Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность > Инциденты
Регистрация
Знаете ли Вы, что ...
...инструкция по установке аватара описана в Правилах форума.
<< Предыдущий совет - Случайный совет - Следующий совет >>

Инциденты Обсуждение произошедших инцидентов информационной безопасности


Ответить

 
Опции темы Опции просмотра
Старый 29.03.2013 12:21   #111  
Known ID Group uParty Member
Аватар для BenZina
Оффлайн
Сообщений: 3,645
+ 5,918  2,926/1,291
– 103  40/31

UzbekistanОтправить сообщение для BenZina с помощью Skype™
Цитата:
Сообщение от Djalolatdin Rakhimov Посмотреть сообщение
Или вопрос только в извинениях?
да не столько извинения нужны, сколько уверенность, что подобное не повторится. Всегда считала УП Узинфоком гарантом безопасности. Выражу свое мнение:если нет уверенности в защите персональных данных, тогда как же будет развиваться тот же ID.uz?

Последний раз редактировалось BenZina; 29.03.2013 в 12:23.
Ответить 
Старый 29.03.2013 12:26   #112  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,052
+ 4,913  6,510/2,846
– 300  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Djalolatdin Rakhimov Посмотреть сообщение
Только в случае использования простых паролей, которые выбирает пользователь. В опубликованных данных нет открытых паролей. А несанкционированный доступ в ЛС одинаково болезненный как для реалайди, так и других пользователей.
Если есть доступ к БД форума у хакеров (а он судя по всему был), то разницы нет что выкладывать: хеши паролей или содержимое "лички".

С другой стороны, за сутки брутфорса из 29386 хешей лично у меня не вскрылся ни один. Судя по всему, политика "сложных" паролей на юфоруме сделала своё дело.
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
Реклама и уведомления
Старый 29.03.2013 12:28   #113  
Real ID Group uParty Member
Аватар для Shuhrat Ismailov
Оффлайн
Сообщений: 3,417
+ 2,932  2,655/1,362
– 84  129/82

UzbekistanОтправить сообщение для Shuhrat Ismailov с помощью Skype™Facebook
Цитата:
Сообщение от JH Посмотреть сообщение
Нет, ваша правильно. Я по памяти писал, чтобы показать, что там не все так просто.
Я просмотрел, оказывается и я ошибся, формулу нужно написать в виде
hash=md5(md5(pass).salt))
Моя формула hash=md5(md5(salt).md5(pass)) предполагает еще высший уровень алгоритма шифрования.
Ответить 
Старый 29.03.2013 13:25   #114  
Real ID Group uParty Member Ultimate
Аватар для Nadir Zaitov
Оффлайн
Сообщений: 13,224
+ 4,958  9,181/3,942
– 170  137/105

UzbekistanОтправить сообщение для Nadir Zaitov с помощью Skype™
Цитата:
Сообщение от JH Посмотреть сообщение
да даже если простенький. vBulletin шифрует пароли по формуле hash=md5(md5(password.salt))

Так что нужно очень сильно постараться, чтобы раскрыть пароль. А если пользователи сменили (пусть даже на другой простой пароль) - то ничего никто к данным доступа не получит
Если известно, что пароль 1 цифра, то нужно не более 10 попыток для взлома при любой сложности алгоритма шифрования. Речь об этом. В данном случае нужно 2^62 действий подсчета hash, что на фермочке из 1000-2000 процессоров (незадействованные мощности серверов какого-нибудь HPC ночью) количество действий сокращается сразу до 2^51 - словом нет ничего сложного


Цитата:
Сообщение от Shuhrat Ismailov Посмотреть сообщение
Моя формула hash=md5(md5(salt).md5(pass)) предполагает еще высший уровень алгоритма шифрования.
Не факт. md5(salt) - константа, можно считать md5(salt)=salt
__________________
Тот факт, что медуза выжила 650 миллионов лет без мозгов, даёт надежду многим.
Ответить 
"+" от:
Старый 29.03.2013 13:45   #115  
Аватар для Concerned
Оффлайн
Сообщений: 2,541
+ 2,816  2,414/966
– 240  108/80

