A Sony-nál mi a franc folyik???

1 millió flhasználó adatait titkosítatlanul tárolni!!
Ezt ők sem gondolhatták komolyan........

Nokia 6030 Hardcore User // I Panic Restaurant by Taito

részletezd csak, hogy mi a gondod?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Véleményem több dologból áll:
1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat.
2. Véreres fszt a hackereknek, hogy ellopták ezeket, ahelyett hogy szóltak volna.
3. Véreres fszt mindenkinek, aki képes ideológiai hülyeséggé kovácsolni egy ilyen cuccot.

hogyan kellett volna kellően védeni az adatokat?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ilyen trehányul bánni a felhasználók adatival.

Kb ennyi lenne.

2. Véreres fszt a hackereknek, hogy ellopták ezeket, ahelyett hogy szóltak volna.

WTF??

hogyan kellett volna kellően védeni az adatokat?

Azért valami titkosítás illett volna.

[ Szerkesztve ]

Nokia 6030 Hardcore User // I Panic Restaurant by Taito

SQL injection... Meg is érdemlik.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Pl odamennek a kis Sonyhoz, hogy nézd meg, akkora biztonsági hiba van itt, hogy komplett teherautó kifér rajta.
Tudom, hogy most hacker vs Sony csata megy, de azért eléggé idegesítő, hogy pár suhanc miatt 1 hónapig nem volt psn meg az ember azon elmélkedhet, hogy az adatai biztonságban vannak-e.

"Azért valami titkosítás illett volna.": ami azért jó, mert?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

nem akarom védeni a betörőket, mert ez illegális tett volt, de a sonynak sem kellett volna beperelnie olyan dolgokért embereket, amik az usán kívül minden normális országban legálisak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nézd, én megmondom őszintén ehhez nem értek. Ahogy ahhoz sem, hogy hogyan lehet egy házat megépíteni.
Azt tudom, hogy valamit nagyon elcsesztek, hiszen nem úgy működnek a dolgok ahogy kellene. Ahogy lecsesznéd pl a Seatot is, ha odamenne a srác az autódhoz és 10 másodperc mulva minden különösebb szakértelem nélkül kinyitná, és lelépne a kocsival. Hiszen itt sem volt olyan hű de bonyolult a bejutás, aztán az adatok elvétele.

Itt a Sony a hibás.

Nem védekeztek ennyi.

Lett volna valami normális titkosítás, akkor nem sok mindent tudtak volna kezdeni vele a heckerek(jó tudtak volna de egy kis idejükbe tellett volna)

Gondolj bele hogy nem csak a PSN-t meg a Sony-t érik támadások.
Szerintem a XBOX live! is kap eleget belölük, FBI-ról NASA-ról nem is beszélve.

Nokia 6030 Hardcore User // I Panic Restaurant by Taito

feltöri z adatbázist-OKÉ.
Kinyeri az adatokat amiket megfelelö algoritmus nélkül semmit sem ér számára.
Nics para mert a felhasználók adatai nem kerülnek ki, nem kell nagy média felhajtást csinálni.

Nokia 6030 Hardcore User // I Panic Restaurant by Taito

A kérdés az, amit fel kell tenni: mennyivel lassította volna a betörőket, ha titkosítva vannak a jelszavak? az én tippem: semennyivel.

(#13) Gergosz2: a kriptográfiai algoritmusok halmaza véges és elég kevés elemet tartalmaz. a tény, hogy elvileg nem ismert, mivel titkosították, továbbra sem lassít szinte semmit a tolvajokon. a legnagyobb valószínűsége annak van, hogy md5-tel titkosítottak volna, ha van, a második legnagyobb valószínűsége, hogy sha256-tal.

ezek a közismert, programozói eszközökkel gyárilag támogatott módszerek. ergo a törést is ezzel kell megpróbálni először.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

én nem a betörésről beszélek.

Hanem az adatokról.

Nokia 6030 Hardcore User // I Panic Restaurant by Taito

én is.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az FBI leányvállalatához is benéztem és megszereztek 180 jelszót. Kissé cibálják a oroszlán bajszát. Én vigyáznék, harap....

