция не поддающаяся как вы выразились "расшифровке" Можно подобрать коллизии хэша перебором, но это как бы ничего не дает.
Fenteal
Сообщение
22/03/2009 08:01
Копия темы
. Спорно. Информация о том, что логины и пароли сперты, должна сразу доноситься до их владельцев, я считаю. По престижу может еще сильнее ударить, если окажется, что эта информация была скрыта, и люди не знали, что их пароли уже далеко не являются конфиденциальными. Ибо пароли у многих такие же могут быть далеко не только на этом ресурсе. Разве нет?
juli_65
Сообщение
22/03/2009 08:02
Копия темы
))) . паника итак уже понеслась почти (и без объявы истинной причины)
ALEN-IN
Сообщение
22/03/2009 08:06
Копия темы
. 1) Наверняка просто поменяли способ авторизации, а пороли у 300 000 человек напряжённо было бы менять. Т.е. даже не меняли никаких паролей, а в базе был записан пароль например 123321 , а когда пользователь под ним пытался войти, то это 123321 – в хэш виде было и приходится теперь каждому менять пароль. 2) Какие должны быть тупые программисты фриланс, если через пару дней, после апа – так хакнули всю БД. Хотя бы БД юзврей!
Lesnoy_chelovek
Сообщение
22/03/2009 08:07
Копия темы
. И еще одна поправочка, md5-хэш расшифровать довольно легко. passcraking.ru и программка PasswordPro вам в помощь.
msobolev
Сообщение
22/03/2009 08:11
Копия темы
. расшифровка – имеется ввиду подбор хэша прямым перебором или по rainbow таблицам. в обоих случаях вопрос времени, причем все простые (цифровые и буквенные) пароли до 8 символов подбираются в течении суток, далее начинается перебор по словарям. грубо говоря – имея хорошие словари и rainbow таблицы – можно получить список вида "Пользователь – пароль".
ALEN-IN
Сообщение
22/03/2009 08:11
Копия темы
. Да я не про формальности, а про суть! Вы когда пишите какой-то скрипт – вы не продумываете, как через него можно увести инфу??? Не думаю, что программисты на фрилансе это не анализируют.
META_SIrIuS
Сообщение
22/03/2009 08:13
Копия темы
. то что по хэшу-коду можно однозначно определить входные данные хзш функции противоречит самой идеи односторонних функций
ALEN-IN
Сообщение
22/03/2009 08:14
Копия темы
. Честно говоря – сомневаюсь, что тем кто может сделать такой угон информации сильно нужны аккаунты простых пользователей!
msobolev
Сообщение
22/03/2009 08:15
Копия темы
. 1. Тимур, какое расследование? География IP адреса пробивается в течении нескольких минут. Дальше вопрос одного дня работы органов (если IP реальный – то обращение к провайдеру и по логам определение пользователя которому был выдан данный IP). Все. Либо так, либо никак. 2. По престижу больше ударит сокрытие правды от пользователей. Можно не писать на глагне, а сделать рассылку по почтам или еще как-то уведомить пользователей о причинах и следствиях, + рекомендации 3. Паника всегда есть. Уровень паники зависит от уровня знаний компьютерной безопасности. * Хоть курсы начинай онлайн для "местного населения".
Fla_PS
Сообщение
22/03/2009 08:15
Копия темы
. Не все так просто. Всей правды говорить все равно нельзя, ибо взломщик нас тоже читает и выяснит что стало известно а что нет. Ну решили озвучить то что озвучили, а там уже пусть каждый думает и понимает как хочешь. Такая официальная инфа могла быть и распоряжением соответствующих органов. Все это догадки с нашей стороны, не более
Fla_PS
Сообщение
22/03/2009 08:16
Копия темы
. Я сейчас запросил восстановление уже нового пароля, он пришел на почту в чистом виде...
msobolev
Сообщение
22/03/2009 08:16
Копия темы
. по хэш коду – нет, а получить по набору символов хэш – легко. Вы же вводите пароль, а не хэш, далее пароль хэшируется и сравниваются хэши. Не надо делать "расшифровку" хэша, достаточно сгенерить хэш по предполагаемому паролю. И если хэши совпали – пароль найден.
msobolev
Сообщение
22/03/2009 08:17
Копия темы
. в 50% случаев пароли на значимые для пользователя ресурсы и сервисы – одинаковы.