Uzbekistan
Цитата:
Сообщение от JH Посмотреть сообщение
да даже если простенький. vBulletin шифрует пароли по формуле hash=md5(md5(password.salt))
Цитата:
Сообщение от Shuhrat Ismailov Посмотреть сообщение
С другой стороны, известно, что vBulletin шифрует пароли по формуле hash=md5(md5(salt).md5(pass))
Цитата:
Сообщение от Shuhrat Ismailov Посмотреть сообщение
Я просмотрел, оказывается и я ошибся, формулу нужно написать в виде hash=md5(md5(pass).salt)) Моя формула hash=md5(md5(salt).md5(pass))
Цитата:
Сообщение от Nadir Zaitov Посмотреть сообщение
Не факт. md5(salt) - константа, можно считать md5(salt)=salt
Цитата:
- Как думаешь, есть ли жизнь на Марсе?
- Это только научная гипотенуза.
- Но гастрономия утверждает...
- Увы, я в этих вопросах не копенгаген.
Почему-то вспомнилось
Ответить 
Старый 29.03.2013 13:59   #116  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,052
+ 4,913  6,510/2,846
– 300  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Nadir Zaitov Посмотреть сообщение
md5(salt) - константа, можно считать md5(salt)=salt
salt - 8 символов
md5 (salt) - 32 символа

Вроде бы есть разница.
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
Старый 29.03.2013 14:04   #117  
Real ID Group uParty Member Ultimate
Аватар для Nadir Zaitov
Оффлайн
Сообщений: 13,224
+ 4,958  9,181/3,942
– 170  137/105

UzbekistanОтправить сообщение для Nadir Zaitov с помощью Skype™
Кстати, оказывается этот пароль давно в реестре взломанных md5 паролей.


Цитата:
Сообщение от German Stimban Посмотреть сообщение
salt - 8 символов
А кто ограничивает вам salt 8-ю символами?
__________________
Тот факт, что медуза выжила 650 миллионов лет без мозгов, даёт надежду многим.
Ответить 
Старый 29.03.2013 14:07   #118  
Real ID Group uParty Member Ultimate
Аватар для Djalolatdin Rakhimov
Оффлайн
AKA:dj
Сообщений: 23,547
+ 8,617  10,679/5,381
– 62  55/49

UzbekistanОтправить сообщение для Djalolatdin Rakhimov с помощью Skype™Аккаунт на Twitter
Цитата:
Сообщение от Zarina Umarova Посмотреть сообщение
Цитата:
Сообщение от Djalolatdin Rakhimov Посмотреть сообщение
Или вопрос только в извинениях?
да не столько извинения нужны, сколько уверенность, что подобное не повторится. Всегда считала УП Узинфоком гарантом безопасности. Выражу свое мнение:если нет уверенности в защите персональных данных, тогда как же будет развиваться тот же ID.uz?
100% гарантию безопасности никто не даст. То есть, вероятность существует всегда. Поэтому вопрос: какого уровня безопасности нужны гарантии?
Ответить 
Старый 29.03.2013 14:12   #119  
Real ID Group uParty Member Ultimate
Аватар для Djalolatdin Rakhimov
Оффлайн
AKA:dj
Сообщений: 23,547
+ 8,617  10,679/5,381
– 62  55/49

UzbekistanОтправить сообщение для Djalolatdin Rakhimov с помощью Skype™Аккаунт на Twitter
Цитата:
Сообщение от German Stimban Посмотреть сообщение
Цитата:
Сообщение от Djalolatdin Rakhimov Посмотреть сообщение
Только в случае использования простых паролей, которые выбирает пользователь. В опубликованных данных нет открытых паролей. А несанкционированный доступ в ЛС одинаково болезненный как для реалайди, так и других пользователей.
Если есть доступ к БД форума у хакеров (а он судя по всему был), то разницы нет что выкладывать: хеши паролей или содержимое "лички".

С другой стороны, за сутки брутфорса из 29386 хешей лично у меня не вскрылся ни один. Судя по всему, политика "сложных" паролей на юфоруме сделала своё дело.
Большая разница: увести только часть шифрованных данных, или всю базу в открытом виде. В части шифрованных данных - да они очень часто бегают по сети, и специально, чтобы работали сеансы связи. Другое дело, что ты смог сделать с полученными данными. Не любые данные есть полезная информация.

И еще: почему пользователь думает, что вся безопасности решается на стороне сервера? А стикеры с паролями, приклеенные к монитиру? А неблокируемые сеансы связи с компом? А пароли "1234" или год рождения? А админ, которому отдаешь свой винт на ремент?

Так что, если говорить о гарантиях, то нужно смотреть все узкие места. Тогда и можно судить об уровне защищенности. Если у кого-то взломали учетку, это еще не значит, что достали пароли через уязвимость в системе.
Ответить 
2 "+" от:
Реклама и уведомления
Старый 29.03.2013 15:04   #120  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,052
+ 4,913  6,510/2,846
– 300  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Djalolatdin Rakhimov Посмотреть сообщение
Большая разница: увести только часть шифрованных данных, или всю базу в открытом виде.
select (user, password) from ....
и
select (private_messages) from.... where userid=XXX
не вижу принципиально большой разницы. Судя по всему, время у хакеров было в избытке, доступ к файлам тоже
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
"+" от:
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх