Gå til innhold

Nvidias forum er hacket

Niklasp

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Turgon

Turgon

Skrevet
Skrevet

Hmmmm... Hjelper det å ha gode passord hvis de blir lekket?

 

Ja. Den raskeste måten å finne mange passord utifra et set med hashede passord er å prøve å hashe et sett av vanlige bruke passord (med samme algoritme som i dette tilfeller nvidia bruker). Man sammenlikner så den genererte hashen med de lekkende hashene og ser om de matcher. Hvis passordet ditt ikke er i listen over vanlige passord vil ikke denne metoden være effektiv for å avmaskere passordet. Hvis passordet ditt i tillegg bare er et tilfeldig sett med tegn er det vanskelig å konkludere med at man har funnet passordet ditt selv om man tilfeldigvis får generert samme hash (mange passord gir samme hash), og man kan da sannsynligvis ikke bruke resultatet på andre sider selv om de kommer inn på den hackede siden (gitt at de bruker en annen hashalgoritme) selv om du har brukt samme passord.

  • Liker 4
Lenke til kommentar
Ernie

Ernie

Skrevet
Skrevet
Passordene de fikk tilgang til var imidlertid hashet, og i tillegg gitt tilfeldige saltverdier. Det siste er en ekstra tekststreng som gjør det betydelig vanskeligere for en tredjepart å få ut informasjonen.

Det var nå å overdrive ganske sterkt. Det kan gjøre det betydelig vanskeligere, men det er helt og holdet avhengig av algoritmen. Klarer man å generere opp en hash raskere enn man kan lese den fra en rainbow-table så kan jeg ikke skjønne annet enn at salt er bortkastet. Eksempler på algoritmer hvor dette er tilfellet er MD5 og SHA-1. Disse er det relativt trivielt å generere > 1 milliard hash pr. sekund. Skal man matche dette med rainbow-table for MD5 trenger man en lesehastighet > 16GB/s (bare hash, ikke hva det representerer i klartekst) forutsatt at man søker i filen kontra å estimere hvor i filen resultatet kan ligge. Med et godt oppsett klarer man flere 10-talls milliarder MD5-hash pr. sekund på en maskin, og SHA-1 er en faktor 2-3 ganger treigere.

 

Med andre ord: Helt avhengig av hvilken algoritme nVidia har brukt kan passordene allikevel være enkle å finne på tross av hashing og salt. LinkedIn bruker/brukte vel SHA-1 om jeg ikke tar feil …

Lenke til kommentar
Rattata12

Rattata12

Skrevet
Skrevet (endret)

Vet ikke hva hensikten bak å legge ut slik info, men nå i det siste har det kommet mye slik info ut. Jeg kan ikke fatte at noen ser dette på som en "god gjerning" (om det er det de tenker), da å hacke sider for info for å bevise at de har svakheter og så blottlegge alt på nettet er vel lite strategisk..

 

Er jeg kun den eneste som blir frustrert over slike ting?

Endret av Rattata12
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

Vet ikke hva hensikten bak å legge ut slik info, men nå i det siste har det kommet mye slik info ut. Jeg kan ikke fatte at noen ser dette på som en "god gjerning" (om det er det de tenker), da å hacke sider for info for å bevise at de har svakheter og så blottlegge alt på nettet er vel lite strategisk..

 

Er jeg kun den eneste som blir frustrert over slike ting?

 

Dette er ofte den ENESTE måten å få noe fikset.

Skrekkeksempler finnes, for eksempel noen laget ett system som lot deg sette SCADA systemer (Dette er systemer som kan styre elektrisitet, trafikk, vann og kloakk) på nettet som ikke var laget for dette.

Her ble det sendte beskjeder til firmaet om en stor svakhet som lot deg logge inn uten å behøve å knekke passordet (Var basert på MAC addressen som systemet spyttet opp på innloggingsskjermen.)

Firmaet fikk beskjed fra regjeringen i Uniten bløff om å fikse det innen 3 måneder, men svarte ikke på henvendelsen.

3 måneder kom og gikk og ved neste kontakt ba firmaet om mer tid for å si ifra til sine investorer, resultatet ble at informasjonen ble lagt ut.