"az én tippem: semennyivel."

Lelassítani mindenképpen lelassította volna őket, mert evidens, hogy egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat, általános iskolai logika. Ezért bizony a Sony a hibás, az SQL injection kb. az a szint, amit egy középiskolás megvalósít, Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál.

[ Szerkesztve ]

"egy titkosítatlan adatot könnyebb megszerezni, mint egy titkosítottat": marhaság, egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított.

"az SQL injection kb. az a szint, amit egy középiskolás megvalósít,": ezt nem is vitattam.

"Te sem gondolhatod komolyan, hogy ez lenne a megfelelő védelmi szint egy ekkora vállalnál": én sem gondolom komolyan, ja.

Ami nekem piszkálta a csőrömet az az a mondat a cikkben, hogy:
"a több mint egymillió felhasználói jelszót plaintext formátumban tárolták."

ha valaki eljut odáig, hogy egy ilyen kategóriájú rendszert felborít, annak akadály a titkosított jelszó? Mert Pali úgy írta le, mintha a plaintext jelszó az armageddonnal lenne egyenértékű.

Az én véleményem az, hogy sokkal nagyobb hiba, ha ennyire egyszerűen törhető webes alkalmazás van a neten, mint az, hogy a jelszó plaintextben volt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

idézzünk teljességében:
"1. Véreres fszt a Sonynak, hogy nem védték meg kellően az adatokat."
"hogyan kellett volna kellően védeni az adatokat?"

én az eredeti mondatot úgy értelmeztem, hogy szintén a titkosítás hiányával van problémája.

"az MD5 meg az SHA hash algoritmusok, nem titkosításra valók.": ebből nyithatnánk vitát, de nem érdemes. a tény az, hogy gyakorlatilag az összes fejlesztőeszköz, amit használhattak, out of the box ezeket (meg ezekhez igen hasonlókat, pl. crypt) támogat. Akit sql injectionnal fel lehet borítani, abból nem nézek ki md5-nél többet (mint kiderült, ennyit se kellene ). Ezek pedig viszonylag egyszerűen törhetők.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Engem leginkább az érdekel ki áll az egész mögött, kik pénzelik, kik adták a megrendelést a hacker/cracker csoportnak. Mert gondolom nem jódolgukban törték fel a Sony rendszereit.

A kérdésed az volt, hogy lelassítja-e őket, nem az hogy akadály-e. Igen, lelassítja. Azt meg nem lehet tudni, hogy kinek mi az akadály. Lehet, hogy nem tudtak volna túljutni rajta, egy plaintext nem akkora kaland.

"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."

Ezt hogy sikerült kilogikázni?

[ Szerkesztve ]

a saját tapasztalatom az, hogy nem lassít szinte semmit sem.

"Ezt hogy sikerült kilogikázni": azt írtad, megszerezni. a select ugyanannyi idő alatt fut le, mindegy, milyen a jelszó mező.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

az én meglátásom és tapasztalatom szerint teljesen mindegy, hogy egy plain text jelszó kerül ki vagy a hash-e.

A főbenjáró vétség az én szememben az, hogy kikerült. A formátum az én szemeben nem oszt-nem szoroz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"egy adatbázisból a jelszó mezőt pontosan ugyanannyi meló kiszedni ha plaintext, ha titkosított."

Pedig ez így van, gondold végig. Teljesen mindegy hogy mikor túrkálok az adatbázisomban, az plain vagy bármi más. Kiszedni, PONTOSAN ugyanannyi meló.
A lényeg, BEJUTNI nem mindegy, hogy mekkora. De ha már bent vagy, nem lényeges hogy az adata az text vagy bármi más. És itt a bejutás a durva a hírben.

Fúj warezolók,fúj hackerek! Én megtisztelem annyival a Sonyt, hogy ha kiadják a felhasználók adatait egy díszdobozos DVD-n, akkor azt megveszem.

A saját méréseim alapján azt állítom, hogy 1 millió md5-ös hashból a saját minimál technikai színvonalamon 30 napnál hamarabb meg tudnám mondani a jelszavak minimum 85%-át.

