Historian suurin nakuvuoto
-
- Viestit: 2989
- Liittynyt: 1.3.2010 klo 22.57
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja exlex »
http://wheniskeynote.com
(Urheile, niin kuolet terveempänä.)
-
- Viestit: 1029
- Liittynyt: 22.3.2011 klo 7.52
- Paikkakunta: Hämeenkyrö
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja antoine »
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
"Totuus luultavemmin" ei pidä paikkaansa. Kyllä vika oli edelleenkin Brute Force -suojauksen puuttuminen.L_A_G kirjoitti:
Niin ja ennen kuin kukaan tokaisee että "Entäs iBrute" niin huomautan vaan että sakki kokeili iBrutea heti tämän tultua julki (eli ennen kuin Apple ehti edes reagoida), mutta törmäsivät sitten tähän brute force-suojaukseen jonka olisi pitänyt puuttua. Totuus tässä on mitä luultavemmin se että iPilvestä ei koskaan puuttunut brute force-suojausta, tämän paljastanut 15-vuotias puhui vaan tiedätte-kyllä-mitä.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Jos luet näet että sen lähde sille että brute forcella olisi joskus saanut tilejä murrettua on tasan juuri mainitsemani anonyymit 4chan-postaukset. Tuossa artilleissa ei ole yhtä ainuttakaan oikeaa todistetta siitä että iBrute olisi koskaan toiminut, ainoastaan sen kehittäjän twitter-postaus että ei enää toimi. Tuo artikkeli on jo 2 viikkoa vanha ja ajalta jolloin tässä mentiin suurelta osin puolittaisien totuuksien ja täyden disinformaation vallassa vähän kun Ukrainassa kevään ja kesän aikana.Wolfgan kirjoitti:"Totuus luultavemmin" ei pidä paikkaansa. Kyllä vika oli edelleenkin Brute Force -suojauksen puuttuminen.
Itse satun nimittäin kirjoittelemaan 4chan:iin ja törmäsin kyseiseen thread:iin about tunnin sen jälkeen kun se oli postattu ja jo silloin väki totesi että iBrute ei muuten toimi. Eli maanalaisen paikan nopeaa toimintaa applelta tai sitten vaan suoraa disinformaatiota.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
iCloudissa oli useita turvallisuuspuutteita samaan aikaan. Melkeimpä voisi puhua avoimesta pilvestä. Apple käytti ilmaisua "ettei mitään murrettu", mikä tavallaan pitääkin paikkaansa, koska tietojen saaminen iCloudista oli niin helpoksi tehty. Avointa kassakaappia ei tarvitse murtaa.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Mitä tuohon siskon tilin hakkerointiin tulee niin hän käytti hyväkseen siskon valitsemia huonoja salaisia kysymyksiä. Eli kummassakin tapauksessa oli kyse käyttäjän itse luomasta haavoittuvuudesta, ei haavoittuvuudesta itse järjestelmässä. Koko artikkeli iltalehti-tyylista sitä itseään jossa kerrotaan puolitotuuksilla ja yritetään saada huomiota itselleen tarttumalla ajankohtaiseen aiheeseen provokatiivisella tavalla.
Mitä kassakaappi-analogiaasi tulee niin tämä on kassakaapin omistajan raolleen jättämä ovi tai avain ovimaton alla, ei vika kassakaapissa itsessään.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
TÄÄLLÄ on vielä erään tietoturvaexpertin twiitit kuinka iCloud oli avoinna Brute Forcelle.