 

Hadde ikke infoen blitt lagt ut så hadde ikke problemet blitt kjent.og resultatet kunne ha blitt en mye større katastrofe, for eksempel kloakk i drikkevannsforsyningen, men nå vet de om problemet om de har nappet boksene av nettet.

Firmaer vil ikke fikse slikt om de ikke blir tvunget, siden det bare er en utgift uten inntekt.

 

Og det andre du må huske på når det gjelder nettsikkerhet, ett ordtak som burde henge med deg. "Obscurity is not security." for det finnes alltid noen som er smartere enn deg, og disse kan finne på å bryte seg inn.

Lenke til kommentar
Rattata12

Rattata12

Skrevet
Skrevet

Joda, når det kommer til slikt ja, men jeg blir mer sur over at kredittkortet mitt og passordene mine kan komme på avveie, det er meget provosserende... Om noen hacket iTunes og la ut alle kontoene med all info, tror du det hadde sett så bra ut? Fordi noen mener at det er lite sikkert? Jeg har 100% imot slikt, og ser ingen grunn til å angripe uskyldige privatpersoner, når det kommer til infrastruktur som du snakker om er en helt annen sak

Lenke til kommentar
007CD

007CD

Skrevet
Skrevet (endret)

Så er det slik at reglene for kredittkort ikke følges helt sikkert heller.

For eksempel, 3 tallskoden bak på kredittkortet skal ALDRI lagres av nettsider, men mange gjør det og da er sikkerheten der borte vekk.

Saken er også slik at all sikkerhets økning er bra på weben, du kan jo prøve å finne ett sikkerhetshull ved en side som lagrer info også får du se om du får noe skikkelig svar eller hjelp fra eieren, mest sannsynlig blir du bortgjemt og glemt.

Derfor er det bra at slikt blir offentliggjort, folk må også lære seg god passordhygiene som vil si ett unikt passord for hver tjeneste, og klarer du ikke det, så får du vurdere noe ala KeePass og holde god styr på nøkkelfilene.

 

Grunnet dårlig passordhygiene så er forumdatabaser interressante siden en annen populær trend er at det er samme passord på flere tjenester og eposten din er også ett populært mål, siden om de tar over eposten din, så kan de nullstille passordene på andre tjenester, og da er du i allefall i Uniten Bløff ett populært mål for bankene som kun bruker kun ett brukernavn og passord for innlogging.

Så det er også buisness i dette.

Endret av 007CD
Lenke til kommentar
DarkSlayer

DarkSlayer

Skrevet
Skrevet

Dette skjer alt for ofte. Det hadde vært fint om disse selskapene som blir angrepet oppgir hva som skjedde slik at andre ikke gjør samme feilen.

Aner ikke med Nvidia, men phandroid og yahoo bruker begge php. Tipper Nvidia bruker php.

 

Problemet skyldes at man ikke ønsker å bruke tid på sikkerhet. Det er kanskje det mest kostbare temaet i en applikasjon. Det finnes ikke gode testverktøy fordi angrepsvektorene er tilnærmet uendelige. Der man har tester, så tester man bare banale ting. Det er umulig å rekke over alt med mindre man kaster mye penger på det. Det er umulig å gardere seg mot ukjente sikkerhetshull. etc etc etc.

 

I tillegg så koster flinke folk mye penger, så man ansetter billigere...

Man sparer seg til fant med å la seg lure til å investere i "billig" teknologi ala PHP...

Kurs og sertifiseringer koseter penger så det dropper man...

Belønne arbeidere for å gjøre riktige ting koster penger, og det er en uting...

Lenke til kommentar
HKS

HKS

Skrevet
Skrevet

Dette skjer alt for ofte. Det hadde vært fint om disse selskapene som blir angrepet oppgir hva som skjedde slik at andre ikke gjør samme feilen.

Aner ikke med Nvidia, men phandroid og yahoo bruker begge php. Tipper Nvidia bruker php.

Kan ikke sammenligne med Yahoo. Hos Nvidia var passordene hashet og det var brukt salt, som gir mye bedre sikkerhet.

 

Yahoo ble vel tatt med SQL injection, det er ikke PHP som er problemet der.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...