Ha kicsit ésszel fognék hozzá, akkor alsó hangon 2 nagyságrendet tudnék javítani ezen az időn.

Fentieket igaznak elfogadva, mit számít, hogy md5-ös hash kerül ki vagy plaintext?
Hint: SEMMIT.

A többit, ellenvélemény hiányában, nem vitatom.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem azért, de valamiféle titkosítást alkalmazhattak volna az adatbázisban, vagy legalább a jelszavak helyett azok MD5 hash-jét tárolták volna. Az is meglepő, hogy ennyire könnyen bejutottak a szerverekre. Egy ekkora vállalat áldozhatna többet is a védelemre.

Szólni biztos nem szóltak volna, mert nem ez volt a cél. Az viszont vicces, hogy az egész, ha jól tudom amiatt robbant ki, mert a PS3on letiltották a külső operációs rendszer telepítésének lehetőségét...

'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!

A sony-nál amúgy tényleg full idióták dolgoznak?
Ilyen szintü biztonsági hibák 1970-ben még megbocsáthatóak lettek, de 2011-ben? Bakker ezek után már azt is el tudom képzelni hogy különösebb sql injection sem kellet, mert a root jelszó egy enter volt

Akkor is, ha salt-ot (esetleg user szintűt) használtak a hash generáláshoz?

egyszer letesztelem azt is, ha belefutok egy olyan problémába.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A salt csak az előre készített hash táblázatok ellen véd, és az adatbázisban le kell tárolni, ezért a szótáras és brute force próbálkozások ellen nem jó.

Az igazi védelem az, amikor a jelszót ~ 1000-szer hasheli md5-tel, vagy még jobb, ha sha1/sha256-tal. Így már elég sokáig tart egy próbálkozás. Persze salt-ot tilos kihagyni.

Akit érdekel, itt talál egy jó videót: [link] (angol)

"The Kid just rages for a while."

Talán nem az internet legveszélyesebb gyűlöletgépével kellett volna nagyképűen szarakodni éveken keresztül.

A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.

Plaintext jelszavak esetén az áldozatoknak nulla idejük van reagálni, mielőtt a jelszavakkal visszaélnének, kódolt jelszavak esetén pedig már gyenge-közepes jelszó mellett is sok nap, erősebb jelszónál sokkal több.

''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''

De ha annak az egymillio embernek csak 1% (tippre viszont 90) ugyanazt a jelszot hasznalta mondjuk egyeb, kritikus adatot tarolo rendszerhez, akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja. Es epp emiatt a szmemeben nagyobb bun igy tarolni az adatokat, mint a sajat rendszert nem megfeleloen vedeni.

szerk:
#29, most olvastam csak

[ Szerkesztve ]

Ashy Slashy, hatchet and saw, Takes your head and skins you raw, Ashy Slashy, heaven and hell, Cuts out your tongue so you can't yell

"...és az adatbázisban le kell tárolni..."

Miért is kellene? Egyáltalán nem kell, én sem tárolom. Minek is?
A többi az oké.

Ha felhasználónként különböző saltot akarunk használni, ami célszerű, mert azonos jelszavaknak így más lesz a hash-se, akkor valahol tárolni kell.

"The Kid just rages for a while."

Még mindig inkább legyen 1 "mastersalt" ami nem az adatbázisban van, minthogy odapakolod mellé, még ha mind különböző is... Szerintem.
Viszont ennyi erővel lehet használni pl. a regisztrálási időt, a végeredmény ugyanaz, mint amit te írsz. Nem azt mondom, hogy rossz amit írsz, csak azt, hogy felesleges felhasználónként külön salt, főleg ha ott van . Kell a só, de ne tálaljuk már fel egyből a db-ben, dolgozzanak meg érte ha kell nekik Viszont ha már annyira toppon vannak akkor meg visznek mindent. Szóval, érted.

A saját tesztem alapján a gyenge jelszók törése nekem kettő azaz 2 másodpercbe került. Mivel én nem milliós mintán teszteltem, ezért nyilvánvaló, hogy 1 millió jelszóból a gyenge jelszavak kirostálása nem két másodperc, de szerintem 5-10 percnél nem több. Ez nálam a jelszavak kb. 60-65%-a volt.

Kérem a véleményedet azügyben (feltételezett verzió, ha a sony md5-ben tárolta volna a jelszavakat, nem plainben, mint itt), hogy ha betörtek a sonyhoz, ellopták a jelszavakat, de egy jó darabig csendben maradtak és magukban törögették a jelszavakat, majd mikor meglett mind és akkor borult ki a bili, mennyivel lett volna több idejük reagálni? Hint: semennyivel.

(#40) a_n_d_r_e_w: "akkor viszont mar szvsz qrvara nem mindegy, hogy maga a jelszo egeszeben kikerult": ez igaz.
"a jelszo egeszeben kikerult, vagy csak annak valami visszaallithatatlan, hashelt verzioja.": mint a méréseim mutatják, nincs lényegi különbség aközött, hogy plain text vagy valami nem túl átgondoltan titkosított jelszó került ki.

A többihez:
mint látható, az md5 salt nélkül gyakorlatilag semmit nem ér. Egy darab xeon core-on futtatott brute force program is feltöri záros határidőn belül (ugye nem tudjuk, hogy mikor törtek be a sonyhoz és mennyi ideig kussoltak a cselekményről, tehát lehet, hogy hetek óta bent vannak, csak most szóltak).

Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép, egy kicsivel okosabb program, ami képes 4 proci mind a 6 magján menni, esetleg ht-ben, az már 48 példány, rögtön megvan a két nagyságrendes gyorsítás. Ha ilyen gépből több kezd el dolgozni (ez még mindig csak pár millió forint nagyságrend), vagy nem egy ember rohan neki a jelszavaknak, hanem egy komplett megnemnevezett társaság minden tagja, akkor nagyon gyorsan eljuthatnak odáig, hogy 1 millió md5-ös jelszó komplett törése megvan pár perc alatt. Az sha256 és/vagy a saltolás meg csak lassítja őket, de nem állítja meg.

Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"...Összegezve: az állítás, amit eredetileg mondtam, hogy a plain-text jelszó nem a legvéresebb pontja a történetnek, nem dőlt meg..."

Így van, nem a LEGVÉRESEBB, de azért eléggé gáz rájuk nézve
De a lényeg, só ide vagy oda, amíg a legtöbb user, mit user, rendszergazda olyan jelszavakat használ, hogy uhh, addig nincs miről beszélni...

És ebben a történetben a behatolás volt a lényeg, a többi, már csak a hab a tortán.

"...Ha nem egy xeon core-n futtatnék jelszó törőt, hanem több core-on, több procin, esetleg több gépen is, akkor ez mind-mind csökkenti a töréshez szükséges időt. egy kicsivel gyorsabb gép..."

Felhő rulez?

[ Szerkesztve ]

Potenciálisan sokkal több ideje lett volna reagálni annak, aki normálisabb jelszót használ, mert azokat, főleg ha salt is volt a hash mellett (ami már régóta standard practice), nem feltétlenül fejtik vissza hónapok alatt sem. Az sem minden esetben igaz, hogy a behatolók hosszú ideig tudnak rejtőzködni. A plaintext jelszó egyszerűen iszonyatos felelőtlenség, mert a fejlesztői oldalon viszonylag kis spórolást jelent, de nagyban csökkenti azon felhasználók fiókjának biztonságát is, akik egyébként ügyelnének arra, hogy megfelelő jelszavakat használjanak.

Az sem mindegy, nagyon nem, és minél nagyobb a felhasználói bázis, annál kevésbé, hogy a jelszavak 60-65% vagy 100%-a kerül-e ki.

Hogy a plaintext jelszó a "legvéresebb" pontja-e a történetnek, azon lehet vitatkozni, de hogy "véres" pontja, az szerintem nem kérdés.

''... we as consumers want our content free (as in Freedom) and if we don't get it, we'll take our content free (as in beer).''