-
- Viestit: 2525
- Liittynyt: 3.1.2014 klo 22.14
- Paikkakunta: Vantaa
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Pippin »
No onhan sillä nyt aikamoinen merkitys, onko BForce-"tyyppinen"-työkalu sellainen joka kokeilee viittäkymmentä QWERTY-tyyppistä salasanaa. Mikään linkissäsi ei tue esittämääsi väittämää avoimesta pilvestä. Salasanan heikkous on käyttäjän virhe, johon palvelu ei voi puuttua kovin helposti. Tuo tarina siskon salasanan murrosta on myös omituinen, kuinka niin hän pystyi broussaamalla valitsemaan siskon turvakysymyksistä mieleisensä? Siis niitä tehdessähän voi valita, mutta eihän niitä nyt mitään sarjaa tehdä. Ainoa pointti jutussa on se, että some-kulttuuri avaa ihmisten yksityisyyttä niin paljon, että ihmisestä kuin ihmisestä (etenkin jos on julkkis) voi ronkkia tietoa niin paljon, että siitä on apua phishingissä. Tämä koskee jokaista pilvipalvelua. Samoin kuin se, että sieltä saa kaivettua, jos on salasanat, vanhoja deletoituja tiedostoja. Itse olen tehnyt niin SugarSyncissä. Siellähän ne olivat deletoidut tiedostot.Wolfgan kirjoitti:Sillä ei liene merkitystä, että mitä Brute Force -työkalua on käytetty. Salasana "Passw0rd1" vaatinee todennäköisesti useamman yrityskerran kuin väittämäsi ensimmäinen. Brute Force -suojauksen tarkoitus ei olekkaan tajuta, että onko yrittäjä ihminen vai ohjelma, vain yrityskertoja on tarkoitus rajoittaa.
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
Huono salasana on käyttäjän vika (myös palvelun vika sallia huono salasana), mutta jos palvelu estää Brute Force -hyökkäyksen, niin huonokin salasana on usein riittävä.
Siinä olen kanssasi samaa mieltä, että todella outoa iCloudilta oli sallia selata siskon useita turvakysymyksiä. Siinäkin oli turvallisuuspuute.
-
- Viestit: 2525
- Liittynyt: 3.1.2014 klo 22.14
- Paikkakunta: Vantaa
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Pippin »
Niinkö? Minähän juuri puhuin siitä esimerkkinä siitä, mitä haparoiva kirjoittaja saattaa tarkoittaa tuntemattomalla iBruten kaltaisella työkalulla joka osaa murtaa salasanan tyyppiä qwerty1.Wolfgan kirjoitti:Kukaan ei ole puhunut viittäkymmentä salasanaa käyttävästä Brute Force -työkalusta.
No esittäisitkö mitä nämä olivat, siis tämän lisäksi että palvelun eräässä moodissa saattoi kokeilla useamman kerran salasanaa. SugarSync ei ole moksikaan moisesta. Todennäköisesti tässä ei ole edes käytetty tuota aukkoa, koska samaan aikaan ei ole paljastunut monia murtoja, vaan on paketoitu setti eri lähteistä saatuja kuvia, jotta saadaan aikaan shokkivaikutus ja kiristäminen toimii. Se ei toimisi yhtä hyvin jos ei olisi tällaista väitettä. Tätä teoriaa tukee myös aiemmat tapaukset, kalastelulla yritetään saada kunniaa "murrosta". En ole varas, olen "hakkeri". Kummallista muuten miten vähäisessä määrin olet huolissasi muista pilvipalveluista joita koskee sama ongelma.Wolfgan kirjoitti:iCloudissa oli useita turvallisuuspuutteita samaan aikaan. Näitä turvallisuuspuutteita hyväksikäyttämällä murto, sisäänkäynti (tai miksikä haluaakaan kutsua), tapahtui. Apple näitä korjaili vähin äänin jälkeenpäin.
Taisit käsittää väärin: yritin selittää, ettei niitä oikein voi selata kirjoittajan kuvaamalla tavalla kun niitä ei ole kuin... kolmeko voi laittaa? Mutta niitä laitettaessa voi kyllä valita runsaasta määrästä, ikäänkuin kirjoittaja ei olisi edes testannut oikeasti.Wolfgan kirjoitti: Siinä olen kanssasi samaa mieltä, että todella outoa iCloudilta oli sallia selata siskon useita turvakysymyksiä. Siinäkin oli turvallisuuspuute.
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
1) “Find My iPhone” hyväksyi iCLoud -salasanan selvittämisen Brute Force -hyökkäyksellä. Tässä käytettiin esim. iBrutea.
2) Kun salasana oli tiedossa, niin koko iCloudin sisältö voitiin kopioida yhtenä kansiona, ilman tilin omistajan ilmoittamista. Tässä operaatiossa käytettiin ohjelmaa nimeltä EPPB, Elcomsoft Phone Password Breaker.
Bonus) Heti aukkojen paljastuttua Apple kiirehti neuvomaan, että asiakkaat käyttäisivät kaksivaiheista tunnistautumista, mutta se ei edes oletuksena suojannut iCloudin valokuvien imuroimiselta. Tässäkin oli Applelta munaus,
Lisää tietoa esim. TÄÄLLÄ.
Kyllä näitä tekniikoita onnistuneesti ja dokumentoidusti käytettiin.
-
- Viestit: 2525
- Liittynyt: 3.1.2014 klo 22.14
- Paikkakunta: Vantaa
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Pippin »
Vaikuttaa että sinulla on aikamoisia jaksamisongelmia, silloin kun sinun tulisi punnita mihin nuo linkkisi oikeastaan riittävät.Wolfgan kirjoitti:Turva-aukkoja oli niin paljon, etten kaikkia jaksa tähän laittaa Mutta pääaukkoja olivat:
1) “Find My iPhone” hyväksyi iCLoud -salasanan selvittämisen Brute Force -hyökkäyksellä. Tässä käytettiin esim. iBrutea.
2) Kun salasana oli tiedossa, niin koko iCloudin sisältö voitiin kopioida yhtenä kansiona, ilman tilin omistajan ilmoittamista. Tässä operaatiossa käytettiin ohjelmaa nimeltä EPPB, Elcomsoft Phone Password Breaker.
Bonus) Heti aukkojen paljastuttua Apple kiirehti neuvomaan, että asiakkaat käyttäisivät kaksivaiheista tunnistautumista, mutta se ei edes oletuksena suojannut iCloudin valokuvien imuroimiselta. Tässäkin oli Applelta munaus,
1) Tästä ei liene juuri todisteita, mutta periaatteessa näin. Homma olisi tosin vaatinut kyllä aika tavalla aikaa per tapaus, sataakin miljoonaakin salasanaa jos kokeilee niin, saattaapa vuosi mennä.
2) Näin kai on kaikissa palveluissa, kuten totesin. Ihan samalla työkalulla tai ilman. Käyttäjä voi tosiaan kaivella vanhoja tietojaan. Opetushan tässä on se, että jos vaikka SugarSyncin käyttäjä deletoi jotain, niin se ei samalla tavalla "deletoidu" kuin kovalevyltä. Ei sen päälle kirjoitella.
Bonus) Ei tietenkään, kuka niin voisi käsittää? Mikä munaus, ei kai kukaan tuollaista väittänyt Applelta. Se estää tilille luvatonta pääsyä, sehän oli tässä pääasia.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Jos luet kyseisen artikkelin vielä kerran niin näet että sen kirjoittaja yritti keksiä niin helposti arvattavan salasanan kun vaan pystyi ja jätti sen jälkeen vielä tahallaan mainitsematta että kuinka monennella yrittämällä meni läpi. Sanoisin että taisi melko selvästi mennä läpi muutamalla jollei ensimmäisellä sillä muutoin hänellä olisi oikeasti hyvä argumentti siitä kuinka Find My iPhonen brute force-suojaus kun hän voisi keroa että hänen käyttämänsä ohjelma pääsi läpi XXXX yrittämän jälkeen.Wolfgan kirjoitti:Sillä ei liene merkitystä, että mitä Brute Force -työkalua on käytetty. Salasana "Passw0rd1" vaatinee todennäköisesti useamman yrityskerran kuin väittämäsi ensimmäinen. Brute Force -suojauksen tarkoitus ei olekkaan tajuta, että onko yrittäjä ihminen vai ohjelma, vain yrityskertoja on tarkoitus rajoittaa.
Lueppas tuo uudestaan, joku random ex-pertti yritti brute forcella, mutta ei onnistunut ja joutui lopulta blokatuksi. Se että IP-osoitetta ei heti blokattu ei tarkoita etteikö tiliä olisi laitettu lukkoon. Jos luet kyseisen tyypin kirjoitelmia omilla sivuillaan niin hänkin väittää että suurin osa murroista tehtiin philishingillä, social engineeringillä ja salasanoja nollaamalla, ei itse palvelussa olevia aukkoja käyttämällä.Wolfgan kirjoitti:TÄÄLLÄ on vielä erään tietoturvaexpertin twiitit kuinka iCloud oli avoinna Brute Forcelle.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
Pippin kirjoitti:Vaikuttaa että sinulla on aikamoisia jaksamisongelmia, silloin kun sinun tulisi punnita mihin nuo linkkisi oikeastaan riittävät.Wolfgan kirjoitti:Turva-aukkoja oli niin paljon, etten kaikkia jaksa tähän laittaa Mutta pääaukkoja olivat:
1) “Find My iPhone” hyväksyi iCLoud -salasanan selvittämisen Brute Force -hyökkäyksellä. Tässä käytettiin esim. iBrutea.
2) Kun salasana oli tiedossa, niin koko iCloudin sisältö voitiin kopioida yhtenä kansiona, ilman tilin omistajan ilmoittamista. Tässä operaatiossa käytettiin ohjelmaa nimeltä EPPB, Elcomsoft Phone Password Breaker.
Bonus) Heti aukkojen paljastuttua Apple kiirehti neuvomaan, että asiakkaat käyttäisivät kaksivaiheista tunnistautumista, mutta se ei edes oletuksena suojannut iCloudin valokuvien imuroimiselta. Tässäkin oli Applelta munaus,
1) Tästä ei liene juuri todisteita, mutta periaatteessa näin. Homma olisi tosin vaatinut kyllä aika tavalla aikaa per tapaus, sataakin miljoonaakin salasanaa jos kokeilee niin, saattaapa vuosi mennä.
Olet siis samaa mieltä, että nuo aukot kuitenkin olivat olemassa? Et vain usko, että niitä käytettiin näissä murroissa? Kuten olet itsekkin sanonut, niin ihmiset käyttävät helppoja salasanoja, ja niiden selvittämiseen ei mene vuosia Brute Forcella.
"On Tuesday, Apple suggested its customers "always use a strong password and enable two-step verification" after it acknowledged that some of its accounts had been compromised by a "very targeted attack" But one expert said Apple had given people "a false sense of security""Pippin kirjoitti: Bonus) Ei tietenkään, kuka niin voisi käsittää? Mikä munaus, ei kai kukaan tuollaista väittänyt Applelta. Se estää tilille luvatonta pääsyä, sehän oli tässä pääasia.
Sillä ei ole väliä monennellako pääsi läpi. Vain sillä on merkitystä, ettei Brute Force -suojausta ollut. Oikeasti uskot, että salasana "Passw0rd1" menee sattumalta ensimmäisellä arvauksella?L_A_G kirjoitti:Jos luet kyseisen artikkelin vielä kerran niin näet että sen kirjoittaja yritti keksiä niin helposti arvattavan salasanan kun vaan pystyi ja jätti sen jälkeen vielä tahallaan mainitsematta että kuinka monennella yrittämällä meni läpi. Sanoisin että taisi melko selvästi mennä läpi muutamalla jollei ensimmäisellä sillä muutoin hänellä olisi oikeasti hyvä argumentti siitä kuinka Find My iPhonen brute force-suojaus kun hän voisi keroa että hänen käyttämänsä ohjelma pääsi läpi XXXX yrittämän jälkeen.Wolfgan kirjoitti:Sillä ei liene merkitystä, että mitä Brute Force -työkalua on käytetty. Salasana vaatinee todennäköisesti useamman yrityskerran kuin väittämäsi ensimmäinen. Brute Force -suojauksen tarkoitus ei olekkaan tajuta, että onko yrittäjä ihminen vai ohjelma, vain yrityskertoja on tarkoitus rajoittaa.
"I just did 3k+ requests at 10 threads then and it didn't even slow me down.", eli teki yli 3000 salasanapyyntöä tuossa vaiheessa. Apple lopulta esti tuon Brute Forcen hyväksikäytön, kun se tuli julkisuuteen. Tietenkin monia keinoja käytettiin. Tämä sattui olemaan vain yksi niistä.L_A_G kirjoitti:Lueppas tuo uudestaan, joku random ex-pertti yritti brute forcella, mutta ei onnistunut ja joutui lopulta blokatuksi. Se että IP-osoitetta ei heti blokattu ei tarkoita etteikö tiliä olisi laitettu lukkoon. Jos luet kyseisen tyypin kirjoitelmia omilla sivuillaan niin hänkin väittää että suurin osa murroista tehtiin philishingillä, social engineeringillä ja salasanoja nollaamalla, ei itse palvelussa olevia aukkoja käyttämällä.Wolfgan kirjoitti:TÄÄLLÄ on vielä erään tietoturvaexpertin twiitit kuinka iCloud oli avoinna Brute Forcelle.
TÄÄLLÄ on vielä yksi hyvin selitetty lähde.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Ei tuossa artikkelissa ole mitään jota et ole jo postannut... Kyseinen softa vaatii että sinulla on jo salasana ennestään ennen kuin se pystyy kopioimaan datasi iPilvestä teeskentelemällä olevansa iLaite.
Brute force tarkoittaa nykyjään monta asiaa enkä yhtään ihmettelisi jos tämä aloittaisi joko kokeilemalla "Passw0rd":in mutaatioita jolloin yksi "1" perään voi hyvinkin olla juuri ensimmäinen mitä kokeillaan. iBrute käytti eri hakkeroitujen verkkosivujen salasanatietokannoista koottua "top 500 yleisintä salasanaa"-listaa ja siinä juuri "Passw0rd1" on tasan ensimmäinen salasana. Latasin iBruten lähdekoodit samana päivänä kun tämä vuoto tuli julki ja tarkistin juuri että missä vaiheessa tuo tulee esiin. Hämmästyksekseni se on tasan ensimmäinen ylivoimaisesti yleisimpänä salasanana (löytynyt kuuelmma 449:ltä eri tililtä mainitsemassani salasana-kokoelmassa).Wolfgan kirjoitti:Sillä ei ole väliä monennellako pääsi läpi. Vain sillä on merkitystä, ettei Brute Force -suojausta ollut. Oikeasti uskot, että salasana "Passw0rd1" menee sattumalta ensimmäisellä arvauksella?
Jos et usko niin käy kattomassa vaikka iBruten github-sivulta (passlist.txt-tiedosto)
Ellet siis tiennyt niin yleisin anti-brute force suojaus ei ole IP-osoitteen blokkaus, vaan tilin lukitseminen määräajaksi jolloin oikeakin salasana saa "väärä salasana"-vastauksen. Tällä saadaan estettyä myös se että käytetään proxyja ja muita temppuja jossa vaihetaan IP-osoitetta sekä murtautuja uskomaan että häntä ei olla vielä huomattu.Wolfgan kirjoitti:"I just did 3k+ requests at 10 threads then and it didn't even slow me down.", eli teki yli 3000 salasanapyyntöä tuossa vaiheessa. Apple lopulta esti tuon Brute Forcen hyväksikäytön, kun se tuli julkisuuteen. Tietenkin monia keinoja käytettiin. Tämä sattui olemaan vain yksi niistä.