Fla_PS
Сообщение
22/03/2009 08:17
Копия темы
. 1. это оперативная информация, не более. А нужны документально зафиксированные доказательства, распечатки логов провайдеров и т.д. Это работа не одного дня.
ALEN-IN
Сообщение
22/03/2009 08:17
Копия темы
. Тогда хэша точно нет, но www.free-lance.ru/blogs/v..
META_SIrIuS
Сообщение
22/03/2009 08:19
Копия темы
. согласен, но возможны также и коллизии т.е. грубо говоря, если подобрать одинаковые хэши не факт что входные данные у функции были одинаковые, и как мне кажется времени на этот перебор надо очень много
ALEN-IN
Сообщение
22/03/2009 08:22
Копия темы
. Ну любому специалисту интересовало только думаю финансовая выгода. Мальчики, которые балуются взломами – у них бы мозгов не хватило такого сделать, хотя... Но у тех у кого мозгов бы хватило бы, увели бы только информацию и все, но не использовали бы ее напрасно! Кому нужно рисковать ради, того, чтоб в одноклассниках прочесть какую-то информацию. А на ресурсы, например webmoney – там пароль мало знать!
Lesnoy_chelovek
Сообщение
22/03/2009 08:23
Копия темы
. Используя GPU и несколько компьютеров не так и много.
msobolev
Сообщение
22/03/2009 08:26
Копия темы
. salt-hash – вы об этом говорите... обычный хэш не имеет коллизий.
META_SIrIuS
Сообщение
22/03/2009 08:34
Копия темы
. в общем я веду к тому что всегда есть куда более привлекательные уязвимости, которые можно использовать для достижения своей цели перебор в лоб – крайний и самый неэффективный способ
venuko
Сообщение
22/03/2009 09:23
Копия темы
. бизнес, на котором построено все, и не кто не раскроет действительности ... :)
damapic
Сообщение
22/03/2009 09:38
Копия темы
. Вы наверно имели ввиду следующее! Запрос на восстановление пароля -> Приходит ссылка -> Переход по ссылки -> 2 поля для ввода пароля -> ввели пароль и он пришел вам на почту И на основании этого можно говорить что нет хеша? Нет хэша – это когда вы просите восстановить пароль, и по введенному адресу почты, вам сразу приходит пароль без каких то дополнительных действий!
devimpress
Сообщение
22/03/2009 09:48
Копия темы
. Тимур, политика замалчивания – плохая. Многие пользователи обычно используют везде 1-2 пароля, поэтому если злоумышленникам стал известен пароль к фрилансу, то значит и ко многим ящикам, скайпам, аськам. И тут полумерами вроде "мы поменяли всем пароли" – не обойтись. P.S. А вот с авторизацией по персональным сертификатам было бы много надежнее...
devimpress
Сообщение
22/03/2009 09:50
Копия темы
. Мы не знаем, что внутри базы фриланса. Есть ли там пароль в открытом виде или только хэши. Потому как в обоих случаях интерфейс можно организовать описанным Вами образом.
raznomir
Сообщение
22/03/2009 10:15
Копия темы
. Меня всегда удивляло, что на вопрос о восстановлении пароля он приходил в явном виде... какой тут хеш поможет при таком алгоритме ?!! – ведь получается, что сам пароль уже доступен по запросу без хеша...
Barrio
Сообщение
22/03/2009 11:56
Копия темы
0
. ага, так всем все сказали.. я не думаю, что программисты free-lance.ru разрабатывая сайт не задумались ни разу о ддосе, о том, что у них могут что то свиснуть и т.д. хеш – нихеш, ну не дураки же ресурс поддерживают в самом деле )))) мое мнение – не так все страшно – как вы подумали. ) |
|
Выразить восторг, поругаться или предложить что-нибудь можно на форуме |
Для обсуждения этого сервиса так же есть темы на фрилансе по поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал" |