Ei tuossakaan kahden viikon ikäisessä jutussa ole mitään uutta paitsi samoja väittämiä ilman minkäänlaista kunnollista todistusaineistoa kun mitä ollaan toistettu kerta toisensa jälkeen viimeisen kahden viikon aikana.Wolfgan kirjoitti:TÄÄLLÄ on vielä yksi hyvin selitetty lähde.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 2525
- Liittynyt: 3.1.2014 klo 22.14
- Paikkakunta: Vantaa
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Pippin »
No totta mooses se on heikkous, jos salasanaa voi kokeilla loputtomiin. Mutta älä vääntele muiden sanomisia, kiitos.Wolfgan kirjoitti: Olet siis samaa mieltä, että nuo aukot kuitenkin olivat olemassa? Et vain usko, että niitä käytettiin näissä murroissa? Kuten olet itsekkin sanonut, niin ihmiset käyttävät helppoja salasanoja, ja niiden selvittämiseen ei mene vuosia Brute Forcella.
Ok, koen tämän kyllä jonkin suuntaiseksi floodaukseksi, et millään tavalla referoi etkä pohdi mikä näissä linkeissäsi on jotain uutta, ei jaksa tuollaista. Vaikuttaa, ettet itse oikein tajua mitä linkeissäsi on.Wolfgan kirjoitti:TÄÄLLÄ on vielä yksi hyvin selitetty lähde.
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
Kuten aikaisemmin postasin, niin salasanan sai iBrutella tai muilla Brute Force -ohjelmilla. Mutta tätähän sinä et usko, että iCloudin Find My Phone salli Brute Force -hyökkäyksen.L_A_G kirjoitti: Ei tuossa artikkelissa ole mitään jota et ole jo postannut... Kyseinen softa vaatii että sinulla on jo salasana ennestään ennen kuin se pystyy kopioimaan datasi iPilvestä teeskentelemällä olevansa iLaite.
Ei pidä paikkaansa. Jos katsot omaa linkittämääsi salasanalistaa tarkemmin, huomaat että ensimmäinen salasana on "Password1" (huomaa että o ei ole 0). Kun taas kyseinen toimittajan käyttämä salasana "Passw0rd1" (huomaa 0 ei ole o) löytyy vasta sijalta 458. Eli iCloud on antanut käydä läpi 458 salasanaa ilman Brute Force -suojausta.L_A_G kirjoitti: Brute force tarkoittaa nykyjään monta asiaa enkä yhtään ihmettelisi jos tämä aloittaisi joko kokeilemalla "Passw0rd":in mutaatioita jolloin yksi "1" perään voi hyvinkin olla juuri ensimmäinen mitä kokeillaan. iBrute käytti eri hakkeroitujen verkkosivujen salasanatietokannoista koottua "top 500 yleisintä salasanaa"-listaa ja siinä juuri "Passw0rd1" on tasan ensimmäinen salasana. Latasin iBruten lähdekoodit samana päivänä kun tämä vuoto tuli julki ja tarkistin juuri että missä vaiheessa tuo tulee esiin. Hämmästyksekseni se on tasan ensimmäinen ylivoimaisesti yleisimpänä salasanana (löytynyt kuuelmma 449:ltä eri tililtä mainitsemassani salasana-kokoelmassa).
Jos et usko niin käy kattomassa vaikka iBruten github-sivulta (passlist.txt-tiedosto)
No tässä toimittajan tapauksessa ei ollut ainakaan lukinnut tiliä vielä 458 yrityskerran jälkeen. Kuvaamasi anti-brute force suojaus on kyllä oikea, muttei ollut iCloudissa käytössä, vai onko sinulla esittää todisteita, että oli?L_A_G kirjoitti: Ellet siis tiennyt niin yleisin anti-brute force suojaus ei ole IP-osoitteen blokkaus, vaan tilin lukitseminen määräajaksi jolloin oikeakin salasana saa "väärä salasana"-vastauksen. Tällä saadaan estettyä myös se että käytetään proxyja ja muita temppuja jossa vaihetaan IP-osoitetta sekä murtautuja uskomaan että häntä ei olla vielä huomattu.
Et hyväksy todisteeksi mitään, kuten tuotakaan toimittajan raporttia, tai tietoturvaexpertin kertomusta. Et kuitenkaan ole esittänyt mitään omia todisteita, etteikö näin olisi.L_A_G kirjoitti:Ei tuossakaan kahden viikon ikäisessä jutussa ole mitään uutta paitsi samoja väittämiä ilman minkäänlaista kunnollista todistusaineistoa kun mitä ollaan toistettu kerta toisensa jälkeen viimeisen kahden viikon aikana.Wolfgan kirjoitti:TÄÄLLÄ on vielä yksi hyvin selitetty lähde.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Ja sinä et halua millän halua uskoa että iBrute ei toimi vaikka kukaan ei ole pystynyt todistamaan että se toimisi, eli taidetaan olla enemmän tai vähemmän pattitilanteessa.Wolfgan kirjoitti:Kuten aikaisemmin postasin, niin salasanan sai iBrutella tai muilla Brute Force -ohjelmilla. Mutta tätähän sinä et usko, että iCloudin Find My Phone salli Brute Force -hyökkäyksen.
Brute force ei enää tarkoita että mennään "a - b - c - ... - z - aa - ab - ac - ...", vaan tehään sitä että otetaan jotain mukana tulevasta "sanakirjasta" ja vaihdetaan o:ta 0:aan, t:tä 7:ään ja niin edes päin. Kuten jo sanoin, kyseisen artikkelin kirjoittaja kertoi käyttäneensä iBruten tapaista softaa, ei iBrutea itseänsä jolloin tuo olisi ollut yrittämä numero 458.Wolfgan kirjoitti:Ei pidä paikkaansa. Jos katsot omaa linkittämääsi salasanalistaa tarkemmin, huomaat että ensimmäinen salasana on "Password1" (huomaa että o ei ole 0). Kun taas kyseinen toimittajan käyttämä salasana "Passw0rd1" (huomaa 0 ei ole o) löytyy vasta sijalta 458. Eli iCloud on antanut käydä läpi 458 salasanaa ilman Brute Force -suojausta.
Oletat taas että artikkelin kirjoittaja käytti iBrutea kun artikkelissa lukee selvästi että ei käyttänyt iBrutea, ainoastaan jotain sen tapaista. Se että hän ei mainitse että kuinka monta yritystä tässä meni kielii melko selvästi että ei mennyt montaa yrittämää ennen kuin oikea arvaus sattui kohdalle. 458 yrittämää kun on paljon ennen kuin tili menee lukkoon ja olisi siten ollut melko hyvä todiste, mutta kun tätä numeroa ei artikkelista löydy, niin voi selvästi olettaa että yrittämiä oli roppakaupalla vähemmän.Wolfgan kirjoitti:No tässä toimittajan tapauksessa ei ollut ainakaan lukinnut tiliä vielä 458 yrityskerran jälkeen. Kuvaamasi anti-brute force suojaus on kyllä oikea, muttei ollut iCloudissa käytössä, vai onko sinulla esittää todisteita, että oli?
Toisin kuten sinä, en pidä ainoastaan sitä että joku kirjoittaa jostain artikkelin todisteena, vaan pureudun itse artikkelin esiin tuomiin todisteihin. Esiin tuomasi artikkelit eivät ole todistaneet juuri mitään muuta kun että jos valitsee netistä etsittävät salaiset kysymykset tai helposti arvattavan salasanan niin voi käydä köpelösti. Mainitsemasi "tietoturva-expertti" ei todistanut mitään muuta kuin että IP-blokki tulee jossain vaiheessa, mutta kunnon brute force-suojaus ei olisi edes kertonut hänelle että nyt meni suojaus päälle ja tili lukkoon. IP-blokki ei ole ainoa eikä edes kaikkien brute force-suojattujen palveluiden käyttämä metodi koska sen kiertäminen on lapsellisen helppoa.Wolfgan kirjoitti:Et hyväksy todisteeksi mitään, kuten tuotakaan toimittajan raporttia, tai tietoturvaexpertin kertomusta. Et kuitenkaan ole esittänyt mitään omia todisteita, etteikö näin olisi.
Niinhän se nyt vaan tässä on että yleinen mielipide on että Find My iPhonessa ei ollut brute force suojausta koska joku random 15-vuotias sanoi näin 4chan:issa nakukuvien kera ja tätä on sitten toistettu niin monta kertaa että ihmiset ovat alkaneet uskoa sitä todeksi vaikka sille ei kukaan ole pystynyt tuomaan esiin vedentiiviitä todisteita. Eli vähän sama juttu kun USA:n hallinnon vuosien takaiset väittämät Irakin massatuho-aseista (joihin ainakin jenkeissä uskottiin). Silloin näytettiin suttuisia satelliitti-kuvia lannoiterekasta ja kerrottiin että kyseessä on liikuteltava massatuho-ase labra, nyt todisteina ovat onnistuminen tahallaan melkein heikoimmaksi mahdolliseksi valitun salasanan kera ja se että yksi brute force-suojauksen muoto ei mennyt heti päälle.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 60
- Liittynyt: 9.9.2014 klo 14.41
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Wolfgan »
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Mailia »
Brute forcehan tarkoittaa ihan mitä tahansa raa'alla konevoimalla tehtävää murtoa. Tuo mitä sinä kuvailet on brute forcen alakategoria, eli sanakirjahyökkäys (dictionary attack).L_A_G kirjoitti:Brute force ei enää tarkoita että mennään "a - b - c - ... - z - aa - ab - ac - ...", vaan tehään sitä että otetaan jotain mukana tulevasta "sanakirjasta" ja vaihdetaan o:ta 0:aan, t:tä 7:ään ja niin edes päin.
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
Yksi esimerkki tälläisestä on kun kopioidaan joltain sivulta salasanojen MD5-hashit (sivut kun eivät enää pidä tallella itse salasanoja, ainoastaan niiden hash-arvoja) ja sitten luodaan eri numero-kirjain-yhdistelmille hash:ejä kunnes löydetään että mitkä numero-kirjain-yhdistelmät tuottavat samat MD5-hashit kuin sivulta varastetut. Tässä tosin menee jonkin aikaa, jopa miljoonia hasheja sekunnissa testaavilla järjestemillä (käyttävät yleensä vähän tehokkaampaa näytönohjaina) kaikkien salasanojen murtaminen kestää useita tunteja. Jos hasheihin laittaa vielä turhia "suola"-bittejä (kaikki jotenkin fiksusti tehdyt järjestelmät tekevät niin) on laskennallinen työsarka niin suuri että niitä ei enää saa auki tämän päivän koneilla.
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 7872
- Liittynyt: 15.7.2009 klo 3.11
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja Mailia »
Brute force on brute force ja sanakirjähyökkäys on sanakirjahyökkäys.
-
- Viestit: 8
- Liittynyt: 25.9.2014 klo 0.00
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja kauralimppu »
-
- Viestit: 2045
- Liittynyt: 2.11.2006 klo 10.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja L_A_G »
MacBook Pro (mid 2007) 15" - 2,2 GHz Core 2 Duo - 4 Gt - 320 Gt (7200 RPM) - GeForce 8600 GT
Nokia N9 16Gt
Nikon D3100
iPod Touch 16Gt
-
- Viestit: 125
- Liittynyt: 29.5.2008 klo 20.55
Re: Historian suurin nakuvuoto
Viesti Kirjoittaja formallinen »
Palaa sivulle “Ajankohtaista Apple-maailmasta”
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit